Azure AD Connect-synchronisatie: een wijziging aanbrengen in de standaardconfiguratie

Het doel van dit artikel is om u te helpen bij het aanbrengen van wijzigingen in de standaardconfiguratie in Azure Active Directory (Azure AD) Connect-synchronisatie. Het biedt stappen voor enkele veelvoorkomende scenario's. Met deze kennis moet u eenvoudige wijzigingen aanbrengen in uw eigen configuratie op basis van uw eigen bedrijfsregels.

Waarschuwing

Als u wijzigingen aanbrengt in de standaard out-of-box-synchronisatieregels, worden deze wijzigingen overschreven wanneer Azure AD Connect de volgende keer wordt bijgewerkt, wat resulteert in onverwachte en waarschijnlijk ongewenste synchronisatieresultaten.

De standaardregels voor standaardsynchronisatie hebben een vingerafdruk. Als u een wijziging aanbrengt in deze regels, komt de vingerafdruk niet meer overeen. Mogelijk hebt u in de toekomst problemen wanneer u probeert een nieuwe versie van Azure AD Connect toe te passen. Breng alleen wijzigingen aan zoals deze in dit artikel worden beschreven.

Editor voor synchronisatieregels

De editor voor synchronisatieregels wordt gebruikt om de standaardconfiguratie te bekijken en te wijzigen. U vindt deze in het menu Start onder de Azure AD Connect-groep .
Start menu with Sync Rule Editor

Wanneer u de editor opent, ziet u de standaard out-of-box-regels.

Sync Rule Editor

Met behulp van de vervolgkeuzelijsten boven aan de editor kunt u snel een specifieke regel vinden. Als u bijvoorbeeld de regels wilt zien waarin de kenmerkproxyAddresses is opgenomen, kunt u de vervolgkeuzelijsten wijzigen in het volgende:
SRE filtering
Als u het filteren opnieuw wilt instellen en een nieuwe configuratie wilt laden, drukt u op F5 op het toetsenbord.

Rechtsboven ziet u de knop Nieuwe regel toevoegen . U gebruikt deze knop om uw eigen aangepaste regel te maken.

Onderaan staan knoppen voor het handelen op een geselecteerde synchronisatieregel. Bewerken en verwijderen doen wat u verwacht. Exporteren produceert een PowerShell-script voor het opnieuw maken van de synchronisatieregel. Met deze procedure kunt u een synchronisatieregel van de ene server naar de andere verplaatsen.

Uw eerste aangepaste regel maken

De meest voorkomende wijzigingen zijn de kenmerkstromen. De gegevens in uw bronmap zijn mogelijk niet hetzelfde als in Azure AD. Controleer in het voorbeeld in deze sectie of de opgegeven naam van een gebruiker altijd in het juiste geval is.

De planner uitschakelen

De scheduler wordt standaard elke 30 minuten uitgevoerd. Zorg ervoor dat deze niet begint terwijl u wijzigingen aanbrengt en problemen met uw nieuwe regels opsneert. Als u de planner tijdelijk wilt uitschakelen, start u PowerShell en voert u powershell uit Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

