Sincronização do Azure AD Connect: Práticas recomendadas para alterar a configuração padrãoAzure AD Connect sync: Best practices for changing the default configuration

O objetivo deste tópico é descrever as alterações com e sem suporte para a sincronização do Azure AD Connect.The purpose of this topic is to describe supported and unsupported changes to Azure AD Connect sync.

A configuração criada pelo Azure AD Connect funciona "da forma como é" para a maioria dos ambientes que sincronizam o Active Directory local com o AD do Azure.The configuration created by Azure AD Connect works “as is” for most environments that synchronize on-premises Active Directory with Azure AD. No entanto, em alguns casos, é necessário aplicar alterações a uma configuração para atender a uma necessidade ou requisito específico.However, in some cases, it is necessary to apply some changes to a configuration to satisfy a particular need or requirement.

Alterações na conta de serviçoChanges to the service account

A sincronização do Azure AD Connect é executada em uma conta de serviço criada pelo assistente de instalação.Azure AD Connect sync is running under a service account created by the installation wizard. Essa conta de serviço mantém as chaves de criptografia no banco de dados usado pela sincronização. Ela é criada com uma senha de 127 caracteres que é definida para não expirar.This service account holds the encryption keys to the database used by sync. It is created with a 127 characters long password and the password is set to not expire.

  • Não há suporte para alteração ou redefinição da senha da conta de serviço.It is unsupported to change or reset the password of the service account. Isso destruirá as chaves de criptografia e o serviço não poderá acessar o banco de dados e iniciar.Doing so destroys the encryption keys and the service is not able to access the database and is not able to start.

Alterações no agendadorChanges to the scheduler

A partir da versão 1.1 (fevereiro de 2016), você pode configurar o agendador para ter um ciclo de sincronização diferente do padrão de 30 minutos.Starting with the releases from build 1.1 (February 2016) you can configure the scheduler to have a different sync cycle than the default 30 minutes.

Alterações nas regras de sincronizaçãoChanges to Synchronization Rules

O assistente de instalação fornece uma configuração que deve funcionar nos cenários mais comuns.The installation wizard provides a configuration that is supposed to work for the most common scenarios. No caso de precisar fazer alterações na configuração, você deve seguir estas regras para continuar com uma configuração com suporte.In case you need to make changes to the configuration, then you must follow these rules to still have a supported configuration.

Aviso

Se você fizer alterações nas regras de sincronização padrão, essas alterações serão substituídas na próxima vez em que o Azure AD Connect for atualizado, ocasionando resultados inesperados e provável sincronização indesejada.If you make changes to the default sync rules then these changes will be overwritten the next time Azure AD Connect is updated, resulting in unexpected and likely unwanted synchronization results.

  • Você poderá alterar fluxos de atributos se os fluxos de atributos diretos padrão não forem adequados para sua organização.You can change attribute flows if the default direct attribute flows are not suitable for your organization.
  • Se você optar por não fluir um atributo e remover valores do atributo existentes no Azure AD, você precisará criar uma regra para este cenário.If you want to not flow an attribute and remove any existing attribute values in Azure AD, then you need to create a rule for this scenario.
  • Desabilite uma Regra de sincronização indesejada em vez de excluí-la.Disable an unwanted Sync Rule rather than deleting it. Uma regra excluída é recriada durante uma atualização.A deleted rule is recreated during an upgrade.
  • Para alterar uma regra integrada, você deverá fazer uma cópia da regra original e desabilitar a regra integrada.To change an out-of-box rule, you should make a copy of the original rule and disable the out-of-box rule. O Editor de Regra de Sincronização solicita e ajuda você.The Sync Rule Editor prompts and helps you.
  • Exporte suas regras de sincronização personalizadas usando o Editor de regras de sincronização.Export your custom synchronization rules using the Synchronization Rules Editor. O editor fornece um script do PowerShell que você pode usar para recriá-los facilmente em um cenário de recuperação de desastres.The editor provides you with a PowerShell script you can use to easily recreate them in a disaster recovery scenario.

