Sincronização do Azure AD Connect: como fazer uma alteração na configuração padrãoAzure AD Connect sync: Make a change to the default configuration

A finalidade deste artigo é orientá-lo sobre como fazer alterações na configuração padrão na sincronização do Azure Active Directory (Azure AD) Connect. Ele fornece etapas para alguns cenários comuns.The purpose of this article is to walk you through how to make changes to the default configuration in Azure Active Directory (Azure AD) Connect sync. It provides steps for some common scenarios. Com esse conhecimento, você deve ser capaz de fazer alterações simples em sua própria configuração com base em suas próprias regras de negócios.With this knowledge, you should be able to make simple changes to your own configuration based on your own business rules.

Aviso

Se você fizer alterações nas regras de sincronização prontas para uso padrão, essas alterações serão substituídas na próxima vez que o Azure AD Connect for atualizado, resultando em resultados de sincronização indesejados e prováveis.If you make changes to the default out-of-box sync rules then these changes will be overwritten the next time Azure AD Connect is updated, resulting in unexpected and likely unwanted synchronization results.

As regras de sincronização integradas padrão têm uma impressão digital.The default out-of-box sync rules have a thumbprint. Se você fizer uma alteração a essas regras, a impressão digital não corresponderá mais.If you make a change to these rules, the thumbprint is no longer matching. Você pode ter problemas no futuro, quando tentar aplicar uma nova versão do Azure AD Connect.You might have problems in the future when you try to apply a new release of Azure AD Connect. Faça alterações somente como é descrito neste artigo.Only make changes the way it is described in this article.

Editor de Regras de SincronizaçãoSynchronization Rules Editor

O Editor de Regras de Sincronização é usado para exibir e alterar a configuração padrão.The Synchronization Rules Editor is used to see and change the default configuration. Você pode encontrá-lo no menu Iniciar no grupo Azure Connect AD.You can find it on the Start menu under the Azure AD Connect group.
Menu Iniciar com o Editor de Regras de SincronizaçãoStart menu with Sync Rule Editor

Ao abrir o editor, você verá as regras padrão prontas para uso.When you open the editor, you see the default out-of-box rules.

Editor de Regras de Sincronização

Usando os menus suspensos na parte superior do editor, você pode localizar rapidamente uma regra específica.Using the drop-downs at the top of the editor, you can quickly find a specific rule. Por exemplo, se você quiser ver as regras onde o atributo proxyAddresses está incluído, pode alterar os menus suspensos para o seguinte:For example, if you want to see the rules where the attribute proxyAddresses is included, you can change the drop-downs to the following:
Filtragem de SRE
Para redefinir a filtragem e carregar uma nova configuração, pressione F5 no teclado.To reset filtering and load a fresh configuration, press F5 on the keyboard.

Na parte superior direita fica o botão Adicionar nova regra.On the upper right is the Add new rule button. Use esse botão para criar sua própria regra personalizada.You use this button to create your own custom rule.

Na parte inferior, há botões para atuar em uma regra de sincronização selecionada.At the bottom are buttons for acting on a selected sync rule. Editar e Excluir fazem o que você espera.Edit and Delete do what you expect them to. Exportar produz um script do PowerShell para recriar a regra de sincronização.Export produces a PowerShell script for re-creating the sync rule. Com esse procedimento, você pode mover uma regra de sincronização de um servidor para outro.With this procedure, you can move a sync rule from one server to another.

Criar sua primeira regra personalizadaCreate your first custom rule

As alterações mais comuns são nos fluxos do atributo.The most common changes are to the attribute flows. Os dados no diretório de origem podem não ser o mesmo como no Azure AD.The data in your source directory might not be the same as in Azure AD. No exemplo nesta seção, verifique se o nome fornecido de um usuário está sempre com o formato apropriado.In the example in this section, make sure the given name of a user is always in proper case.

Desabilitar o agendadorDisable the scheduler

O Agendador é executado a cada 30 minutos por padrão.The scheduler runs every 30 minutes by default. Verifique se ele não está iniciando enquanto você está fazendo alterações e solucionando os problemas das novas regras.Make sure it is not starting while you are making changes and troubleshooting your new rules. Para desabilitar temporariamente o agendador, inicie o PowerShell e execute Set-ADSyncScheduler -SyncCycleEnabled $false.To temporarily disable the scheduler, start PowerShell and run Set-ADSyncScheduler -SyncCycleEnabled $false.

