Microsoft Entra Connect Sync:更改默认配置的最佳做法

本主题的目的是介绍对 Microsoft Entra Connect Sync 的支持和不支持的更改。

Microsoft Entra Connect 创建的配置无需更改即可适用于同步本地 Active Directory 与 Microsoft Entra ID 的大多数环境。 但是,在某些情况下,有必要对配置应用一些更改以满足特定需求或要求。

对服务帐户的更改

Microsoft Entra Connect Sync 在安装向导创建的服务帐户下运行。 此服务帐户保留同步所使用的数据库的加密密钥。它创建的密码长度为 127 个字符,密码设置为不过期。

警告

如果更改或重置 ADSync 服务帐户密码,则在放弃加密密钥并重新初始化 ADSync 服务帐户密码之前,同步服务将无法正确启动。 为此,请参阅 更改 ADSync 服务帐户密码

计划程序的更改

从内部版本 1.1(2016 年 2 月)开始,可以将计划程序配置为使用非默认的同步周期(默认周期为 30 分钟)。

对同步规则的更改

安装向导提供一个配置,该配置应该适用于最常见的方案。 如果需要更改配置,则必须遵循这些规则才能进行受支持的配置。

警告

如果您对默认同步规则进行更改,那么在下次 Microsoft Entra Connect 更新时,这些更改会被覆盖,这会导致同步结果意外且可能不符合预期。

  • 如果默认的直接属性流不适用于组织,可以更改属性流
  • 如果希望属性不流动并要删除 Microsoft Entra ID 中的任何现有属性值,需要为此场景创建规则。
  • 禁用不需要的同步规则 而不是删除它。 升级期间会重新创建已删除的规则。
  • 若要更改现成的规则,应复制原始规则并禁用现成的规则。 同步规则编辑器会提示并提供帮助。
  • 使用同步规则编辑器导出自定义同步规则。 编辑器提供了一个 PowerShell 脚本,可用于在灾难恢复方案中轻松重新创建它们。

警告

现成的同步规则具有指纹。 如果对这些规则进行更改,指纹将不再匹配。 尝试应用新版 Microsoft Entra Connect 时,将来可能会遇到问题。 仅按照本文中所述的方式进行更改。

禁用不需要的同步规则

不要删除现成的同步规则。 下一次升级期间会重新创建该规则。

在某些情况下,安装向导生成的配置不适用于拓扑。 例如,如果使用帐户资源林拓扑,但已在具有 Exchange 架构的帐户林中扩展该架构,则系统将针对帐户林和资源林创建适用于 Exchange 的规则。 在这种情况下,需要禁用 Exchange 的同步规则。

禁用同步规则

在上图中,安装向导在帐户林中找到了旧的 Exchange 2003 架构。 此架构扩展是在 Fabrikam 环境中引入资源林之前添加的。 为了确保没有同步旧 Exchange 实现中的属性,应禁用同步规则,如下所示。

更改现成的规则

仅当需要更改联接规则时,才应更改现成的规则。 若需更改属性流,则应在创建同步规则时,让其优先级高于现成的规则。 实际上,需克隆的唯一规则是规则 In from AD - User Join。 可以使用优先级更高的规则重写所有其他规则。

如果需要对现成的规则进行更改,应该复制该现成的规则,并禁用原始规则。 然后对克隆的规则进行更改。 同步规则编辑器将帮助你完成这些步骤。 打开现成的规则时,会显示此对话框:
对现成规则的警告

选择“是”创建规则的副本。 随后会打开克隆的规则。
克隆的规则

在这个克隆的规则中,对范围、联接和转换进行任何必要的更改。

后续步骤

概述主题