De regel maken

  1. Klik op Nieuwe regel toevoegen.
  2. Voer op de pagina Beschrijving het volgende in:
    Inbound rule filtering
    • Naam: Geef de regel een beschrijvende naam.
    • Beschrijving: Geef wat uitleg zodat iemand anders kan begrijpen waar de regel voor staat.
    • Verbonden systeem: dit is het systeem waarin het object kan worden gevonden. Selecteer in dit geval Active Directory Connector.
    • Verbonden systeem/metaverse objecttype: selecteer respectievelijk Gebruiker en Persoon.
    • Koppelingstype: Wijzig deze waarde in Join.
    • Prioriteit: Geef een waarde op die uniek is in het systeem. Een lagere numerieke waarde geeft hogere prioriteit aan.
    • Tag: Laat dit leeg. Alleen out-of-box-regels van Microsoft moeten dit vak hebben gevuld met een waarde.
  3. Voer op de pagina Bereikfilterde givenName ISNOTNULL in.
    Inbound rule scoping filter
    Deze sectie wordt gebruikt om te definiëren welke objecten de regel moet toepassen. Als deze leeg blijft, is de regel van toepassing op alle gebruikersobjecten. Dit omvat echter vergaderruimten, serviceaccounts en andere niet-personen gebruikersobjecten.
  4. Laat het veld leeg op de pagina Join-regels .
  5. Wijzig FlowType op de pagina Transformaties in Expressie. Selecteer givenName voor het doelkenmerk. Voer voor bronPCase([givenName]) in. Inbound rule transformations
    De synchronisatie-engine is hoofdlettergevoelig voor zowel de functienaam als de naam van het kenmerk. Als u iets verkeerd typt, ziet u een waarschuwing wanneer u de regel toevoegt. U kunt opslaan en doorgaan, maar u moet de regel opnieuw openen en corrigeren.
  6. Klik op Toevoegen om de regel op te slaan.

De nieuwe aangepaste regel moet zichtbaar zijn met de andere synchronisatieregels in het systeem.

De wijziging controleren

Met deze nieuwe wijziging wilt u ervoor zorgen dat deze werkt zoals verwacht en er geen fouten optreden. Afhankelijk van het aantal objecten dat u hebt, zijn er twee manieren om deze stap uit te voeren:

  • Voer een volledige synchronisatie uit op alle objecten.
  • Voer een voorbeeld en volledige synchronisatie uit op één object.

Open de synchronisatieservice vanuit het menu Start . De stappen in deze sectie bevinden zich allemaal in dit hulpprogramma.

Volledige synchronisatie op alle objecten

  1. Selecteer connectors bovenaan. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory Domain Services) en selecteer deze.
  2. Selecteer Uitvoeren voor Acties.
  3. Selecteer Volledige synchronisatie en selecteer vervolgens OK. Full sync
    De objecten worden nu bijgewerkt in de metaverse. Controleer uw wijzigingen door naar het object in de metaverse te kijken.

Preview en volledige synchronisatie op één object

  1. Selecteer connectors bovenaan. Identificeer de connector die u in de vorige sectie hebt gewijzigd (in dit geval Active Directory Domain Services) en selecteer deze.
  2. Selecteer Zoekconnectorruimte.
  3. Gebruik Bereik om een object te zoeken dat u wilt gebruiken om de wijziging te testen. Selecteer het object en klik op Voorbeeld.
  4. Selecteer Doorvoervoorbeeld op het nieuwe scherm.
    Commit preview
    De wijziging wordt nu doorgevoerd in de metaverse.

Het object in de metaverse weergeven

  1. Kies een paar voorbeeldobjecten om ervoor te zorgen dat de waarde wordt verwacht en of de regel is toegepast.
  2. Selecteer Metaverse Search bovenaan. Voeg een filter toe dat u nodig hebt om de relevante objecten te vinden.
  3. Open een object in het zoekresultaat. Bekijk de kenmerkwaarden en controleer ook in de kolom Synchronisatieregels of de regel is toegepast zoals verwacht.
    Metaverse search

De planner inschakelen

Als alles naar verwachting is, kunt u de planner opnieuw inschakelen. Voer vanuit PowerShell de opdracht Set-ADSyncScheduler -SyncCycleEnabled $trueuit.

Andere algemene kenmerkstroomwijzigingen

In de vorige sectie wordt beschreven hoe u wijzigingen aanbrengt in een kenmerkstroom. In deze sectie worden enkele aanvullende voorbeelden gegeven. De stappen voor het maken van de synchronisatieregel worden afgekort, maar u kunt de volledige stappen in de vorige sectie vinden.

