Функции службы синхронизации Microsoft Entra Connect
Функция синхронизации Microsoft Entra Connect состоит из двух компонентов:
- Локальный компонент с именем Microsoft Entra Connect Sync также называется подсистемой синхронизации.
- Служба, которая входит в состав службы идентификации Microsoft Entra, также известна как служба синхронизации Microsoft Entra Connect
В этом разделе объясняется, как работают следующие функции службы синхронизации Microsoft Entra Connect и как их можно настроить с помощью PowerShell.
Чтобы просмотреть конфигурацию в каталоге Microsoft Entra с помощью Graph PowerShell, используйте следующие команды:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Результат выглядит следующим образом:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Примечание.
С 24 августа 2016 года функция устойчивости к дублированию атрибутов включена по умолчанию для новых каталогов Microsoft Entra. Эта функция была развернута и включена в каталогах, созданных до этой даты. Вы получите уведомление по электронной почте, когда в вашем каталоге будет активирована эта функция.
В Microsoft Entra Connect настроены следующие параметры:
| Функция синхронизации каталогов (DirSyncFeature) | Комментарий |
|---|---|
| SoftMatchOnUpn | Позволяет присоединять объекты по атрибуту userPrincipalName в дополнение к основному адресу SMTP. |
| SynchronizeUpnForManagedUsers | Позволяет подсистеме синхронизации обновлять атрибут userPrincipalName для управляемых или лицензированных (нефедерированных) пользователей. |
| DeviceWriteback (обратная запись устройства) | Microsoft Entra Connect: включение обратной записи устройств |
| РасширенияКаталога | Microsoft Entra Connect Sync: расширения каталогов |
|
Устойчивость дублированных прокси-адресов Устойчивость дублирующегося UPN |
Позволяет помещать атрибут в карантин, если он является дубликатом другого объекта, вместо того чтобы завершать экспорт сбоем из-за всего объекта. |
| Синхронизация хэша паролей | Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect |
| Обратная запись паролей | Не поддерживается. Эта функция службы прекращена. Настройка обратной записи паролей см. в статье "Включение обратной записи паролей" в Microsoft Entra Connect |
| Сквозная проверка подлинности | Вход пользователей с использованием сквозной проверки подлинности Microsoft Entra |
| UnifiedGroupWriteback | Обратная запись групп |
| Обратная запись пользователя | Не поддерживается в текущей версии. |
Устойчивость повторяющихся атрибутов
Вместо того, чтобы не обрабатывать объекты с повторяющимися унифицированными именами участников или proxy-адресами, дублированный атрибут "карантинируется", и ему назначается временное значение. После разрешения конфликта временный UPN будет автоматически изменен на правильное значение. Для получения дополнительной информации см. «Синхронизация удостоверений и устойчивость дублирующих атрибутов».
Мягкое сопоставление атрибута userPrincipalName
Когда эта функция включена, для имени участника-пользователя (UPN) и основного адреса SMTP включается мягкое сопоставление, при этом основный адрес SMTP всегда активирован. Мягкое сопоставление используется для соединения существующих облачных пользователей в Microsoft Entra ID с локальными пользователями.
Если вам нужно сопоставить локальные учетные записи AD с существующими учетными записями, созданными в облаке, и вы не используете Exchange Online, эта функция полезна. В такой ситуации устанавливать атрибут SMTP для облака обычно не нужно.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Если эта функция включена, она блокирует функцию Soft Match. Клиентам рекомендуется включить эту функцию и оставить ее включенной до тех пор, пока для их использования снова не потребуется мягкое сопоставление. Этот флаг следует снова включить после того, как мягкое сопоставление завершено и больше не требуется.
Пример - Блокировка мягкого сопоставления в арендаторе:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Примечание.
При включении BlockSoftMatch новые гибридные устройства столкнутся с ошибкой InvalidSoftMatch во время попытки Soft Match. Это происходит, когда объект компьютера, синхронизированный из локальной среды Active Directory (AD) в Entra, объединяется с новым устройством, зарегистрированным в облаке. Чтобы устранить эту проблему, администраторы должны временно отключить BlockSoftMatch, чтобы разрешить гибридное присоединение продолжить.
Синхронизация обновлений атрибута userPrincipalName
Исторически обновления атрибута UserPrincipalName с помощью службы синхронизации из локальной среды заблокированы, если только оба из этих условий не были верными:
- Управляемый пользователем (нефедерированный).
- У пользователя нет лицензии.
Примечание.
С марта 2019 года разрешено синхронизировать изменения UPN для федеративных учетных записей пользователей.
Включение этой функции позволяет модулю синхронизации обновлять атрибут userPrincipalName при его изменении в локальной среде и при использовании синхронизации хэша паролей или сквозной аутентификации.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
После включения этой функции существующие значения userPrincipalName остаются as-is. При следующем изменении атрибута userPrincipalName в локальной среде обычная разностная синхронизация пользователей обновляет UPN. После включения этой функции его отключить невозможно.