Microsoft Entra Verbinding maken Sync: een wijziging aanbrengen in de standaardconfiguratie

Het doel van dit artikel is om u te helpen bij het aanbrengen van wijzigingen in de standaardconfiguratie in Microsoft Entra Verbinding maken Sync. Het biedt stappen voor enkele veelvoorkomende scenario's. Met deze kennis moet u eenvoudige wijzigingen in uw eigen configuratie kunnen aanbrengen op basis van uw eigen bedrijfsregels.

Waarschuwing

Als u wijzigingen aanbrengt in de standaard out-of-box-synchronisatieregels, worden deze wijzigingen overschreven wanneer Microsoft Entra Verbinding maken de volgende keer wordt bijgewerkt, wat resulteert in onverwachte en waarschijnlijk ongewenste synchronisatieresultaten.

De standaard regels voor standaardsynchronisatie hebben een vingerafdruk. Als u een wijziging aanbrengt in deze regels, komt de vingerafdruk niet meer overeen. Mogelijk hebt u in de toekomst problemen wanneer u probeert een nieuwe versie van Microsoft Entra toe te passen Verbinding maken. Breng alleen wijzigingen aan zoals deze in dit artikel worden beschreven.

Synchronisatieregelseditor

De editor voor synchronisatieregels wordt gebruikt om de standaardconfiguratie te bekijken en te wijzigen. U vindt deze in het menu Start onder de groep Microsoft Entra Verbinding maken.

Wanneer u de editor opent, ziet u de standaard out-of-box-regels.

Navigeren in de editor

Met behulp van de vervolgkeuzelijsten boven aan de editor kunt u snel een specifieke regel vinden. Als u bijvoorbeeld de regels wilt zien waarin de kenmerkproxyAddresses is opgenomen, kunt u de vervolgkeuzelijsten wijzigen in het volgende:

Als u het filteren opnieuw wilt instellen en een nieuwe configuratie wilt laden, drukt u op F5 op het toetsenbord.

Rechtsboven ziet u de knop Nieuwe regel toevoegen. U gebruikt deze knop om uw eigen aangepaste regel te maken.

Onderaan staan knoppen voor het reageren op een geselecteerde synchronisatieregel. Bewerken en verwijderen doet wat u verwacht. Exporteren produceert een PowerShell-script voor het opnieuw maken van de synchronisatieregel. Met deze procedure kunt u een synchronisatieregel van de ene server naar de andere verplaatsen.

Uw eerste aangepaste regel maken

De meest voorkomende wijzigingen zijn van de kenmerkstromen. De gegevens in uw bronmap zijn mogelijk niet hetzelfde als in Microsoft Entra-id. Controleer in het voorbeeld in deze sectie of de opgegeven naam van een gebruiker altijd in het juiste geval is.

De planner uitschakelen

De scheduler wordt standaard elke 30 minuten uitgevoerd. Zorg ervoor dat deze niet wordt gestart terwijl u wijzigingen aanbrengt en problemen met uw nieuwe regels opgeeft. Als u de scheduler tijdelijk wilt uitschakelen, start u PowerShell en voert u het uit Set-ADSyncScheduler -SyncCycleEnabled $false.

De regel maken

1. Klik op Nieuwe regel toevoegen.
2. Voer op de pagina Beschrijving het volgende in:
   
   • Naam: Geef de regel een beschrijvende naam.
   • Beschrijving: Geef wat verduidelijking zodat iemand anders kan begrijpen waar de regel voor staat.
   • Verbinding maken ed System: dit is het systeem waarin het object kan worden gevonden. In dit geval selecteert u Active Directory Verbinding maken or.
   • Verbinding maken ed System/Metaverse ObjectType: Selecteer respectievelijk Gebruiker en Persoon.
   • Koppelingstype: wijzig deze waarde in Join.
   • Prioriteit: Geef een waarde op die uniek is in het systeem. Een lagere numerieke waarde geeft een hogere prioriteit aan.
   • Tag: laat dit leeg. Alleen out-of-box-regels van Microsoft moeten dit vak hebben gevuld met een waarde.
3. Voer op de bereikfilterpagina givenName ISNOTNULL in.
   