Een ander kenmerk dan de standaardwaarde gebruiken

In dit Fabrikam-scenario is er een forest waarin het lokale alfabet wordt gebruikt voor de opgegeven naam, achternaam en weergavenaam. De Latijnse tekenweergave van deze kenmerken vindt u in de extensiekenmerken. Voor het bouwen van een algemene adreslijst in Azure AD en Microsoft 365 wil de organisatie deze kenmerken gebruiken.

Met een standaardconfiguratie ziet een object uit het lokale forest er als volgt uit:
Attribute flow 1

Ga als volgt te werk om een regel te maken met andere kenmerkstromen:

  1. Open de editor voor synchronisatieregels in het menu Start .
  2. Als Inkomend nog steeds links is geselecteerd, klikt u op de knop Nieuwe regel toevoegen .
  3. Geef de regel een naam en beschrijving. Selecteer het on-premises Active Directory-exemplaar en de relevante objecttypen. Selecteer Deelnemen in Koppelingstype. Kies voor prioriteit een getal dat niet wordt gebruikt door een andere regel. De out-of-box-regels beginnen met 100, zodat de waarde 50 in dit voorbeeld kan worden gebruikt. Attribute flow 2
  4. Laat het bereikfilter leeg. (Dat wil gezegd, dit moet van toepassing zijn op alle gebruikersobjecten in het forest.)
  5. Laat joinregels leeg. (Dat wil gezegd, laat de out-of-box-regel alle joins verwerken.)
  6. Maak in transformaties de volgende stromen:
    Attribute flow 3
  7. Klik op Toevoegen om de regel op te slaan.
  8. Ga naar Synchronization Service Manager. Selecteer bij Connectors de connector waaraan u de regel hebt toegevoegd. Selecteer Uitvoeren en selecteer vervolgens Volledige synchronisatie. Met een volledige synchronisatie worden alle objecten opnieuw berekend met behulp van de huidige regels.

Dit is het resultaat voor hetzelfde object met deze aangepaste regel:
Attribute flow 4

Lengte van kenmerken

Tekenreekskenmerken kunnen standaard worden geïndexeerd en de maximale lengte is 448 tekens. Als u werkt met tekenreekskenmerken die meer kunnen bevatten, moet u het volgende opnemen in de kenmerkstroom:
attributeName<- Left([attributeName],448).

Het userPrincipalS-achtervoegsel wijzigen

Het kenmerk userPrincipalName in Active Directory is niet altijd bekend door de gebruikers en is mogelijk niet geschikt als aanmeldings-id. Met de installatiewizard van Azure AD Connect-synchronisatie kunt u een ander kenmerk kiezen, bijvoorbeeld e-mail. Maar in sommige gevallen moet het kenmerk worden berekend.

Het bedrijf Contoso heeft bijvoorbeeld twee Azure AD-directory's, één voor productie en één voor testen. Ze willen dat de gebruikers in hun testtenant een ander achtervoegsel gebruiken in de aanmeldings-id:
userPrincipalName<- Word([userPrincipalName],1,"@") & "@contosotest.com".

In deze expressie neemt u alles over van het eerste @-teken (Word) en voegt u samen met een vaste tekenreeks.

Een kenmerk met meerdere waarden converteren naar één waarde

Sommige kenmerken in Active Directory zijn multi-valued in het schema, ook al zien ze eruit als één waarde in Active Directory: gebruikers en computers. Een voorbeeld is het beschrijvingskenmerk:
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Als het kenmerk in deze expressie een waarde heeft, neemt u het eerste item (Item) in het kenmerk, verwijdert u voorloop- en volgspaties (Knippen) en houdt u vervolgens de eerste 448 tekens (links) in de tekenreeks.

Een kenmerk niet doorstromen

Zie Het proces van de kenmerkstroom beheren voor achtergrondinformatie over het scenario voor deze sectie.

