Funkce služby Microsoft Entra Connect Sync
Funkce synchronizace microsoft Entra Připojení má dvě komponenty:
- Místní komponenta s názvem Microsoft Entra Připojení Sync, označovaná také jako synchronizační modul.
- Služba umístěná ve službě Microsoft Entra ID označované také jako služba Microsoft Entra Připojení Sync
Toto téma vysvětluje, jak fungují následující funkce služby Microsoft Entra Připojení Sync a jak je můžete nakonfigurovat pomocí PowerShellu.
Pokud chcete zobrazit konfiguraci v adresáři Microsoft Entra pomocí Graph PowerShellu, použijte následující příkazy:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Výsledek vypadá takto:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Jakmile funkci povolíte, už ji nejde zakázat.
Poznámka:
Od 24. srpna 2016 je ve výchozím nastavení povolená odolnost duplicitních atributů pro nové adresáře Microsoft Entra. Tato funkce se také nasadí a povolí u adresářů vytvořených před tímto datem. Až se adresář chystá tuto funkci povolit, obdržíte e-mailové oznámení.
Microsoft Entra Připojení nakonfiguruje následující nastavení:
| DirSyncFeature | Komentář |
|---|---|
| SoftMatchOnUpn | Umožňuje, aby se objekty připojily k userPrincipalName kromě primární adresy SMTP. |
| SynchronizeUpnForManagedUsers | Umožňuje synchronizačnímu modulu aktualizovat atribut userPrincipalName pro spravované nebo licencované uživatele (nefederované). |
| DeviceWriteback | Microsoft Entra Připojení: Povolení zpětného zápisu zařízení |
| DirectoryExtensions | Microsoft Entra Připojení Sync: Rozšíření adresáře |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Umožňuje umístit atribut do karantény, pokud se jedná o duplikát jiného objektu, místo aby během exportu selhal celý objekt. |
| Synchronizace hodnoty hash hesel | Implementace synchronizace hodnot hash hesel se službou Microsoft Entra Připojení Sync |
| Předávací ověřování | Přihlášení uživatele pomocí předávacího ověřování Microsoft Entra |
| UnifiedGroupWriteback | Zpětný zápis skupin |
| UserWriteback | Aktuálně se nepodporuje. |
Odolnost duplicitních atributů
Místo toho, aby se nepodařilo zřídit objekty s duplicitními názvy UPN / proxyAddresses, duplikovaný atribut je "v karanténě" a je přiřazena dočasná hodnota. Po vyřešení konfliktu se dočasný hlavní název uživatele (UPN) automaticky změní na správnou hodnotu. Další podrobnosti najdete v tématu Synchronizace identit a odolnost duplicitních atributů.
Soft match userPrincipalName
Pokud je tato funkce povolená, povolí se pro hlavní název uživatele (UPN) kromě primární adresy SMTP, která je vždy povolená. Soft-match se používá ke spárování stávajících cloudových uživatelů v Microsoft Entra ID s místními uživateli.
Pokud potřebujete spárovat místní účty AD s existujícími účty vytvořenými v cloudu a nepoužíváte Exchange Online, je tato funkce užitečná. V tomto scénáři obvykle nemáte důvod nastavit atribut SMTP v cloudu.
Tato funkce je ve výchozím nastavení zapnutá pro nově vytvořené adresáře Microsoft Entra. Spuštěním tohoto příkazu zjistíte, jestli je tato funkce povolená:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Pokud tato funkce není pro váš adresář Microsoft Entra povolená, můžete ji povolit spuštěním tohoto příkazu:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Pokud je tato funkce povolená, zablokuje funkci Soft Match. Zákazníkům se doporučuje povolit tuto funkci a ponechat ji zapnutou, dokud se pro tenanty nebude znovu vyžadovat soft matching. Tento příznak by se měl znovu povolit po dokončení jakékoli měkké shody a už není potřeba.
Příklad: Pokud chcete ve svém tenantovi zablokovat obnovitelné párování, spusťte tuto rutinu:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Synchronizace aktualizací userPrincipalName
V minulosti byly aktualizace atributu UserPrincipalName pomocí synchronizační služby z místního prostředí zablokovány, pokud obě tyto podmínky nebyly splněny:
- Uživatel je spravovaný (nefederovaný).
- Uživateli nebyla přiřazena licence.
Poznámka:
Od března 2019 je synchronizace změn hlavního názvu uživatele (UPN) pro federované uživatelské účty povolená.
Povolení této funkce umožňuje synchronizačnímu modulu aktualizovat userPrincipalName při změně v místním prostředí a použít synchronizaci hodnot hash hesel nebo předávací ověřování.
Tato funkce je ve výchozím nastavení zapnutá pro nově vytvořené adresáře Microsoft Entra. Spuštěním tohoto příkazu zjistíte, jestli je tato funkce povolená:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Pokud tato funkce není pro váš adresář Microsoft Entra povolená, můžete ji povolit spuštěním tohoto příkazu:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Po povolení této funkce zůstanou existující hodnoty userPrincipalName tak, jak jsou. Při další změně atributu userPrincipalName v místním prostředí se normální rozdílová synchronizace uživatelů aktualizuje.