   Deze sectie wordt gebruikt om te definiëren welke objecten de regel moet toepassen. Als deze leeg blijft, is de regel van toepassing op alle gebruikersobjecten. Dit omvat echter vergaderruimten, serviceaccounts en andere niet-personengebruikersobjecten.
4. Laat het veld leeg op de pagina Join-regels .
5. Wijzig FlowType op de pagina Transformaties in Expressie. Selecteer givenName voor het doelkenmerk. Voer voor bron PCase([givenName]) in.
   De synchronisatie-engine is hoofdlettergevoelig voor zowel de functienaam als de naam van het kenmerk. Als u iets verkeerd typt, ziet u een waarschuwing wanneer u de regel toevoegt. U kunt opslaan en doorgaan, maar u moet de regel opnieuw openen en corrigeren.
6. Klik op Toevoegen om de regel op te slaan.

De nieuwe aangepaste regel moet zichtbaar zijn met de andere synchronisatieregels in het systeem.

De wijziging controleren

Met deze nieuwe wijziging wilt u ervoor zorgen dat deze werkt zoals verwacht en geen fouten genereert. Afhankelijk van het aantal objecten dat u hebt, zijn er twee manieren om deze stap uit te voeren:

• Voer een volledige synchronisatie uit op alle objecten.
• Voer een preview-versie en volledige synchronisatie uit op één object.

Open de synchronisatieservice vanuit het menu Start . De stappen in deze sectie bevinden zich allemaal in dit hulpprogramma.

Volledige synchronisatie op alle objecten

1. Selecteer Verbinding maken oren bovenaan. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory-domein Services) en selecteer deze.
2. Selecteer Uitvoeren voor Acties.
3. Selecteer Volledige synchronisatie en selecteer vervolgens OK.
   De objecten worden nu bijgewerkt in de metaverse. Controleer uw wijzigingen door naar het object in de metaverse te kijken.

Preview en volledige synchronisatie van één object

1. Selecteer Verbinding maken oren bovenaan. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory-domein Services) en selecteer deze.
2. Selecteer Zoeken Verbinding maken or spatie.
3. Gebruik Bereik om een object te zoeken dat u wilt gebruiken om de wijziging te testen. Selecteer het object en klik op Voorbeeld.
4. Selecteer Voorbeeld doorvoeren in het nieuwe scherm.
   
   De wijziging wordt nu doorgevoerd in de metaverse.

Het object weergeven in de metaverse

1. Kies een paar voorbeeldobjecten om ervoor te zorgen dat de waarde wordt verwacht en dat de regel is toegepast.
2. Selecteer Metaverse Search bovenaan. Voeg een filter toe dat u nodig hebt om de relevante objecten te vinden.
3. Open een object in het zoekresultaat. Bekijk de kenmerkwaarden en controleer ook in de kolom Synchronisatieregels of de regel is toegepast zoals verwacht.
   

De planner inschakelen

Als alles naar verwachting is, kunt u de scheduler opnieuw inschakelen. Voer vanuit PowerShell de opdracht uit Set-ADSyncScheduler -SyncCycleEnabled $true.

Andere algemene wijzigingen in kenmerkstromen

In de vorige sectie wordt beschreven hoe u wijzigingen aanbrengt in een kenmerkstroom. In deze sectie worden enkele aanvullende voorbeelden gegeven. De stappen voor het maken van de synchronisatieregel worden afgekort, maar u vindt de volledige stappen in de vorige sectie.

Een ander kenmerk dan de standaardwaarde gebruiken

In dit Fabrikam-scenario is er een forest waarin het lokale alfabet wordt gebruikt voor de voornaam, achternaam en weergavenaam. De Latijnse tekenweergave van deze kenmerken vindt u in de extensiekenmerken. Voor het bouwen van een algemene adreslijst in Microsoft Entra ID en Microsoft 365 wil de organisatie deze kenmerken gebruiken.