Er zijn twee manieren om een kenmerk niet te laten stromen. De eerste is door de installatiewizard te gebruiken om geselecteerde kenmerken te verwijderen. Deze optie werkt als u het kenmerk nog nooit eerder hebt gesynchroniseerd. Als u dit kenmerk echter al hebt gesynchroniseerd en later met deze functie verwijdert, stopt de synchronisatie-engine met het beheren van het kenmerk en blijven de bestaande waarden achter in Azure AD.

Als u de waarde van een kenmerk wilt verwijderen en ervoor wilt zorgen dat het niet in de toekomst stroomt, moet u een aangepaste regel maken.

In dit Fabrikam-scenario hebben we ons gerealiseerd dat sommige kenmerken die we synchroniseren met de cloud niet mogen zijn. We willen ervoor zorgen dat deze kenmerken worden verwijderd uit Azure AD.
Bad extension attributes

  1. Maak een nieuwe regel voor binnenkomende synchronisatie en vul de beschrijving in. Descriptions
  2. Maak kenmerkstromen met Expressie voor FlowType en met AuthoritativeNull voor Bron. De letterlijke gezaghebbendeNull geeft aan dat de waarde leeg moet zijn in de metaverse, zelfs als een synchronisatieregel met een lagere prioriteit de waarde probeert te vullen. Transformation for extension attributes
  3. Sla de synchronisatieregel op. Start de synchronisatieservice, zoek de connector, selecteer Uitvoeren en selecteer vervolgens Volledige synchronisatie. Met deze stap worden alle kenmerkstromen opnieuw berekend.
  4. Controleer of de beoogde wijzigingen binnenkort worden geëxporteerd door de connectorruimte te doorzoeken. Staged delete

Regels maken met PowerShell

Het gebruik van de editor voor synchronisatieregels werkt prima wanneer u slechts enkele wijzigingen aanbrengt. Als u veel wijzigingen wilt aanbrengen, is PowerShell mogelijk een betere optie. Sommige geavanceerde functies zijn alleen beschikbaar met PowerShell.

Het PowerShell-script voor een out-of-box-regel ophalen

Als u het PowerShell-script wilt zien dat een out-of-box-regel heeft gemaakt, selecteert u de regel in de editor voor synchronisatieregels en klikt u op Exporteren. Met deze actie krijgt u het PowerShell-script waarmee de regel is gemaakt.

Geavanceerde prioriteit

De out-of-box-synchronisatieregels beginnen met een prioriteitswaarde van 100. Als u veel forests hebt en u veel aangepaste wijzigingen moet aanbrengen, zijn er mogelijk niet genoeg synchronisatieregels voor 99.

U kunt de synchronisatie-engine instrueren dat u aanvullende regels wilt invoegen vóór de out-of-box-regels. Voer de volgende stappen uit om dit gedrag te verkrijgen:

  1. Markeer de eerste out-of-box-synchronisatieregel (in AD-User Join) in de synchronisatieregelseditor en selecteer Exporteren. Kopieer de WAARDE van de SR-id.
    PowerShell before change
  2. Maak de nieuwe synchronisatieregel. U kunt de editor voor synchronisatieregels gebruiken om deze te maken. Exporteer de regel naar een PowerShell-script.
  3. Voeg in de eigenschap PrecedenceBefore de id-waarde in van de out-of-box-regel. Stel de prioriteit in op 0. Zorg ervoor dat het kenmerk Id uniek is en dat u geen GUID van een andere regel opnieuw gebruikt. Zorg er ook voor dat de eigenschap ImmutableTag niet is ingesteld. Deze eigenschap mag alleen worden ingesteld voor een out-of-box-regel.
  4. Sla het PowerShell-script op en voer het uit. Het resultaat is dat aan uw aangepaste regel de prioriteitswaarde van 100 wordt toegewezen en dat alle andere kant-en-klare regels worden verhoogd.
    PowerShell after change

U kunt veel aangepaste synchronisatieregels hebben met dezelfde waarde prioriteitBefore wanneer dat nodig is.

Synchronisatie van UserType inschakelen

Azure AD Connect ondersteunt synchronisatie van het kenmerk UserType voor gebruikersobjecten in versie 1.1.524.0 en hoger. Meer specifiek zijn de volgende wijzigingen geïntroduceerd:

  • Het schema van het objecttype Gebruiker in de Azure AD-connector wordt uitgebreid met het kenmerk UserType, dat van het type tekenreeks is en één waarde heeft.
  • Het schema van het objecttype Person in de metaverse wordt uitgebreid met het kenmerk UserType, dat van de typetekenreeks is en één waarde heeft.

Het kenmerk UserType is standaard niet ingeschakeld voor synchronisatie omdat er geen overeenkomend UserType-kenmerk in on-premises Active Directory is. U moet synchronisatie handmatig inschakelen. Voordat u dit doet, moet u rekening houden met het volgende gedrag dat wordt afgedwongen door Azure AD:

  • Azure AD accepteert alleen twee waarden voor het kenmerk UserType: Lid en Gast.
  • Als het kenmerk UserType niet is ingeschakeld voor synchronisatie in Azure AD Connect, hebben Azure AD-gebruikers die zijn gemaakt via adreslijstsynchronisatie het kenmerk UserType ingesteld op Lid.
  • Vóór versie 1.5.30.0 heeft Azure AD het kenmerk UserType voor bestaande Azure AD-gebruikers niet toe staan om te worden gewijzigd door Azure AD Connect. In oudere versies kan deze alleen worden ingesteld tijdens het maken van de Azure AD-gebruikers en gewijzigd via PowerShell.

Voordat u synchronisatie van het kenmerk UserType inschakelt, moet u eerst bepalen hoe het kenmerk is afgeleid van on-premises Active Directory. Hier volgen de meest voorkomende benaderingen:

  • Wijs een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) aan dat moet worden gebruikt als het bronkenmerk. Het aangewezen on-premises AD-kenmerk moet van het typetekenreeks zijn, één waarde hebben en de waarde Lid of Gast bevatten.

    Als u deze methode kiest, moet u ervoor zorgen dat het aangewezen kenmerk wordt gevuld met de juiste waarde voor alle bestaande gebruikersobjecten in on-premises Active Directory die worden gesynchroniseerd met Azure AD voordat u synchronisatie van het kenmerk UserType inschakelt.

  • U kunt ook de waarde voor het kenmerk UserType afleiden uit andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als gast als hun on-premises AD userPrincipalName-kenmerk eindigt met domeinonderdeel @partners.fabrikam123.org.

    Zoals eerder vermeld, staan oudere versies van Azure AD Connect niet toe dat het kenmerk UserType voor bestaande Azure AD-gebruikers wordt gewijzigd door Azure AD Connect. Daarom moet u ervoor zorgen dat de logica die u hebt besloten, consistent is met de wijze waarop het kenmerk UserType al is geconfigureerd voor alle bestaande Azure AD-gebruikers in uw tenant.

De stappen voor het inschakelen van synchronisatie van het kenmerk UserType kunnen worden samengevat als:

  1. Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd.
  2. Voeg het bronkenmerk toe aan het on-premises AD Connector-schema.
  3. Voeg het UserType toe aan het Azure AD Connector-schema.
  4. Maak een regel voor binnenkomende synchronisatie om de kenmerkwaarde vanuit on-premises Active Directory te laten stromen.
  5. Maak een regel voor uitgaande synchronisatie om de kenmerkwaarde naar Azure AD te laten stromen.
  6. Voer een volledige synchronisatiecyclus uit.
  7. Schakel de synchronisatieplanner in.

Notitie

In de rest van deze sectie worden deze stappen beschreven. Ze worden beschreven in de context van een Azure AD-implementatie met topologie met één forest en zonder aangepaste synchronisatieregels. Als u topologie met meerdere forests hebt geconfigureerd, aangepaste synchronisatieregels hebt geconfigureerd of een faseringsserver hebt, moet u de stappen dienovereenkomstig aanpassen.

