Functies van de Azure AD Connect-synchronisatieservice

De synchronisatiefunctie van Azure AD Verbinding maken bestaat uit twee onderdelen:

  • Het on-premises onderdeel met de naam Azure AD Verbinding maken synchronisatie, ook wel synchronisatie-engine genoemd.
  • De service in Azure AD, ook wel bekend als Azure AD Verbinding maken synchronisatieservice

In dit onderwerp wordt uitgelegd hoe de volgende functies van de Azure AD Verbinding maken-synchronisatieservice werken en hoe u deze kunt configureren met behulp van Windows PowerShell.

Deze instellingen worden geconfigureerd door de Azure Active Directory-module voor Windows PowerShell. Download en installeer het afzonderlijk van Azure AD Verbinding maken. De cmdlets die in dit onderwerp worden beschreven, zijn geïntroduceerd in de release van maart 2016 (build 9031.1). Als u de cmdlets niet in dit onderwerp hebt gedocumenteerd of als ze niet hetzelfde resultaat opleveren, moet u ervoor zorgen dat u de nieuwste versie hebt uitgevoerd.

Voer uit om de configuratie in uw Azure AD-directory te Get-MsolDirSyncFeatures zien.
Resultaat Get-MsolDirSyncFeatures

Veel van deze instellingen kunnen alleen worden gewijzigd door Azure AD-Verbinding maken.

De volgende instellingen kunnen worden geconfigureerd door Set-MsolDirSyncFeature :

DirSyncFeature Opmerking
EnableSoftMatchOnUpn Hiermee kunnen objecten worden lid van userPrincipalName naast het primaire SMTP-adres.
SynchronizeUpnForManagedUsers Hiermee kan de synchronisatie-engine het kenmerk userPrincipalName bijwerken voor beheerde/gelicentieerde (niet-federatief) gebruikers.

Nadat u een functie hebt ingeschakeld, kan deze niet opnieuw worden uitgeschakeld.

Notitie

Vanaf 24 augustus 2016 is de functie Tolerantie van dubbele kenmerken standaard ingeschakeld voor nieuwe Azure AD-directories. Deze functie wordt ook uitgerold en ingeschakeld voor de directories die vóór deze datum zijn gemaakt. U ontvangt een e-mailmelding wanneer deze functie in uw directory wordt ingeschakeld.

De volgende instellingen worden geconfigureerd door Azure AD Verbinding maken en kunnen niet worden gewijzigd door Set-MsolDirSyncFeature :

DirSyncFeature Opmerking
DeviceWriteback Azure AD Verbinding maken: Write-back van apparaat inschakelen
DirectoryExtensions Azure AD Verbinding maken synchronisatie: Directory-extensies
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Hiermee kan een kenmerk in quarantaine worden geplaatst wanneer het een duplicaat van een ander object is in plaats van dat het hele object tijdens het exporteren mislukt.
Wachtwoordhashsynchronisatie Synchronisatie van wachtwoordhashsynchronisatie met Azure AD Verbinding maken implementeren
Pass-through-verificatie Gebruikersaanmelding met Pass Through-verificatie in Azure Active Directory
UnifiedGroupWriteback Groep terugschrijven
UserWriteback Momenteel niet ondersteund.

Tolerantie van dubbele kenmerken

In plaats van objecten met dubbele UPN's/proxyAddresses niet in terichten, wordt het gedupliceerde kenmerk in quarantaine geplaatst en wordt er een tijdelijke waarde toegewezen. Wanneer het conflict is opgelost, wordt de tijdelijke UPN automatisch gewijzigd in de juiste waarde. Zie tolerantie voor dubbele kenmerken Identiteitssynchronisatie en dupliceren voor meer informatie.

UserPrincipalName: zachte overeenkomst

Wanneer deze functie is ingeschakeld, wordt naast het primaire SMTP-adres, dat altijd is ingeschakeld, ook soft-match ingeschakeld voor UPN. Zachte overeenkomst wordt gebruikt om bestaande cloudgebruikers in Azure AD te laten overeenkomen met on-premises gebruikers.

Als u on-premises AD-accounts wilt koppelen aan bestaande accounts die zijn gemaakt in de cloud en u geen gebruik Exchange Online, is deze functie handig. In dit scenario hebt u doorgaans geen reden om het SMTP-kenmerk in te stellen in de cloud.

Deze functie is standaard ingeschakeld voor nieuw gemaakte Azure AD-directories. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te stellen:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Als deze functie niet is ingeschakeld voor uw Azure AD-directory, kunt u deze inschakelen door het volgende uit te stellen:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

BlockSoftMatch

Wanneer deze functie is ingeschakeld, wordt de functie Voor zachte overeenkomst geblokkeerd. Klanten wordt aangeraden deze functie in teschakelen en ingeschakeld te houden totdat soft matching opnieuw is vereist voor hun tenancy. Deze vlag moet opnieuw worden ingeschakeld nadat een zachte match is voltooid en niet meer nodig is.

Voorbeeld: als u zachte matching in uw tenant wilt blokkeren, moet u deze cmdlet uitvoeren:

PS C:\> Set-MsolDirSyncFeature -Feature BlockSoftMatch -Enable $True

Updates voor userPrincipalName synchroniseren

In het verleden zijn updates van het kenmerk UserPrincipalName met behulp van de synchronisatieservice van on-premises geblokkeerd, tenzij aan beide voorwaarden is voldaan:

  • De gebruiker wordt beheerd (niet-federatief).
  • Aan de gebruiker is geen licentie toegewezen.

Notitie

Vanaf maart 2019 is het synchroniseren van UPN-wijzigingen voor federatieve gebruikersaccounts toegestaan.

Door deze functie in te schakelen, kan de synchronisatie-engine de userPrincipalName bijwerken wanneer deze on-premises wordt gewijzigd en gebruikt u wachtwoordhashsynchronisatie of pass-through-verificatie.

Deze functie is standaard ingeschakeld voor nieuw gemaakte Azure AD-directories. U kunt zien of deze functie voor u is ingeschakeld door het volgende uit te stellen:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Als deze functie niet is ingeschakeld voor uw Azure AD-directory, kunt u deze inschakelen door het volgende uit te stellen:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

Nadat deze functie is inschakelen, blijven de bestaande userPrincipalName-waarden zoals ze zijn. Bij de volgende wijziging van het kenmerk userPrincipalName on-premises wordt de UPN bijgewerkt door de normale deltasynchronisatie van gebruikers.

Zie ook