Met een standaardconfiguratie ziet een object uit het lokale forest er als volgt uit:

Ga als volgt te werk om een regel te maken met andere kenmerkstromen:

1. Open de editor voor synchronisatieregels in het menu Start .
2. Als Inkomend nog steeds links is geselecteerd, klikt u op de knop Nieuwe regel toevoegen.
3. Geef de regel een naam en beschrijving. Selecteer het on-premises Active Directory-exemplaar en de relevante objecttypen. Selecteer in Koppelingstype de optie Join. Kies voor prioriteit een getal dat niet wordt gebruikt door een andere regel. De out-of-box-regels beginnen met 100, zodat de waarde 50 in dit voorbeeld kan worden gebruikt.
4. Laat het bereikfilter leeg. (Dat wil gezegd, dit moet van toepassing zijn op alle gebruikersobjecten in het forest.)
5. Laat regels voor join leeg. (Dat wil gezegd, laat de out-of-box-regel alle joins verwerken.)
6. Maak in transformaties de volgende stromen:
   
7. Klik op Toevoegen om de regel op te slaan.
8. Ga naar Synchronization Service Manager. Selecteer op Verbinding maken ors de connector waaraan u de regel hebt toegevoegd. Selecteer Uitvoeren en selecteer vervolgens Volledige synchronisatie. Een volledige synchronisatie berekent alle objecten opnieuw met behulp van de huidige regels.

Dit is het resultaat voor hetzelfde object met deze aangepaste regel:

Lengte van kenmerken

Tekenreekskenmerken kunnen standaard worden geïndexeerd en de maximale lengte is 448 tekens. Als u werkt met tekenreekskenmerken die meer kunnen bevatten, moet u het volgende opnemen in de kenmerkstroom:
attributeName<- . Left([attributeName],448)

Het userPrincipalS-achtervoegsel wijzigen

Het kenmerk userPrincipalName in Active Directory is niet altijd bekend door de gebruikers en is mogelijk niet geschikt als aanmeldings-id. Met de installatiewizard van Microsoft Entra Verbinding maken synchronisatie kunt u een ander kenmerk kiezen, bijvoorbeeld e-mail. Maar in sommige gevallen moet het kenmerk worden berekend.

Het bedrijf Contoso heeft bijvoorbeeld twee Microsoft Entra-directory's, één voor productie en één voor testdoeleinden. Ze willen dat de gebruikers in hun testtenant een ander achtervoegsel gebruiken in de aanmeldings-id:
Word([userPrincipalName],1,"@") & "@contosotest.com".

In deze expressie neemt u alles links van het eerste @-teken (Word) en voegt u deze samen met een vaste tekenreeks.

Een kenmerk met meerdere waarden converteren naar één waarde

Sommige kenmerken in Active Directory zijn meerdere waarden in het schema, ook al zien ze er in Active Directory één waarde uit. Een voorbeeld is het beschrijvingskenmerk:
description<- . IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))

Als het kenmerk in deze expressie een waarde heeft, neemt u het eerste item (Item) in het kenmerk, verwijdert u voorloop- en volgspaties (Trim) en houdt u vervolgens de eerste 448 tekens (links) in de tekenreeks.

Een kenmerk niet doorstromen

Zie Het proces van de kenmerkstroom beheren voor achtergrondinformatie over het scenario voor deze sectie.

Er zijn twee manieren om geen kenmerk te stromen. De eerste is door de installatiewizard te gebruiken om geselecteerde kenmerken te verwijderen. Deze optie werkt als u het kenmerk nog nooit eerder hebt gesynchroniseerd. Als u dit kenmerk echter begint te synchroniseren en later met deze functie te verwijderen, stopt de synchronisatie-engine met het beheren van het kenmerk en blijven de bestaande waarden in Microsoft Entra-id staan.