Stap 1: Schakel de synchronisatieplanner uit en controleer of er geen synchronisatie wordt uitgevoerd

Om te voorkomen dat onbedoelde wijzigingen in Azure AD worden geëxporteerd, moet u ervoor zorgen dat er geen synchronisatie plaatsvindt terwijl u zich midden in het bijwerken van synchronisatieregels bevindt. De ingebouwde synchronisatieplanner uitschakelen:

  1. Start een PowerShell-sessie op de Azure AD Connect-server.
  2. Schakel geplande synchronisatie uit door de cmdlet uit Set-ADSyncScheduler -SyncCycleEnabled $falsete voeren.
  3. Open Synchronization Service Manager door desynchronisatieservice te starten>.
  4. Ga naar het tabblad Bewerkingen en controleer of er geen bewerking is met de status Wordt uitgevoerd.

Stap 2: het bronkenmerk toevoegen aan het on-premises AD Connector-schema

Niet alle Azure AD-kenmerken worden geïmporteerd in de on-premises AD-connectorruimte. Het bronkenmerk toevoegen aan de lijst met geïmporteerde kenmerken:

  1. Ga naar het tabblad Connectors in Synchronization Service Manager.
  2. Klik met de rechtermuisknop op de on-premises AD-connector en selecteer Eigenschappen.
  3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren .
  4. Zorg ervoor dat het bronkenmerk is gecontroleerd in de lijst met kenmerken.
  5. Klik op OK om op te slaan. Add source attribute to on-premises AD Connector schema

Stap 3: het kenmerk UserType toevoegen aan het Azure AD Connector-schema

Het kenmerk UserType wordt standaard niet geïmporteerd in de Azure AD Connect-ruimte. Het kenmerk UserType toevoegen aan de lijst met geïmporteerde kenmerken:

  1. Ga naar het tabblad Connectors in Synchronization Service Manager.
  2. Klik met de rechtermuisknop op de Azure AD-connector en selecteer Eigenschappen.
  3. Ga in het pop-updialoogvenster naar het tabblad Kenmerken selecteren .
  4. Zorg ervoor dat het kenmerk UserType is ingecheckt in de lijst met kenmerken.
  5. Klik op OK om op te slaan.

Add source attribute to Azure AD Connector schema

Stap 4: Een regel voor binnenkomende synchronisatie maken om de kenmerkwaarde van on-premises Active Directory te stromen

Met de regel voor binnenkomende synchronisatie kan de kenmerkwaarde van het bronkenmerk van on-premises Active Directory naar de metaverse stromen:

  1. Open de editor voorsynchronisatieregels door naar de editor voor synchronisatieregels te > gaan.

  2. Stel de richting van het zoekfilter in op Inkomend.

  3. Klik op de knop Nieuwe regel toevoegen om een nieuwe binnenkomende regel te maken.

  4. Geef op het tabblad Beschrijving de volgende configuratie op:

    Kenmerk Waarde Details
    Name Geef een naam op Bijvoorbeeld : In van AD – UserType
    Description Geef een beschrijving op
    Verbonden systeem De on-premises AD-connector kiezen
    Verbonden systeemobjecttype Gebruiker
    Metaverse-objecttype Person
    Koppelingstype Join
    Prioriteit Kies een getal tussen 1-99 1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.
  5. Ga naar het tabblad Bereikfilter en voeg één bereikfiltergroep toe met de volgende component:

    Kenmerk Operator Waarde
    Admindescription NOTSTARTWITH User_

    Het bereikfilter bepaalt op welke on-premises AD-objecten deze regel voor binnenkomende synchronisatie wordt toegepast. In dit voorbeeld gebruiken we hetzelfde bereikfilter dat wordt gebruikt in de in-out-of-box synchronisatieregel van de gebruiker, waardoor de synchronisatieregel niet kan worden toegepast op gebruikersobjecten die zijn gemaakt via de functie Terugschrijven van Azure AD-gebruikers. Mogelijk moet u het bereikfilter aanpassen op basis van uw Azure AD Connect-implementatie.

