Azure AD Connect Sync: osvědčené postupy pro změnu výchozí konfigurace

Účelem tohoto tématu je popsat podporované a nepodporované změny Azure AD Connect synchronizace.

Konfigurace vytvořená nástrojem Azure AD Connect funguje tak, jak je, pro většinu prostředí, která synchronizují místní službu Active Directory se službou Azure AD. V některých případech je však nutné použít některé změny konfigurace, aby splňovaly určitou potřebu nebo požadavek.

Změny účtu služby

Synchronizace Azure AD Connect běží pod účtem služby vytvořeným průvodcem instalací. Tento účet služby uchovává šifrovací klíče pro databázi, kterou používá synchronizace. Vytvoří se s délkou hesla 127 znaků a heslo je nastavené na nevypršení platnosti.

Změny plánovače

Od verzí od Build 1,1 (únor 2016) můžete nakonfigurovat, aby Plánovač měl jiný cyklus synchronizace než výchozí 30 minut.

Změny pravidel synchronizace

Průvodce instalací poskytuje konfiguraci, která by měla fungovat v nejběžnějších scénářích. V případě, že je třeba provést změny v konfiguraci, je nutné dodržovat tato pravidla, aby byla stále podporovaná konfigurace.

• Toky atributů můžete změnit , pokud výchozí přímé toky atributů nejsou vhodné pro vaši organizaci.
• Pokud nechcete přesměrovat atribut a odebrat všechny existující hodnoty atributu v Azure AD, musíte pro tento scénář vytvořit pravidlo.
• Místo odstranění neodstraňujte pravidlo pro nechtěné synchronizace . Při upgradu se znovu vytvoří odstraněné pravidlo.
• Chcete-li změnit pravidlo pro předběžné pole, měli byste vytvořit kopii původního pravidla a zakázat pravidlo pro předdefinované. Editor pravidel synchronizace vás vyzve a pomůže vám.
• Exportujte vlastní pravidla synchronizace pomocí editoru pravidel synchronizace. Editor poskytuje skript PowerShellu, který můžete použít ke snadnému opětovnému vytvoření ve scénáři zotavení po havárii.

Zakázat pravidlo pro nechtěné synchronizace

Neodstraňujte pravidlo pro synchronizaci předem připraveného okna. Při dalším upgradu se znovu vytvoří.

V některých případech Průvodce instalací vytvořil konfiguraci, která pro vaši topologii nefunguje. Pokud máte například topologii doménové struktury prostředků účtů, ale rozšířili jste schéma v doménové struktuře účtu se schématem Exchange, budou pro doménovou strukturu účtů a doménovou strukturu prostředků vytvořená pravidla pro Exchange. V takovém případě je nutné zakázat pravidlo synchronizace pro Exchange.

Na obrázku výše v doménové struktuře účtu našel Průvodce instalací staré schéma Exchange 2003. Toto rozšíření schématu se přidalo ještě před tím, než se zavedla struktura prostředků v prostředí společnosti Fabrikam. Chcete-li zajistit, aby nebyly žádné atributy z původní implementace systému Exchange synchronizovány, pravidlo synchronizace by mělo být zakázáno, jak je uvedeno níže.

Změna pravidla pro předběžné pole

V případě, že je třeba změnit pravidlo spojení, stačí, když změníte pravidlo pro spojení. Pokud potřebujete změnit tok atributů, pak byste měli vytvořit pravidlo synchronizace s vyšší prioritou než pravidla pro dodávání v krabicích. Jediné pravidlo, které prakticky potřebujete klonovat, je pravidlo v rámci připojení ke službě AD – uživatel. Všechna ostatní pravidla můžete přepsat pravidlem s vyšší prioritou.

Pokud potřebujete provést změny v pravidle předdefinovaných verzí, pak byste měli vytvořit kopii předem připraveného pravidla a zakázat původní pravidlo. Pak proveďte změny klonovaného pravidla. Editor pravidla synchronizace vám pomáhá s těmito kroky. Když otevřete předdefinované pravidlo, zobrazí se toto dialogové okno:

Pokud chcete vytvořit kopii pravidla, vyberte Ano . Pak se otevře klonované pravidlo.

U tohoto klonovaného pravidla proveďte všechny nezbytné změny rozsahu, spojování a transformací.

Další kroky

Témata s přehledem

• Azure AD Connect synchronizace: pochopení a přizpůsobení synchronizace
• Integrování místních identit do služby Azure Active Directory