Als u de waarde van een kenmerk wilt verwijderen en ervoor wilt zorgen dat het niet in de toekomst stroomt, moet u een aangepaste regel maken.

In dit Fabrikam-scenario hebben we vastgesteld dat sommige kenmerken die we synchroniseren met de cloud niet mogen zijn. We willen ervoor zorgen dat deze kenmerken worden verwijderd uit de Microsoft Entra-id.

1. Maak een nieuwe regel voor binnenkomende synchronisatie en vul de beschrijving in.
2. Kenmerkstromen maken met Expressie voor FlowType en met AuthoritativeNull voor Bron. De letterlijke gezaghebbendeNull geeft aan dat de waarde leeg moet zijn in de metaverse, zelfs als een synchronisatieregel met een lagere prioriteit de waarde probeert in te vullen.
3. Sla de synchronisatieregel op. Start de synchronisatieservice, zoek de connector, selecteer Uitvoeren en selecteer vervolgens Volledige synchronisatie. Met deze stap worden alle kenmerkstromen opnieuw berekend.
4. Controleer of de beoogde wijzigingen binnenkort worden geëxporteerd door de Verbinding maken or Ruimte te doorzoeken.

Regels maken met PowerShell

Het gebruik van de editor voor synchronisatieregels werkt prima wanneer u slechts enkele wijzigingen moet aanbrengen. Als u veel wijzigingen wilt aanbrengen, is PowerShell mogelijk een betere optie. Sommige geavanceerde functies zijn alleen beschikbaar met PowerShell.

Het PowerShell-script ophalen voor een out-of-box-regel

Als u het PowerShell-script wilt zien dat een out-of-box-regel heeft gemaakt, selecteert u de regel in de editor voor synchronisatieregels en klikt u op Exporteren. Met deze actie krijgt u het PowerShell-script waarmee de regel is gemaakt.

Geavanceerde prioriteit

De standaardsynchronisatieregels beginnen met een prioriteitswaarde van 100. Als u veel forests hebt en u veel aangepaste wijzigingen moet aanbrengen, zijn er mogelijk niet genoeg synchronisatieregels voor 99.

U kunt de synchronisatie-engine instrueren dat u aanvullende regels wilt invoegen vóór de out-of-box-regels. Volg deze stappen om dit gedrag te verkrijgen:

1. Markeer de eerste out-of-box-synchronisatieregel (In vanuit AD-User Join) in de editor voor synchronisatieregels en selecteer Exporteren. Kopieer de WAARDE van de SR-id.
   
2. Maak de nieuwe synchronisatieregel. U kunt de editor voor synchronisatieregels gebruiken om deze te maken. Exporteer de regel naar een PowerShell-script.
3. Voeg in de eigenschap PrioriteitBefore de id-waarde in van de out-of-box-regel. Stel de prioriteit in op 0. Zorg ervoor dat het kenmerk Id uniek is en dat u geen GUID van een andere regel opnieuw gebruikt. Zorg er ook voor dat de eigenschap ImmutableTag niet is ingesteld. Deze eigenschap moet alleen worden ingesteld voor een out-of-box-regel.
4. Sla het PowerShell-script op en voer het uit. Het resultaat is dat aan uw aangepaste regel de prioriteitswaarde van 100 wordt toegewezen en dat alle andere kant-en-klare regels worden verhoogd.
   

U kunt veel aangepaste synchronisatieregels hebben met dezelfde waarde prioriteitBefore wanneer dat nodig is.

Synchronisatie van UserType inschakelen

Microsoft Entra Verbinding maken ondersteunt synchronisatie van het kenmerk UserType voor gebruikersobjecten in versie 1.1.524.0 en hoger. In het bijzonder zijn de volgende wijzigingen geïntroduceerd:

• Het schema van het objecttype Gebruiker in microsoft Entra Verbinding maken or wordt uitgebreid met het kenmerk UserType, dat van het type tekenreeks is en één waarde heeft.
• Het schema van het objecttype Person in de metaverse wordt uitgebreid met het kenmerk UserType, dat van het typetekenreeks is en één waarde heeft.

Het kenmerk UserType is standaard niet ingeschakeld voor synchronisatie omdat er geen overeenkomend UserType-kenmerk is in on-premises Active Directory. U moet synchronisatie handmatig inschakelen. Voordat u dit doet, moet u rekening houden met het volgende gedrag dat wordt afgedwongen door Microsoft Entra-id:

• Microsoft Entra accepteert alleen twee waarden voor het kenmerk UserType: Lid en Gast.
• Als het kenmerk UserType niet is ingeschakeld voor synchronisatie in Microsoft Entra Verbinding maken, hebben Microsoft Entra-gebruikers die zijn gemaakt via adreslijstsynchronisatie het kenmerk UserType ingesteld op Lid.
• Vóór versie 1.5.30.0 staat Microsoft Entra-id het kenmerk UserType voor bestaande Microsoft Entra-gebruikers niet toe door Microsoft Entra-Verbinding maken. In oudere versies kan deze alleen worden ingesteld tijdens het maken van de Microsoft Entra-gebruikers en gewijzigd via PowerShell.

Voordat u synchronisatie van het kenmerk UserType inschakelt, moet u eerst beslissen hoe het kenmerk wordt afgeleid van on-premises Active Directory. Hier volgen de meest voorkomende benaderingen:

• Wijs een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) aan dat moet worden gebruikt als bronkenmerk. Het aangewezen on-premises AD-kenmerk moet van het typetekenreeks zijn, één waarde hebben en de waarde Lid of Gast bevatten.

  Als u deze methode kiest, moet u ervoor zorgen dat het aangewezen kenmerk wordt gevuld met de juiste waarde voor alle bestaande gebruikersobjecten in on-premises Active Directory die worden gesynchroniseerd met Microsoft Entra-id voordat u synchronisatie van het kenmerk UserType inschakelt.

• U kunt ook de waarde voor het kenmerk UserType afleiden van andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als gast als hun on-premises AD userPrincipalName-kenmerk eindigt op domeinonderdeel @partners.fabrikam123.org.

  Zoals eerder vermeld, kunnen oudere versies van Microsoft Entra Verbinding maken het kenmerk UserType voor bestaande Microsoft Entra-gebruikers niet wijzigen door Microsoft Entra Verbinding maken. Daarom moet u ervoor zorgen dat de logica die u hebt besloten consistent is met de wijze waarop het kenmerk UserType al is geconfigureerd voor alle bestaande Microsoft Entra-gebruikers in uw tenant.

De stappen voor het inschakelen van de synchronisatie van het kenmerk UserType kunnen worden samengevat als:

1. Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd.
2. Voeg het bronkenmerk toe aan het on-premises AD-Verbinding maken orschema.
3. Voeg het UserType toe aan het Microsoft Entra Verbinding maken orschema.
4. Maak een regel voor binnenkomende synchronisatie om de kenmerkwaarde van on-premises Active Directory te laten stromen.
5. Maak een regel voor uitgaande synchronisatie om de kenmerkwaarde naar Microsoft Entra-id te laten stromen.
6. Voer een volledige synchronisatiecyclus uit.
7. Schakel de synchronisatieplanner in.

Notitie

In de rest van deze sectie worden deze stappen behandeld. Ze worden beschreven in de context van een Microsoft Entra-implementatie met topologie met één forest en zonder aangepaste synchronisatieregels. Als u een topologie met meerdere forests hebt, aangepaste synchronisatieregels hebt geconfigureerd of een faseringsserver hebt, moet u de stappen dienovereenkomstig aanpassen.

