Microsoft Entra Koneksi Sync: Praktik terbaik untuk mengubah konfigurasi default

Tujuan topik ini adalah untuk menjelaskan perubahan yang didukung dan tidak didukung pada Microsoft Entra Koneksi Sync.

Konfigurasi yang dibuat oleh Microsoft Entra Koneksi berfungsi "apa adanya" untuk sebagian besar lingkungan yang menyinkronkan Active Directory lokal dengan ID Microsoft Entra. Namun, dalam beberapa kasus, perlu untuk menerapkan beberapa perubahan pada konfigurasi untuk memenuhi kebutuhan atau persyaratan tertentu.

Perubahan pada akun layanan

Microsoft Entra Koneksi Sync berjalan di bawah akun layanan yang dibuat oleh wizard penginstalan. Akun layanan ini menyimpan kunci enkripsi ke database yang digunakan oleh sinkronisasi. Ini dibuat dengan kata sandi panjangnya 127 karakter dan kata sandi diatur untuk tidak kedaluwarsa.

Peringatan

Jika Anda mengubah kata sandi akun layanan ADSync, Layanan Sinkronisasi tidak akan dapat dimulai dengan benar sampai Anda mengabaikan kunci enkripsi dan mengaktifkan kembali kata sandi akun layanan Azure ADSync. Untuk melakukan hal ini, lihat Mengubah kata sandi akun layanan ADSync.

Perubahan pada penjadwal

Dimulai dengan rilis dari build 1.1 (Februari 2016) Anda dapat mengonfigurasi penjadwal agar memiliki siklus sinkronisasi yang berbeda dari default 30 menit.

Perubahan pada Aturan Sinkronisasi

Wizard penginstalan menyediakan konfigurasi yang seharusnya berfungsi untuk skenario yang paling umum. Jika perlu membuat perubahan pada konfigurasi, Anda harus mengikuti aturan ini untuk tetap memiliki konfigurasi yang didukung.

Peringatan

Jika Anda membuat perubahan pada aturan sinkronisasi default, perubahan ini akan ditimpa saat Microsoft Entra Koneksi diperbarui berikutnya, yang mengakibatkan hasil sinkronisasi yang tidak terduga dan kemungkinan tidak diinginkan.

• Anda dapat mengubah alur atribut jika alur atribut langsung default tidak cocok untuk organisasi Anda.
• Jika Anda ingin tidak mengalirkan atribut dan menghapus nilai atribut yang ada di ID Microsoft Entra, maka Anda perlu membuat aturan untuk skenario ini.
• Nonaktifkan Aturan Sinkronisasi yang tidak diinginkan daripada menghapusnya. Aturan yang dihapus dibuat ulang selama peningkatan.
• Untuk mengubah aturan out-of-box, Anda harus membuat salinan aturan asli dan menonaktifkan aturan out-of-box. Editor Aturan Sinkronisasi meminta dan membantu Anda.
• Ekspor aturan sinkronisasi kustom Anda menggunakan Editor Aturan Sinkronisasi. Editor memberi Anda skrip PowerShell yang dapat Anda gunakan untuk membuatnya kembali dengan mudah dalam skenario pemulihan bencana.

Peringatan

Aturan sinkronisasi out-of-box memiliki thumbprint. Jika Anda membuat perubahan pada aturan ini, thumbprint tidak lagi cocok. Anda mungkin mengalami masalah di masa mendatang saat mencoba menerapkan rilis baru Microsoft Entra Koneksi. Lakukan perubahan hanya dengan cara yang dijelaskan di artikel ini.

Menonaktifkan Aturan Sinkronisasi yang tidak diinginkan

Jangan hapus aturan sinkronisasi out-of-box. Ini dibuat ulang selama peningkatan berikutnya.

Dalam beberapa kasus, wizard penginstalan telah menghasilkan konfigurasi yang tidak berfungsi untuk topologi Anda. Misalnya, jika Anda memiliki topologi forest sumber daya akun tetapi Anda telah memperpanjang skema di forest akun dengan skema Exchange, aturan untuk Exchange dibuat untuk forest akun dan forest sumber daya. Dalam hal ini, Anda perlu menonaktifkan Aturan Sinkronisasi untuk Exchange.

Pada gambar di atas, wizard penginstalan telah menemukan skema Exchange 2003 lama di forest akun. Ekstensi skema ini ditambahkan sebelum forest sumber daya diperkenalkan di lingkungan Fabrikam. Untuk memastikan tidak ada atribut dari implementasi Exchange lama yang disinkronkan, aturan sinkronisasi harus dinonaktifkan seperti yang ditunjukkan.

Mengubah aturan out-of-box

Satu-satunya saat Anda harus mengubah aturan out-of-box adalah saat Anda perlu mengubah aturan bergabung. Jika perlu mengubah alur atribut, Anda harus membuat aturan sinkronisasi dengan prioritas yang lebih tinggi daripada aturan out-of-box. Satu-satunya aturan yang secara praktis perlu Anda kloning adalah aturan Masuk dari AD - Pengguna Bergabung. Anda dapat menimpa semua aturan lain dengan aturan prioritas yang lebih tinggi.

Jika perlu membuat perubahan pada aturan out-of-box, Anda harus membuat salinan aturan out-of-box dan menonaktifkan aturan asli. Kemudian membuat perubahan pada aturan kloning. Editor Aturan Sinkronisasi membantu Anda dengan langkah-langkah tersebut. Saat membuka aturan out-of-box, kotak dialog ini akan ditampilkan kepada Anda:

Pilih Ya untuk membuat salinan aturan. Aturan kloning kemudian dibuka.

Pada aturan kloning ini, buat perubahan apa pun yang diperlukan pada cakupan, penggabungan, dan transformasi.

Langkah berikutnya

Topik ringkasan

• Microsoft Entra Koneksi Sync: Memahami dan menyesuaikan sinkronisasi
• Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra