Синхронизация Microsoft Entra Connect: рекомендации по изменению конфигурации по умолчанию

Цель этого раздела — описать поддерживаемые и неподдерживаемые изменения в Microsoft Entra Connect Sync.

Конфигурация Microsoft Entra Connect настраивает работу "как есть" для большинства сред, которые синхронизируют локальный Active Directory с Microsoft Entra ID. Однако в некоторых случаях необходимо применить некоторые изменения к конфигурации для удовлетворения конкретной потребности или требования.

Изменения учетной записи службы

Синхронизация Microsoft Entra Connect выполняется под учетной записью службы, созданной мастером установки. Эта учетная запись службы содержит ключи шифрования для базы данных, используемой синхронизацией. Он создается с 127 символами длинного пароля, и пароль не истекает.

Предупреждение

Если вы изменяете или сбрасываете пароль учетной записи службы ADSync, служба синхронизации не сможет правильно запуститься, пока вы не отказались от ключа шифрования и не повторно инициализировали пароль учетной записи службы ADSync. Для этого см. изменение пароля учетной записи службы ADSync.

Изменения планировщика

Начиная с выпусков сборки 1.1 (февраль 2016 г.) можно настроить планировщик ,, чтобы иметь другой цикл синхронизации, отличный от 30 минут по умолчанию.

Изменения правил синхронизации

Мастер установки предоставляет конфигурацию, которая должна работать для наиболее распространенных сценариев. Если необходимо внести изменения в конфигурацию, необходимо следовать этим правилам, чтобы иметь поддерживаемую конфигурацию.

Предупреждение

При внесении изменений в правила синхронизации по умолчанию эти изменения перезаписываются при следующем обновлении Microsoft Entra Connect, что приведет к непредвиденным и вероятным нежелательным результатам синхронизации.

• Потоки атрибутов можно изменить, если потоки прямых атрибутов по умолчанию не подходят для вашей организации.
• Если вы хотите не передавать атрибут и удалять существующие значения атрибутов в идентификаторе Microsoft Entra ID, необходимо создать правило для этого сценария.
• Отключить нежелательное правило синхронизации вместо удаления. Удаленное правило повторно создается во время обновления.
• Чтобы изменить встроенное правило, необходимо сделать копию исходного правила и отключить правило вне поля. Редактор правил синхронизации направляет и помогает вам.
• Экспортируйте пользовательские правила синхронизации с помощью редактора правил синхронизации. Редактор предоставляет скрипт PowerShell, который позволяет легко создавать их в сценарии аварийного восстановления.

Предупреждение

Правила синхронизации из коробки имеют подпись. Если вы измените эти правила, отпечаток больше не будет соответствовать. При попытке применить новый выпуск Microsoft Entra Connect могут возникнуть проблемы в будущем. Внесите изменения только так, как это описано в этой статье.

Отключение нежелательного правила синхронизации

Не удаляйте правило синхронизации по умолчанию. Он воссоздается во время следующего обновления.

В некоторых случаях мастер установки создает конфигурацию, которая не работает для топологии. Например, если у вас есть топология леса учетной записи и ресурсов, но вы расширили схему в лесу учетной записи с помощью схемы Exchange, то правила для Exchange создаются как для леса учетной записи, так и для леса ресурсов. В этом случае необходимо отключить правило синхронизации для Exchange.

На предыдущем рисунке мастер установки нашел старую схему Exchange 2003 в лесу Active Directory. Это расширение схемы было добавлено до появления леса ресурсов в среде Fabrikam. Чтобы атрибуты из старой реализации Exchange не синхронизировались, правило синхронизации должно быть отключено, как показано ниже.

Изменение нестандартного правила

Единственный случай, когда следует изменить правило из коробки, — это необходимость изменить правило соединения. Если необходимо изменить поток атрибутов, необходимо создать правило синхронизации с более высоким приоритетом, чем правила вне поля. Единственное правило, которое необходимо клонировать, — это правило In из AD — присоединение пользователей. Вы можете переопределить все остальные правила с более высоким приоритетом.

Если необходимо внести изменения в нестандартное правило, необходимо сделать копию нестандартного правила и отключить исходное правило. Затем внесите изменения в клонированном правиле. Редактор правил синхронизации помогает вам выполнить эти действия. При открытии нестандартного правила вы получите следующее диалоговое окно:

Выберите Да, чтобы создать копию правила. Затем открывается клонированное правило.

В этом клонированном правиле внесите все необходимые изменения в объем, соединение и преобразования.

Дальнейшие действия

разделы Обзорные темы

• Синхронизация Microsoft Entra Connect: общие сведения о синхронизации и настройка
• Интеграция локально развернутых идентификационных данных с Microsoft Entra ID