Aviso

As regras de sincronização integrada têm uma impressão digital.The out-of-box sync rules have a thumbprint. Se você fizer uma alteração a essas regras, a impressão digital não corresponderá mais.If you make a change to these rules, the thumbprint is no longer matching. Você pode ter problemas no futuro, quando tentar aplicar uma nova versão do Azure AD Connect.You might have problems in the future when you try to apply a new release of Azure AD Connect. Faça alterações somente como é descrito neste artigo.Only make changes the way it is described in this article.

Desabilite uma Regra de sincronização indesejadaDisable an unwanted Sync Rule

Não exclua uma regra de sincronização integrada.Do not delete an out-of-box sync rule. Ela será recriada durante a próxima atualização.It is recreated during next upgrade.

Em alguns casos, o assistente de instalação produz uma configuração que não funciona para sua topologia.In some cases, the installation wizard has produced a configuration that is not working for your topology. Por exemplo, se houver uma topologia de floresta de recurso de conta, mas você estendeu o esquema na floresta de conta com o esquema do Exchange, as regras do Exchange serão criadas para a floresta de contas e para a floresta de recursos.For example, if you have an account-resource forest topology but you have extended the schema in the account forest with the Exchange schema, then rules for Exchange are created for the account forest and the resource forest. Nesse caso, você deverá desabilitar a Regra de Sincronização do Exchange.In this case, you need to disable the Sync Rule for Exchange.

Regra de sincronização desabilitada

Na figura acima, o assistente de instalação encontrou um esquema antigo do Exchange 2003 na floresta de contas.In the picture above, the installation wizard has found an old Exchange 2003 schema in the account forest. Esta extensão de esquema foi adicionada antes da floresta de recursos ter sido introduzida no ambiente da Fabrikam.This schema extension was added before the resource forest was introduced in Fabrikam's environment. Para garantir que nenhum atributo da implementação do Exchange antigo seja sincronizado, a regra de sincronização deve ser desabilitada conforme mostrado.To ensure no attributes from the old Exchange implementation are synchronized, the sync rule should be disabled as shown.

alterar uma regra integradaChange an out-of-box rule

A única vez em que você deve alterar uma regra pronta para uso é quando você precisa alterar a regra de associação.The only time you should change an out-of-box rule is when you need to change the join rule. Se você precisar alterar um fluxo de atributos, deverá criar uma regra de sincronização com precedência maior do que as regras prontas para uso.If you need to change an attribute flow, then you should create a sync rule with higher precedence than the out-of-box rules. A única regra é praticamente necessário clone é a regra em do AD – usuário Join.The only rule you practically need to clone is the rule In from AD - User Join. Você pode substituir todas as outras regras com uma regra de prioridade mais alta.You can override all other rules with a higher precedence rule.

Se você precisar fazer alterações em uma regra integrada, deverá fazer uma cópia da regra integrada e desabilitar a regra original.If you need to make changes to an out-of-box rule, then you should make a copy of the out-of-box rule and disable the original rule. Em seguida, faça as alterações desejadas à regra clonada.Then make the changes to the cloned rule. O Editor de Regra de Sincronização ajuda você com essas etapas.The Sync Rule Editor is helping you with those steps. Quando você abre uma regra integrada, vê essa caixa de diálogo:When you open an out-of-box rule, you are presented with this dialog box:
Aviso de regra integrada

Selecione Sim para criar uma cópia da regra.Select Yes to create a copy of the rule. Então, a regra clonada é aberta.The cloned rule is then opened.
Regra clonadaCloned rule

Na regra clonada, faça as alterações necessárias no escopo, na associação e nas transformações.On this cloned rule, make any necessary changes to scope, join, and transformations.

Próximas etapasNext steps

Tópicos de visão geralOverview topics