Desabilitar o agendador

Criar a regraCreate the rule

  1. Clique em Adicionar nova regra.Click Add new rule.
  2. Na página Descrição, insira o seguinte:On the Description page, enter the following:
    Filtragem das regras de entradaInbound rule filtering
    • Nome: dê um nome descritivo à regra.Name: Give the rule a descriptive name.
    • Descrição: dê algum esclarecimento para que outra pessoa possa entender para que serve a regra.Description: Give some clarification so someone else can understand what the rule is for.
    • Sistema conectado: esse é o sistema no qual o objeto pode ser encontrado.Connected System: This is the system in which the object can be found. Neste caso, selecione o Active Directory Connector.In this case, select Active Directory Connector.
    • Tipo de Sistema Conectado/Objeto do Metaverso: selecione Usuário e Pessoa respectivamente.Connected System/Metaverse Object Type: Select User and Person, respectively.
    • Tipo de Link: altere esse valor para Ingressar.Link Type: Change this value to Join.
    • Precedência: forneça um valor que seja exclusivo no sistema.Precedence: Provide a value that is unique in the system. Um valor numérico mais baixo indica uma precedência mais alta.A lower numeric value indicates higher precedence.
    • Marca: deixe o campo vazio.Tag: Leave this empty. As regras integradas da Microsoft devem ter essa caixa preenchida com um valor.Only out-of-box rules from Microsoft should have this box populated with a value.
  3. Na página Filtro de escopo, insira givenName ISNOTNULL.On the Scoping filter page, enter givenName ISNOTNULL.
    Filtrar escopo das regras de entradaInbound rule scoping filter
    Esta seção é usada para definir a quais objetos a regra deve ser aplicada.This section is used to define to which objects the rule should apply. Se deixada em branco, a regra se aplicaria a todos os objetos de usuário.If it's left empty, the rule would apply to all user objects. Contudo, isso incluiria as salas de conferência, contas de serviço e outros objetos de usuário que não são de pessoas.However, that would include conference rooms, service accounts, and other non-people user objects.
  4. Na página Regras de associação, deixe o campo vazio.On the Join rules page, leave the field empty.
  5. Na página Transformações, altere o FlowType para Expression.On the Transformations page, change FlowType to Expression. Para Atributo de destino, selecione givenName.For Target Attribute, select givenName. E para Fonte, digite PCase([givenName]) .And for Source, enter PCase([givenName]). Transformações das regras de entradaInbound rule transformations
    O mecanismo de sincronização diferencia as letras maiúsculas das minúsculas no nome da função e no nome do atributo.The sync engine is case-sensitive for both the function name and the name of the attribute. Se você digitar algo errado, verá um aviso quando adicionar a regra.If you type something wrong, you see a warning when you add the rule. Você pode salvar e continuar, mas precisa reabrir e corrigir a regra.You can save and continue, but you need to reopen and correct the rule.
  6. Clique em Adicionar para salvar a regra.Click Add to save the rule.

A nova regra personalizada deve ficar visível com as outras regras de sincronização no sistema.Your new custom rule should be visible with the other sync rules in the system.

Verificar a alteraçãoVerify the change

Com essa nova alteração, você deseja verificar se ela está funcionando conforme o esperado e não está gerando erros.With this new change, you want to make sure it is working as expected and is not throwing any errors. Dependendo do número de objetos que você tem, há duas maneiras de realizar esta etapa:Depending on the number of objects you have, there are two ways to do this step:

  • Executar uma sincronização completa em todos os objetos.Run a full sync on all objects.
  • Executar uma visualização e uma sincronização completa em um único objeto.Run a preview and full sync on a single object.

Abra o Serviço de Sincronização no menu Iniciar.Open the Synchronization Service from the Start menu. As etapas nesta seção estão todas nessa ferramenta.The steps in this section are all in this tool.

Sincronização completa em todos os objetosFull sync on all objects

  1. Selecione Conectores na parte superior.Select Connectors at the top. Identifique o conector que você alterou na seção anterior (neste caso, os Active Directory Domain Services) e selecione-o.Identify the connector that you changed in the previous section (in this case, Active Directory Domain Services), and select it.
  2. Para Ações, selecione Executar.For Actions, select Run.
  3. Selecione Sincronização Completa e selecione OK.Select Full Synchronization, and then select OK. Sincronização completaFull sync
    Os objetos estão atualizados no metaverso.The objects are now updated in the metaverse. Verifique suas alterações examinando o objeto no metaverso.Verify your changes by looking at the object in the metaverse.