Stap 1: De synchronisatieplanner uitschakelen en controleren of er geen synchronisatie wordt uitgevoerd

Om te voorkomen dat onbedoelde wijzigingen in Microsoft Entra ID worden geëxporteerd, moet u ervoor zorgen dat er geen synchronisatie plaatsvindt terwijl u zich midden in het bijwerken van synchronisatieregels bevindt. De ingebouwde synchronisatieplanner uitschakelen:

1. Start een PowerShell-sessie op de Microsoft Entra Verbinding maken-server.
2. Schakel geplande synchronisatie uit door de cmdlet Set-ADSyncScheduler -SyncCycleEnabled $falseuit te voeren.
3. Open Synchronization Service Manager door de synchronisatieservice te starten>.
4. Ga naar het tabblad Bewerkingen en controleer of er geen bewerking is met de status Wordt uitgevoerd.

Stap 2: Het bronkenmerk toevoegen aan het on-premises AD-Verbinding maken orschema

Niet alle Microsoft Entra-kenmerken worden geïmporteerd in de on-premises AD-Verbinding maken or Space. Het bronkenmerk toevoegen aan de lijst met geïmporteerde kenmerken:

1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
2. Klik met de rechtermuisknop op de on-premises AD-Verbinding maken or en selecteer Eigenschappen.
3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren.
4. Zorg ervoor dat het bronkenmerk is ingecheckt in de lijst met kenmerken.
5. Klik op OK om op te slaan.

Stap 3: het kenmerk UserType toevoegen aan het Microsoft Entra-Verbinding maken orschema

Het kenmerk UserType wordt standaard niet geïmporteerd in de Microsoft Entra Verbinding maken Space. Het kenmerk UserType toevoegen aan de lijst met geïmporteerde kenmerken:

1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.
2. Klik met de rechtermuisknop op de Microsoft Entra Verbinding maken or en selecteer Eigenschappen.
3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren.
4. Zorg ervoor dat het kenmerk UserType is ingeschakeld in de lijst met kenmerken.
5. Klik op OK om op te slaan.

Stap 4: Maak een regel voor binnenkomende synchronisatie om de kenmerkwaarde van on-premises Active Directory te laten stromen

Met de regel voor binnenkomende synchronisatie kan de kenmerkwaarde stromen van het bronkenmerk van on-premises Active Directory naar de metaverse:

1. Open de editor voor synchronisatieregels door naar de editor synchronisatieregels te starten>.

2. Stel de zoekfilterrichtingin op Inkomend.

3. Klik op de knop Nieuwe regel toevoegen om een nieuwe binnenkomende regel te maken.

4. Geef op het tabblad Beschrijving de volgende configuratie op:

   Kenmerk	Weergegeven als	DETAILS
   Naam	Geef een naam op	Bijvoorbeeld: In vanuit AD : UserType
   Beschrijving	Geef een beschrijving op
   Verbinding maken ed System	De on-premises AD-connector kiezen
   Verbinding maken ed systeemobjecttype	Gebruiker
   Metaverse-objecttype	Persoon
   Koppelingstype	Join
   Prioriteit	Kies een getal tussen 1-99	1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.

5. Ga naar het tabblad Bereikfilter en voeg één bereikfiltergroep toe met de volgende component:

   Kenmerk	Operator	Weergegeven als
   Admindescription	NOTSTARTWITH	Gebruiker_

   Het bereikfilter bepaalt op welke on-premises AD-objecten deze binnenkomende synchronisatieregel wordt toegepast. In dit voorbeeld gebruiken we hetzelfde bereikfilter dat wordt gebruikt in de regel In van AD: algemene standaardsynchronisatieregel van de gebruiker, waardoor de synchronisatieregel niet kan worden toegepast op gebruikersobjecten die zijn gemaakt via de functie Writeback van Microsoft Entra-gebruikers. Mogelijk moet u het bereikfilter aanpassen op basis van uw Microsoft Entra Verbinding maken-implementatie.

