Microsoft Entra Connect 同步處理：變更預設組態的最佳作法

本主題的目的旨在說明支援及不支援的 Microsoft Entra Connect 同步處理變更。

Microsoft Entra Connect 所建立的組態適用於大部分同步內部部署 Active Directory 與 Microsoft Entra ID 的「現狀」環境。不過，在某些情況下，組態必須套用某些變更以滿足特定需要或需求。

服務帳戶的變更

Microsoft Entra Connect 同步處理會使用安裝精靈所建立的服務帳戶執行。這個服務帳戶會存放同步處理所使用的資料庫加密金鑰。它是使用 127 個字元長的密碼所建立的，而且密碼已設定為永不到期。

警告

如果您變更或重設 ADSync 服務帳戶密碼，「同步處理服務」將會無法正確啟動，直到您放棄加密金鑰並將 ADSync 服務帳戶密碼重新初始化為止。若要這樣做，請參閱變更 ADSync 服務帳戶密碼。

從組建 1.1 (2016 年 2 月) 的版本開始，您可以將排程器的同步處理週期設定為預設值 30 分鐘以外的值。

安裝精靈所提供的組態應該適用於最常見的案例。萬一您需要對組態進行變更，則您必須遵循這些規則，以便仍能具備支援的組態。

警告

若您變更預設的同步處理規則，則系統在下次更新 Microsoft Entra Connect 時會覆寫這些變更，導致非預期且可能不想要的同步處理結果。

警告

現成可用的同步處理規則具有憑證指紋。如果您變更這些規則，將不再符合憑證指紋。未來當您嘗試套用新版的 Microsoft Entra Connect 時可能會遇到問題。僅利用本文所述的方式進行變更。

請勿刪除現成可用的同步處理規則。升級期間會重新建立此規則。

在某些情況下，安裝精靈所產生的組態不適用於您的拓撲。例如，如果您具備帳戶與資源樹系拓撲，但已在具備 Exchange 結構描述的帳戶樹系中擴充該結構描述，則系統會針對帳戶樹系和資源樹系建立適用於 Exchange 的規則。在此情況下，您需要停用適用於 Exchange 的同步處理規則。

已停用同步處理規則

在上圖中，安裝精靈已在帳戶樹系中找到舊的 Exchange 2003 結構描述。此結構描述擴充是在 Fabrikam 的環境中引進資源樹系之前新增的。若要確保不會同步處理任何來自舊的 Exchange 實作的屬性，就必須以所述的方式停用同步處理規則。

只有當您需要變更聯結規則時，才應該變更內建規則。如果您需要變更屬性流程，則您應該建立其優先順序高於內建規則的同步處理規則。您實際上唯一需要複製的規則是 In from AD - User Join 規則。您可以使用具有較高優先順序的規則來覆寫所有其他規則。

如果您需要對現成可用的規則進行變更，則您應該複製該現成可用的規則，然後停用原始的規則。接著對複製的規則進行變更。同步處理規則編輯器會協助您完成這些步驟。當您開啟現成可用的規則時，即會顯示此對話方塊：
對現成可用的規則發出警告

選取 [是] 來建立規則的複本。隨即會開啟複製的規則。

在這個複製的規則上，對範圍、聯結和轉換進行任何必要變更。

概觀主題