Исправление измененных правил по умолчанию в Microsoft Entra Подключение

Microsoft Entra Подключение использует правила по умолчанию для синхронизации. К сожалению, эти правила не являются универсальными для всех организаций. Поэтому вы можете захотеть изменить их в соответствии с собственными требованиями. В этой статье рассматриваются два примера наиболее распространенных настроек, а также объясняется правильный способ их выполнения.

Примечание.

Изменение существующих стандартных правил для соответствующей настройки не поддерживается. Если же правила изменить, вы не сможете их до последней версии в будущих выпусках. А также не будете получать нужные исправления ошибок или новые возможности. В этом документе объясняется, как добиться того же результата, не изменяя существующие стандартные правила.

Определение измененных стандартных правил

Начиная с версии 1.3.7.0 Microsoft Entra Подключение, легко определить измененное правило по умолчанию. Перейдите в раздел Apps on Desktop (Приложения на рабочем столе) и выберите Synchronization Rules Editor (Редактор правил синхронизации).

В редакторе все измененные стандартные правила отображаются с пиктограммой предупреждения перед названием.

Также рядом с ним появится отключенное правило с тем же именем (это стандартное правило).

Распространенные настройки

Ниже приведены распространенные настройки стандартных правил:

• Изменение потока атрибута
• Изменение фильтра области
• Изменение условия объединения

Перед изменением правил выполните следующие действия.

• Отключите планировщик синхронизации. По умолчанию планировщик запускается каждые 30 минут. Убедитесь, что он не запуститься, чтобы внести изменения и устранить неполадки, связанные с новыми правилами. Чтобы временно отключить планировщик, запустите PowerShell и выполните команду Set-ADSyncScheduler -SyncCycleEnabled $false.

• Внесение изменений для фильтра области может привести к удалению объектов в целевом каталоге. Будьте осторожны, внося изменения в области объектов. Мы рекомендуем вносить изменения на промежуточном сервере и только потом на активном.

• Выполните предварительный просмотр для одного объекта, как упоминалось в разделе Проверка правила синхронизации после добавления нового правила.

• Выполните полную синхронизацию после добавления нового правила или изменения любого настраиваемого правила синхронизации. Эта синхронизация позволяет применить новые правила ко всем объектам.

Изменение потока атрибута

Существует три разных сценария изменения потока атрибутов:

• Добавление нового атрибута.
• Переопределение значения существующего атрибута.
• Отказ от синхронизации существующего атрибута.

Все эти действия можно сделать, не изменяя стандартные правила.

Добавление атрибута

Если вы обнаружите, что атрибут не перетекает из исходного каталога в целевой каталог, используйте microsoft Entra Подключение Sync: расширения каталогов, чтобы исправить это.

Если расширения не являются подходящим вариантом, попробуйте добавить два новые правила синхронизации, описанные в следующих разделах.

Добавление правила синхронизации для входящего трафика

Правило синхронизации для входящего трафика означает, что источником атрибута является пространство соединителя, а целевым объектом — метавселенная. Например, чтобы создать поток атрибутов из локальная служба Active Directory в идентификатор Microsoft Entra, создайте новое правило входящего синхронизации. Запустите редактор правил синхронизации, выберите в качестве направления Входящий трафик и щелкните Добавить правило.

Соблюдайте при присвоении правилу имени собственное соглашение об именовании. Здесь мы используем Поступление из AD — пользователь. Это означает, что правило является настраиваемым и представляет собой правило для входящего трафика из пространства соединителя AD DS в метавселенную.

Укажите собственное описание правила, чтобы упростить дальнейшее обслуживание правила. Например, описание может быть основано на том, какова цель правила и почему оно необходимо.

Выберите необходимые параметры для полей Connected System (Подключенная система), Connected System Object Type (Тип объекта подключенной системы) и Metaverse Object Type (Тип объекта метавселенной).

