Funzionalità del servizio di sincronizzazione Azure AD Connect

La funzionalità di sincronizzazione di Azure AD Connect include due componenti:

  • Il componente locale, ovvero l'utilità di sincronizzazione Azure AD Connect detta anche motore di sincronizzazione.
  • Il servizio residente in Azure AD, noto anche come Servizio di sincronizzazione Azure AD Connect

Questo argomento illustra l'utilizzo delle funzionalità del Servizio di sincronizzazione Azure AD Connect seguenti e come è possibile configurarle e usarle con Windows PowerShell.

Queste impostazioni sono configurate tramite il Modulo di Microsoft Azure Active Directory per Windows PowerShell. Scaricarlo e installarlo separatamente da Azure AD Connect. I cmdlet documentati in questo argomento sono stati introdotti nella versione di marzo 2016 (build 9031.1). Se i cmdlet documentati in questo argomento non sono disponibili o non producono lo stesso risultato, assicurarsi di eseguire la versione più recente.

Per visualizzare la configurazione nella directory di Azure AD, eseguire Get-MsolDirSyncFeatures.
Risultato di Get-MsolDirSyncFeatures

Molte di queste impostazioni possono essere modificate solo da Azure AD Connect.

Di seguito sono riportate le impostazioni che possono essere configurate da Set-MsolDirSyncFeature:

DirSyncFeature Commento
EnableSoftMatchOnUpn Consente l'aggiunta di oggetti a userPrincipalName oltre all'indirizzo SMTP primario.
SynchronizeUpnForManagedUsers Consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName per gli utenti gestiti/con licenza (non federati).

Una volta abilitata una funzionalità, non potrà essere disabilitata di nuovo.

Nota

Dal 24 agosto 2016, la funzionalità Duplicate attribute resiliency (Resilienza degli attributi duplicati) è abilitata per impostazione predefinita per le nuove directory di Azure AD. Questa funzionalità sarà implementata e abilitata anche nelle directory create prima di tale data. Si riceverà una notifica tramite posta elettronica quando sta per essere abilitata questa funzionalità nella directory dell'utente.

Le impostazioni seguenti vengono configurate da Azure AD Connect e non possono essere modificate da Set-MsolDirSyncFeature:

DirSyncFeature Commento
DeviceWriteback Azure AD Connect: abilitazione del writeback dei dispositivi
DirectoryExtensions Servizio di sincronizzazione Azure AD Connect: estensioni della directory
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Consente di mettere in quarantena un attributo quando è un duplicato di un altro oggetto, invece di causare l'errore dell'intero oggetto durante l'esportazione.
PasswordSync Implementazione della sincronizzazione password con il servizio di sincronizzazione Azure AD Connect
UnifiedGroupWriteback Anteprima: Writeback dei gruppi
UserWriteback Attualmente non è supportata.

Duplicate attribute resiliency

Invece di causare un errore di provisioning degli oggetti con UPN o proxyAddress duplicati, l'attributo duplicato viene "messo in quarantena" e viene assegnato un valore temporaneo. Una volta risolto il conflitto, l'UPN temporaneo viene modificato automaticamente con il valore appropriato. Per altre informazioni, vedere Sincronizzazione delle identità e resilienza degli attributi duplicati.

Corrispondenza flessibile di userPrincipalName

Quando questa funzionalità è abilitata, la corrispondenza flessibile viene abilitata per l'UPN, oltre all' indirizzo SMTP primarioche è sempre abilitato. La corrispondenza flessibile viene usata per associare gli utenti del cloud esistente in Azure AD con gli utenti locali.

Questa funzionalità è utile se gli account AD account locali devono corrispondere agli account esistenti creati nel cloud e non si usa Exchange Online. In questo scenario non esiste in genere un motivo per impostare l'attributo SMTP nel cloud.

Questa funzionalità è attivata per impostazione predefinita per le nuove directory di Azure AD . Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Se questa funzionalità non è abilitata per la directory di Azure AD in uso, è possibile abilitarla eseguendo:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

Sincronizzare gli aggiornamenti di userPrincipalName

In genere, gli aggiornamenti dell'attributo UserPrincipalName usando il servizio di sincronizzazione locale vengono bloccati, a meno che siano rispettate entrambe le condizioni seguenti:

  • L'utente è gestito (non federato).
  • All'utente non è stata assegnata una licenza.

Per alte informazioni, vedere I nomi utente in Office 365, Azure o Intune non corrispondono agli ID di accesso o alternativi dell'UPN locale.

L'abilitazione di questa funzionalità consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName quando viene modificato a livello locale e si usa la sincronizzazione password. Se si usa la federazione, questa funzionalità non è supportata.

Questa funzionalità è attivata per impostazione predefinita per le nuove directory di Azure AD . Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Se questa funzionalità non è abilitata per la directory di Azure AD in uso, è possibile abilitarla eseguendo:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

Dopo aver abilitato questa funzionalità, i valori di userPrincipalName esistenti rimarranno invariati. Alla successiva modifica dell'attributo userPrincipalName locale, la normale sincronizzazione differenziale degli utenti aggiornerà l'UPN.

Vedere anche