Microsoft Entra Connect 同步服务功能

Microsoft Entra Connect 的同步功能有两个组件:

  • 名为 Microsoft Entra Connect 同步的本地组件,也称为同步引擎。
  • 驻留在 Microsoft Entra ID 中的服务也称为 Microsoft Entra Connect Sync 服务

本主题说明 Microsoft Entra Connect 同步服务的以下功能的工作原理,以及如何使用 PowerShell 来配置这些功能。

若要使用 Graph PowerShell 查看 Microsoft Entra 目录中的配置,请使用以下命令:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

结果可能类似以下输出:

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

注意

从 2016 年 8 月 24 日起,将为新的 Microsoft Entra 目录默认启用重复属性复原功能。 今后还会针对此日期之前创建的目录推出并启用此功能。 在为目录启用此功能之前的短时间内,用户会收到电子邮件通知。

Microsoft Entra Connect 中配置了以下设置:

DirSyncFeature 注释
SoftMatchOnUpn 除了允许对象加入主 SMTP 地址,还允许对象加入 userPrincipalName。
SynchronizeUpnForManagedUsers 允许同步引擎更新托管/许可(非联合)用户的 userPrincipalName 属性。
DeviceWriteback Microsoft Entra Connect:启用设备写回
DirectoryExtensions Microsoft Entra Connect 同步:目录扩展
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
如果某些属性是另一个对象的副本而不会在导出期间导致整个对象失败,则允许隔离该属性。
密码哈希同步 使用 Microsoft Entra Connect Sync 实现密码哈希同步
密码写回 不支持。 此服务功能已停止使用。 若要配置密码写回,请参阅“在 Microsoft Entra Connect 中启用密码写回
直通身份验证 使用 Microsoft Entra 直通身份验证进行用户登录
UnifiedGroupWriteback 组写回
UserWriteback 当前不支持。

重复属性复原

将重复的属性“隔离”并分配临时值,而不是使预配包含重复 UPNs/proxyAddresses 的对象失败。 解决冲突时,自动将临时 UPN 更改为适当的值。 有关详细信息,请参阅标识同步和重复属性复原

UserPrincipalName 软匹配

启用此功能后,除了始终启用的主 SMTP 地址,将为 UPN 启用软匹配。 软匹配功能用于将 Microsoft Entra ID 中的现有云用户与本地用户进行匹配。

如果需要将本地 AD 帐户与云中创建的现有帐户进行匹配,但未使用 Exchange Online,则此功能非常有用。 在此情况下,通常没有必要在云中设置 SMTP 属性。

在新建的 Microsoft Entra 目录中,默认已打开此功能。 可以运行以下命令查看是否已启用此功能:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

如果未为 Microsoft Entra 目录启用此功能,你可以运行以下命令来启用:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

启用此功能后,它将阻止软匹配功能。 建议客户启用此功能,并将其保持启用状态,直到租户再次需要软匹配。 在任何软匹配已完成且不再需要后,应再次启用此标志。

示例 - 阻止租户中的软匹配:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

同步 userPrincipalName 更新

在过去,除非以下两个条件都成立,否则会阻止在本地使用同步服务对 UserPrincipalName 属性进行更新:

  • 用户托管(未联合)。
  • 用户没有分配到许可证。

注意

从 2019 年 3 月起,允许同步联合用户帐户的 UPN 更改。

如果 userPrincipalName 在本地发生更改并且你使用密码哈希同步或直通身份验证,则启用此功能后,同步引擎将更新 userPrincipalName。

在新建的 Microsoft Entra 目录中,默认已打开此功能。 可以运行以下命令查看是否已启用此功能:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

如果未为 Microsoft Entra 目录启用此功能,你可以运行以下命令来启用:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

启用此功能后,现有的 userPrincipalName 值将保持不变。 下一次在本地更改 userPrincipalName 属性时,对用户进行正常的增量同步会更新 UPN。 启用此功能后,将无法禁用此功能。

另请参阅