Укажите значение приоритета от 0 до 99 (чем меньше число, тем выше приоритет). Для полей Тег, Включить синхронизацию паролей и Отключено используйте параметры по умолчанию.

Оставьте поле Scoping filter (Фильтр области) пустым. Это означает, что правило применяется ко всем объектам, соединенным между подключенной системой Active Directory и метавселенной.

Оставьте поле Join rules (Правила присоединения) пустым. Это означает, что это правило использует условие соединения, определенное в стандартном правиле. Вот еще одна причина не отключать или удалять стандартное правило. Если условие соединения отсутствует, атрибут не будет передаваться.

Добавьте соответствующие преобразования для атрибута. Вы можете назначить константу, чтобы значение константы передавалось в целевой атрибут. Кроме того, можно использовать прямое сопоставление между исходным или целевым атрибутом. Или используйте выражение для атрибута. Ниже приведены различные функции выражений, которые можно использовать.

Добавление правила синхронизации для исходящего трафика

Чтобы связать атрибут с целевым каталогом, необходимо создать правило для исходящего трафика. Это значит, что источником является метавселенная, а целевым объектом — подключенная система. Чтобы создать правило для исходящего трафика, запустите редактор правил синхронизации, измените значение параметра Направление на Исходящий трафик, а затем выберите Добавить правило.

Как и в случае с правилом для входящего трафика, для присвоения имени правилу можно использовать собственное соглашение об именовании. Выберите Подключение систему в качестве клиента Microsoft Entra и выберите подключенный системный объект, для которого нужно задать значение атрибута. Задайте приоритет от 0 до 99.

Оставьте поля Scoping filter (Фильтр области) и Join rules (Правила присоединения) пустыми. Заполните преобразование, указав его как константу, прямое подключение или выражение.

Теперь вы знаете, как создать новый атрибут для потока объектов пользователя из Active Directory в идентификатор Microsoft Entra. Вы можете использовать эти шаги для сопоставления любого атрибута любого объекта с исходным и целевым объектами. Дополнительные сведения см. в статьях о создании настраиваемых правил синхронизации и подготовке к подготовке пользователей.

Переопределение значения существующего атрибута

Вам может потребоваться переопределить значение уже сопоставленного атрибута. Например, если вы всегда хотите задать значение NULL для атрибута в идентификаторе Microsoft Entra ID, просто создайте только правило для входящего трафика. Выполните настройку так, чтобы значение выражения AuthoritativeNull поступало в атрибут целевого объекта.

Примечание.

В этом случае используйте AuthoritativeNull, а не Null. Такой подход связан с тем, что значение, отличное от NULL, всегда заменяет значение NULL, даже если оно имеет более низкий приоритет (более высокое значение в правиле). Значение AuthoritativeNull, с другой стороны, не заменяется другими правилами на значение, отличное от NULL.

Отказ от синхронизации существующего атрибута

Если вы хотите исключить атрибут из синхронизации, используйте функцию фильтрации атрибутов, указанную в Подключение Microsoft Entra. Запустите Microsoft Entra Подключение со значка рабочего стола и выберите пункт "Настройка параметров синхронизации".

Убедитесь, что выбрано приложение Microsoft Entra и фильтрация атрибутов, и нажмите кнопку "Далее".

Очистите атрибуты, которые необходимо исключить из синхронизации.

Изменение фильтра области

Службы синхронизации Microsoft Azure Active Directory обеспечивают обслуживание большинства объектов. Вы можете уменьшить область объектов и сократить количество экспортируемых объектов, не изменяя стандартные правила синхронизации.

Чтобы уменьшить область синхронизируемых объектов, используйте один из следующих методов.

• Атрибут cloudFiltered
• Фильтрация единиц организации

Если вы уменьшите количество синхронизируемых пользователей, то для отфильтрованных пользователей также будет прекращена синхронизация хэша паролей. Если объекты уже синхронизированы, то после уменьшения области действия отфильтрованные объекты будут удалены из целевого каталога. Следовательно, вам нужно тщательно следить за областью.

Важно!

Увеличение область объектов, настроенных microsoft Entra Подключение, не рекомендуется. Это затрудняет понимание настроек сотрудниками группы поддержки Майкрософт. Если необходимо увеличить область объектов, измените существующее правило, клонируйте его и отключите исходное правило.

Атрибут cloudFiltered

Этот атрибут нельзя задать в AD DS. Задайте значение для этого атрибута, добавив новое правило для входящего трафика. Затем вы сможете использовать параметры Преобразование и Выражение, чтобы задать этот атрибут в метавселенной. В следующем примере предполагается, что вы не хотите синхронизировать всех пользователей, название отдела которых начинается с HRD (без учета регистра):

cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)

Сначала мы преобразовали отдел из источника (Active Directory) в нижний регистр. Затем, используя функцию Left, мы взяли только первые три символа и сравнили их с hrd. Если эти символы совпадали, мы задавали в качестве значения True, в противном случае — NULL. При установке в качестве значения null какое-либо другое правило с меньшим приоритетом (более высокое числовое значение) сможет выполнять запись в это правило, имея другое условие. Запустите предварительный просмотр для одного объекта, чтобы проверить правило синхронизации, как упоминалось в разделе Проверка правила синхронизации.

Фильтрация подразделений

Вы можете создать одно или несколько подразделений и переместить объекты, которые не нужно синхронизировать, в эти подразделения. Затем настройте фильтрацию подразделений в Microsoft Entra Подключение. Запустите Microsoft Entra Подключение с значка рабочего стола и выберите следующие параметры. Вы также можете настроить фильтрацию подразделений во время установки Microsoft Entra Подключение.

Следуйте указаниям мастера и очистите подразделения, которые не нужно синхронизировать.

Изменение условия объединения

Используйте условия соединения по умолчанию, настроенные microsoft Entra Подключение. Изменение стандартных условий соединения затрудняет понимание настроек и обеспечение поддержки продукта для группы поддержки Майкрософт.

Проверка правила синхронизации

Вы можете проверить новое добавленное правило синхронизации с помощью функции предварительного просмотра, не запуская полный цикл синхронизации. В Подключение Microsoft Entra выберите службу синхронизации.

Выберите Metaverse Search (Поиск в метавселенной). Выберите в качестве объекта области пользователь, щелкните Добавить предложение и укажите условия поиска. Затем выберите Поиски дважды щелкните объект в результатах поиска. Убедитесь, что данные в Microsoft Entra Подключение актуальны для этого объекта, выполнив импорт и синхронизацию в лесу перед выполнением этого шага.

В разделе Metaverse Object Properties (Свойства объекта метавселенной) выберите пункт Соединители, а затем выберите объект в соответствующем соединителе (лесу) и щелкните Свойства.

Выберите Предварительный просмотр

В окне "Предварительный просмотр" выберите в левой области пункты Создать предварительный просмотр и Import Attribute Flow (Импорт потока атрибутов).

Проверьте, выполняется ли только что добавленное правило для объекта и присвойте атрибуту cloudFiltered значение true.

Чтобы сравнить измененное правило со стандартным правилом, экспортируйте оба правила отдельно, как текстовые файлы. Эти правила экспортируются как файл сценария PowerShell. Их можно сравнить с помощью любого средства сравнения файлов (например, windiff), чтобы увидеть изменения.

Обратите внимание, что в измененном правиле атрибут msExchMailboxGuid имеет тип Expression, а не Direct. Кроме того, значением теперь является NULL и параметр ExecuteOnce. Различия в разделах "Определенные" и "Приоритет" можно пропустить.

Чтобы изменить правила и восстановить их значения по умолчанию, удалите измененное правило и включите стандартное правило. Убедитесь, что вы не потеряли настройку, которую пытаетесь получить. Выполнив все действия, запустите полную синхронизацию.

Следующие шаги

• Оборудование и предварительные требования
• Стандартные параметры
• Настраиваемые параметры