  6. Ga naar het tabblad Transformatie en implementeer de gewenste transformatieregel. Als u bijvoorbeeld een ongebruikt on-premises AD-kenmerk (zoals extensionAttribute1) hebt aangewezen als het bronkenmerk voor het UserType, kunt u een directe kenmerkstroom implementeren:

    Stroomtype Doelkenmerk Bron Eenmaal toepassen Samenvoegtype
    Direct UserType extensionAttribute1 Niet ingeschakeld Bijwerken

    In een ander voorbeeld wilt u de waarde voor het kenmerk UserType afleiden uit andere eigenschappen. U wilt bijvoorbeeld alle gebruikers synchroniseren als gast als hun on-premises AD userPrincipalName-kenmerk eindigt op domeinonderdeel @partners.fabrikam123.org. U kunt een expressie als volgt implementeren:

    Stroomtype Doelkenmerk Bron Eenmaal toepassen Samenvoegtype
    Expression UserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is niet aanwezig om UserType")) Niet ingeschakeld Bijwerken
  7. Klik op Toevoegen om de regel voor inkomend verkeer te maken.

Create inbound synchronization rule

Stap 5: Een regel voor uitgaande synchronisatie maken om de kenmerkwaarde naar Azure AD te laten stromen

Met de regel voor uitgaande synchronisatie kan de kenmerkwaarde van de metaverse naar het kenmerk UserType in Azure AD stromen:

  1. Ga naar de editor voor synchronisatieregels.

  2. Stel de zoekfilterrichting in op Uitgaand.

  3. Klik op de knop Nieuwe regel toevoegen .

  4. Geef op het tabblad Beschrijving de volgende configuratie op:

    Kenmerk Waarde Details
    Name Geef een naam op Bijvoorbeeld Out to AAD – UserType
    Description Geef een beschrijving op
    Verbonden systeem De AAD-connector selecteren
    Verbonden systeemobjecttype Gebruiker
    Metaverse-objecttype Person
    Koppelingstype Join
    Prioriteit Kies een getal tussen 1-99 1-99 is gereserveerd voor aangepaste synchronisatieregels. Kies geen waarde die wordt gebruikt door een andere synchronisatieregel.
  5. Ga naar het tabblad Bereikfilter en voeg één bereikfiltergroep met twee componenten toe:

    Kenmerk Operator Waarde
    sourceObjectType GELIJKE Gebruiker
    cloudMastered NOTEQUAL Waar

    Het bereikfilter bepaalt op welke Azure AD-objecten deze uitgaande synchronisatieregel wordt toegepast. In dit voorbeeld gebruiken we hetzelfde bereikfilter van de out-naar-AD- synchronisatieregel voor gebruikersidentiteit . Hiermee voorkomt u dat de synchronisatieregel wordt toegepast op gebruikersobjecten die niet vanuit on-premises Active Directory worden gesynchroniseerd. Mogelijk moet u het bereikfilter aanpassen op basis van uw Azure AD Connect-implementatie.

  6. Ga naar het tabblad Transformatie en implementeer de volgende transformatieregel:

    Stroomtype Doelkenmerk Bron Eenmaal toepassen Samenvoegtype
    Direct UserType UserType Niet ingeschakeld Bijwerken
  7. Klik op Toevoegen om de uitgaande regel te maken.

Create outbound synchronization rule

Stap 6: een volledige synchronisatiecyclus uitvoeren

Over het algemeen is een volledige synchronisatiecyclus vereist omdat we nieuwe kenmerken hebben toegevoegd aan zowel de Active Directory- als Azure AD Connector-schema's en aangepaste synchronisatieregels hebben geïntroduceerd. U wilt de wijzigingen controleren voordat u ze naar Azure AD exporteert.