6. Ga naar het tabblad Transformatie en implementeer de gewenste transformatieregel. Als u bijvoorbeeld een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) hebt aangewezen als het bronkenmerk voor het UserType, kunt u een directe kenmerkstroom implementeren:

   Stroomtype	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Direct	UserType	extensionAttribute1	Niet ingeschakeld	Bijwerken

   In een ander voorbeeld wilt u de waarde voor het kenmerk UserType afleiden uit andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als gast als hun on-premises AD userPrincipalName-kenmerk eindigt op domeinonderdeel @partners.fabrikam123.org. U kunt een expressie als volgt implementeren:

   Stroomtype	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Expressie	UserType	IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType"))	Niet ingeschakeld	Bijwerken

7. Klik op Toevoegen om de regel voor inkomend verkeer te maken.

Stap 5: Maak een uitgaande synchronisatieregel om de kenmerkwaarde naar Microsoft Entra-id te laten stromen

Met de regel voor uitgaande synchronisatie kan de kenmerkwaarde van de metaverse naar het kenmerk UserType in Microsoft Entra ID stromen:

1. Ga naar de editor voor synchronisatieregels.

2. Stel de zoekfilterrichtingin op Uitgaand.

3. Klik op de knop Nieuwe regel toevoegen.

4. Geef op het tabblad Beschrijving de volgende configuratie op:

   Kenmerk	Weergegeven als	DETAILS
   Naam	Geef een naam op	Bijvoorbeeld : Out to Microsoft Entra ID – UserType
   Beschrijving	Geef een beschrijving op
   Verbinding maken ed System	Selecteer de Microsoft Entra-connector
   Verbinding maken ed systeemobjecttype	Gebruiker
   Metaverse-objecttype	Persoon
   Koppelingstype	Join
   Prioriteit	Kies een getal tussen 1-99	1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.

5. Ga naar het tabblad Bereikfilter en voeg één bereikfiltergroep toe met twee componenten:

   Kenmerk	Operator	Weergegeven als
   sourceObjectType	GELIJKE	User
   cloudMastered	NOTEQUAL	Waar

   Het bereikfilter bepaalt op welke Microsoft Entra-objecten deze uitgaande synchronisatieregel wordt toegepast. In dit voorbeeld gebruiken we hetzelfde bereikfilter van out-to-AD : out-of-box-synchronisatieregel voor gebruikersidentiteit . Hiermee voorkomt u dat de synchronisatieregel wordt toegepast op gebruikersobjecten die niet vanuit on-premises Active Directory worden gesynchroniseerd. Mogelijk moet u het bereikfilter aanpassen op basis van uw Microsoft Entra Verbinding maken-implementatie.

6. Ga naar het tabblad Transformatie en implementeer de volgende transformatieregel:

   Stroomtype	Doelkenmerk	Bron	Eenmaal toepassen	Samenvoegtype
   Direct	UserType	UserType	Niet ingeschakeld	Bijwerken

7. Klik op Toevoegen om de uitgaande regel te maken.

Stap 6: Een volledige synchronisatiecyclus uitvoeren

Over het algemeen is een volledige synchronisatiecyclus vereist omdat we nieuwe kenmerken hebben toegevoegd aan zowel active directory- als Microsoft Entra-Verbinding maken orschema's en aangepaste synchronisatieregels hebben geïntroduceerd. U wilt de wijzigingen controleren voordat u ze naar Microsoft Entra-id exporteert.

U kunt de volgende stappen gebruiken om de wijzigingen te controleren tijdens het handmatig uitvoeren van de stappen waaruit een volledige synchronisatiecyclus bestaat.

1. Voer een volledige import uit op de on-premises AD-Verbinding maken or:

   1. Ga naar het tabblad Verbinding maken ors in Synchronization Service Manager.

   2. Klik met de rechtermuisknop op de on-premises AD-Verbinding maken or en selecteer Uitvoeren.

   3. Selecteer In het pop-updialoogvenster de optie Volledig importeren en klik vervolgens op OK.

   4. Wacht tot de bewerking is voltooid.

      Notitie

      U kunt een volledige import overslaan op de on-premises AD-Verbinding maken or als het bronkenmerk al is opgenomen in de lijst met geïmporteerde kenmerken. Met andere woorden, u hoeft tijdens stap 2 geen wijzigingen aan te brengen: voeg het bronkenmerk toe aan het on-premises AD-Verbinding maken orschema.