U kunt de volgende stappen gebruiken om de wijzigingen te controleren tijdens het handmatig uitvoeren van de stappen waaruit een volledige synchronisatiecyclus bestaat.

  1. Voer een volledige import uit op de on-premises AD-connector:

    1. Ga naar het tabblad Connectors in Synchronization Service Manager.

    2. Klik met de rechtermuisknop op de on-premises AD-connector en selecteer Uitvoeren.

    3. Selecteer in het pop-updialoogvenster Volledige import en klik vervolgens op OK.

    4. Wacht tot de bewerking is voltooid.

      Notitie

      U kunt een volledige import overslaan op de on-premises AD-connector als het bronkenmerk al is opgenomen in de lijst met geïmporteerde kenmerken. Met andere woorden, u hoeft tijdens stap 2 geen wijzigingen aan te brengen : voeg het bronkenmerk toe aan het on-premises AD Connector-schema.

  2. Voer een volledige import uit op de Azure AD-connector:

    1. Klik met de rechtermuisknop op de Azure AD-connector en selecteer Uitvoeren.
    2. Selecteer in het pop-updialoogvenster Volledige import en klik vervolgens op OK.
    3. Wacht tot de bewerking is voltooid.
  3. Controleer of de synchronisatieregel wordt gewijzigd voor een bestaand gebruikersobject:

    Het bronkenmerk van on-premises Active Directory en het UserType van Azure AD zijn geïmporteerd in hun respectieve Connector Spaces. Voordat u doorgaat met een volledige synchronisatie, voert u een preview uit op een bestaand gebruikersobject in de on-premises AD-connectorruimte. Het object dat u hebt gekozen, moet het bronkenmerk hebben ingevuld.

    Een geslaagde preview met het UserType ingevuld in de metaverse is een goede indicator dat u de synchronisatieregels correct hebt geconfigureerd. Raadpleeg de sectie Controleer de wijziging voor meer informatie over het uitvoeren van een voorbeeld.

  4. Voer een volledige synchronisatie uit op de on-premises AD-connector:

    1. Klik met de rechtermuisknop op de on-premises AD-connector en selecteer Uitvoeren.
    2. Selecteer in het pop-updialoogvenster volledige synchronisatie en klik vervolgens op OK.
    3. Wacht tot de bewerking is voltooid.
  5. Controleer de export in behandeling naar Azure AD:

    1. Klik met de rechtermuisknop op de Azure AD-connector en selecteer Zoekconnectorruimte.

    2. In het pop-upvenster Voor zoekconnectorruimte :

      • Stel het bereik inop Exporteren in behandeling.
      • Schakel alle drie de selectievakjes in: Toevoegen, Wijzigen en Verwijderen.
      • Klik op de knop Zoeken om de lijst met objecten op te halen met wijzigingen die moeten worden geëxporteerd. Als u de wijzigingen voor een bepaald object wilt bekijken, dubbelklikt u op het object.
      • Controleer of de wijzigingen worden verwacht.
  6. Export uitvoeren op de Azure AD-connector:

    1. Klik met de rechtermuisknop op de Azure AD-connector en selecteer Uitvoeren.
    2. Selecteer Exporteren in het pop-upvenster Connector uitvoeren en klik vervolgens op OK.
    3. Wacht tot de export naar Azure AD is voltooid.

Notitie

Deze stappen omvatten niet de volledige synchronisatie- en exportstappen in de Azure AD-connector. Deze stappen zijn niet vereist omdat de kenmerkwaarden alleen van on-premises Active Directory naar Azure AD stromen.

Stap 7: De synchronisatieplanner opnieuw inschakelen

De ingebouwde synchronisatieplanner opnieuw inschakelen:

  1. Start een PowerShell-sessie.
  2. Schakel geplande synchronisatie opnieuw in door de cmdlet uit Set-ADSyncScheduler -SyncCycleEnabled $truete voeren.

Volgende stappen

Overzichtsonderwerpen