2. Voer een volledige import uit op de Microsoft Entra Verbinding maken or:

   1. Klik met de rechtermuisknop op de Microsoft Entra Verbinding maken or en selecteer Uitvoeren.
   2. Selecteer In het pop-updialoogvenster de optie Volledig importeren en klik vervolgens op OK.
   3. Wacht tot de bewerking is voltooid.

3. Controleer of de synchronisatieregel wordt gewijzigd voor een bestaand gebruikersobject:

   Het bronkenmerk uit on-premises Active Directory en het UserType van Microsoft Entra ID zijn geïmporteerd in hun respectieve Verbinding maken or Spaces. Voordat u doorgaat met een volledige synchronisatie, voert u een voorbeeld uit op een bestaand gebruikersobject in de on-premises AD-Verbinding maken orruimte. Het object dat u hebt gekozen, moet het bronkenmerk hebben ingevuld.

   Een geslaagde preview met het UserType ingevuld in de metaverse is een goede indicator dat u de synchronisatieregels correct hebt geconfigureerd. Raadpleeg de sectie Controleer de wijziging voor informatie over het uitvoeren van een voorbeeld.

4. Voer een volledige synchronisatie uit op de on-premises AD-Verbinding maken or:

   1. Klik met de rechtermuisknop op de on-premises AD-Verbinding maken or en selecteer Uitvoeren.
   2. Selecteer in het pop-updialoogvenster Volledige synchronisatie en klik vervolgens op OK.
   3. Wacht tot de bewerking is voltooid.

5. Controleer in behandeling zijnde exports naar Microsoft Entra-id:

   1. Klik met de rechtermuisknop op de Microsoft Entra-Verbinding maken or en selecteer Zoeken Verbinding maken or spatie.

   2. In het pop-upvenster Zoeken Verbinding maken or Ruimte:

      • Stel het bereik in op Exporteren in behandeling.
      • Schakel alle drie de selectievakjes in: Toevoegen, Wijzigen en Verwijderen.
      • Klik op de knop Zoeken om de lijst met objecten op te halen met wijzigingen die moeten worden geëxporteerd. Als u de wijzigingen voor een bepaald object wilt bekijken, dubbelklikt u op het object.
      • Controleer of de wijzigingen worden verwacht.

6. Voer Export uit op de Microsoft Entra-Verbinding maken or:

   1. Klik met de rechtermuisknop op de Microsoft Entra Verbinding maken or en selecteer Uitvoeren.
   2. Selecteer Exporteren in het pop-upvenster Verbinding maken of Uitvoeren en klik vervolgens op OK.
   3. Wacht tot de export naar De Microsoft Entra-id is voltooid.

Notitie

Deze stappen omvatten niet de volledige synchronisatie- en exportstappen op de Microsoft Entra Verbinding maken or. Deze stappen zijn niet vereist omdat de kenmerkwaarden van on-premises Active Directory naar Microsoft Entra-only stromen.

Stap 7: De synchronisatieplanner opnieuw inschakelen

Schakel de ingebouwde synchronisatieplanner opnieuw in:

1. Start een PowerShell-sessie.
2. Schakel geplande synchronisatie opnieuw in door de cmdlet Set-ADSyncScheduler -SyncCycleEnabled $trueuit te voeren.

Volgende stappen

• Lees meer over het configuratiemodel in Declaratieve inrichting begrijpen.
• Lees meer over de expressietaal in Declaratieve inrichtingsexpressies begrijpen.

Overzichtsonderwerpen

• Microsoft Entra Verbinding maken Sync: Synchronisatie begrijpen en aanpassen
• Uw on-premises identiteiten integreren met Microsoft Entra-id