Visualização e sincronização completa em um único objetoPreview and full sync on a single object

  1. Selecione Conectores na parte superior.Select Connectors at the top. Identifique o conector que você alterou na seção anterior (neste caso, os Active Directory Domain Services) e selecione-o.Identify the connector that you changed in the previous section (in this case, Active Directory Domain Services), and select it.
  2. Selecione Pesquisar Espaço do Conector.Select Search Connector Space.
  3. Use o Escopo para localizar um objeto que você deseja usar para testar a alteração.Use Scope to find an object that you want to use to test the change. Selecione o objeto e clique em Visualizar.Select the object and click Preview.
  4. Na nova tela, selecione Visualização de Confirmação.On the new screen, select Commit Preview.
    Commit previewCommit preview
    Agora, a alteração está confirmada no metaverso.The change is now committed to the metaverse.

Ver o objeto no metaversoView the object in the metaverse

  1. Escolha alguns objetos de exemplo para verificar se o valor é o esperado e se a regra foi aplicada.Pick a few sample objects to make sure that the value is expected and that the rule applied.
  2. Selecione Pesquisar Metaverso na parte superior.Select Metaverse Search from the top. Adicione qualquer filtro necessário para localizar os objetos relevantes.Add any filter that you need to find the relevant objects.
  3. No resultado da pesquisa, abra um objeto.From the search result, open an object. Veja os valores do atributo e verifique também na coluna Regras de Sincronização se a regra aplicada está conforme o esperado.Look at the attribute values, and also verify in the Sync Rules column that the rule applied as expected.
    Metaverse searchMetaverse search

Habilitar o agendadorEnable the scheduler

Se tudo estiver como o esperado, você poderá habilitar o agendador novamente.If everything is as expected, you can enable the scheduler again. No PowerShell, execute Set-ADSyncScheduler -SyncCycleEnabled $true.From PowerShell, run Set-ADSyncScheduler -SyncCycleEnabled $true.

Outras alterações comuns no fluxo de atributosOther common attribute flow changes

A seção anterior descreveu como fazer alterações em um fluxo de atributos.The previous section described how to make changes to an attribute flow. Nesta seção, são fornecidos alguns exemplos adicionais.In this section, some additional examples are provided. As etapas para criar a regra de sincronização estão abreviadas, mas você pode encontrar as etapas completas na seção anterior.The steps for how to create the sync rule is abbreviated, but you can find the full steps in the previous section.

Usar outro atributo diferente do padrãoUse an attribute other than the default

Nesse cenário do Fabrikam, há uma floresta na qual o alfabeto local é usado para o nome dado, sobrenome e nome de exibição.In this Fabrikam scenario, there is a forest where the local alphabet is used for given name, surname, and display name. A representação de caracteres latinos desses atributos pode ser encontrada nos atributos de extensão.The Latin character representation of these attributes can be found in the extension attributes. Para compilar uma lista de endereços global no Azure AD e no Office 365, a organização deseja usar esses atributos.For building a global address list in Azure AD and Office 365, the organization wants to use these attributes instead.

Com uma configuração padrão, um objeto da floresta local tem esta aparência:With a default configuration, an object from the local forest looks like this:
Fluxo de atributos 1

Para criar uma regra com outros fluxos de atributos, faça o seguinte:To create a rule with other attribute flows, do the following:

  1. Abra o Editor de Regras de Sincronização no menu Iniciar.Open the Synchronization Rules Editor from the Start menu.
  2. Com a Entrada ainda selecionada à esquerda, clique no botão Adicionar nova regra.With Inbound still selected to the left, click the Add new rule button.
  3. Dê à regra um nome e uma descrição.Give the rule a name and description. Selecione a instância local do Active Directory e os tipos de objetos relevantes.Select the on-premises Active Directory instance and the relevant object types. Em Tipo de Link, selecione Junção.In Link Type, select Join. Para Precedência, escolha um número que não seja usado por outra regra.For Precedence, pick a number that is not used by another rule. As regras prontas para uso começam com 100, então, o valor 50 pode ser usado neste exemplo.The out-of-box rules start with 100, so the value 50 can be used in this example. Fluxo de atributos 2Attribute flow 2
  4. Deixe Filtro de escopo vazio.Leave Scoping filter empty. (Ou seja, deve ser aplicada a todos os objetos de usuário na floresta.)(That is, it should apply to all user objects in the forest.)
  5. Deixe Regras de associação vazio.Leave Join rules empty. (Ou seja, permita que a regra pronta para uso lide com quaisquer associações.)(That is, let the out-of-box rule handle any joins.)
  6. Em Transformações, crie os seguintes fluxos:In Transformations, create the following flows:
    Fluxo de atributos 3Attribute flow 3
  7. Clique em Adicionar para salvar a regra.Click Add to save the rule.
  8. Vá para o Synchronization Service Manager.Go to Synchronization Service Manager. Em Conectores, selecione o conector ao qual você adicionou a regra.On Connectors, select the connector where you added the rule. Selecione Executar e depois Sincronização Completa.Select Run, and then select Full Synchronization. Uma sincronização completa recalcula todos os objetos usando as regras atuais.A full synchronization recalculates all objects by using the current rules.

Este é o resultado para o mesmo objeto com essa regra personalizada:This is the result for the same object with this custom rule:
Fluxo de atributos 4

Comprimento de atributosLength of attributes

Atributos de cadeia de caracteres são indexáveis por padrão, e seu comprimento máximo é de 448 caracteres.String attributes are indexable by default, and the maximum length is 448 characters. Se você estiver trabalhando com atributos da cadeia de caracteres que podem conter mais, inclua o seguinte no fluxo de atributos:If you are working with string attributes that might contain more, make sure to include the following in the attribute flow:
attributeName <- Left([attributeName],448).attributeName <- Left([attributeName],448).

Alterando o userPrincipalSuffixChanging the userPrincipalSuffix

O atributo userPrincipalName no Active Directory não é sempre conhecido pelos usuários e pode não ser adequado como a ID de logon.The userPrincipalName attribute in Active Directory is not always known by the users and might not be suitable as the sign-in ID. Com o assistente de instalação da sincronização do Azure AD Connect, você pode escolher um atributo diferente, por exemplo, email.With the Azure AD Connect sync installation wizard, you can choose a different attribute--for example, mail. Mas, em alguns casos, o atributo deve ser calculado.But in some cases, the attribute must be calculated.

Por exemplo, a empresa Contoso tem dois diretórios do AD do Azure, um para a produção e outro para o teste.For example, the company Contoso has two Azure AD directories, one for production and one for testing. Eles querem que os usuários em seu locatário de teste usem outro sufixo na ID de entrada:They want the users in their test tenant to use another suffix in the sign-in ID:
userPrincipalName <- Word([userPrincipalName],1,"@") & "@contosotest.com".userPrincipalName <- Word([userPrincipalName],1,"@") & "@contosotest.com".

Nesta expressão, pegamos tudo à esquerda do primeiro @-sign (Word) e concatenamos com uma cadeia de caracteres fixa.In this expression, take everything left of the first @-sign (Word) and concatenate with a fixed string.

Converter um atributo de vários valores em um único valorConvert a multi-value attribute to single value

Alguns atributos no Active Directory são compostos de vários valores no esquema, mesmo que pareçam de valor único nos Usuários e computadores do Active Directory.Some attributes in Active Directory are multi-valued in the schema, even though they look single-valued in Active Directory Users and Computers. Um exemplo é o atributo de descrição:An example is the description attribute:
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Nesta expressão, caso o atributo tenha um valor, pegue o primeiro item (Item) no atributo, remova espaços à direita e à esquerda (Trim, cortar) e, em seguida, mantenha os primeiros 448 caracteres (Left, à esquerda) na cadeia de caracteres.In this expression, if the attribute has a value, take the first item (Item) in the attribute, remove leading and trailing spaces (Trim), and then keep the first 448 characters (Left) in the string.

Não faça um atributo fluirDo not flow an attribute

Para obter informações sobre o cenário para esta seção, confira Controlar o processo de fluxo de atributos.For background on the scenario for this section, see Control the attribute flow process.

Há duas maneiras de não fazer um atributo fluir.There are two ways to not flow an attribute. A primeira é usando o assistente de instalação para remover os atributos selecionados.The first is by using the installation wizard to remove selected attributes. Essa opção funciona se você nunca tiver sincronizado o atributo antes.This option works if you have never synchronized the attribute before. No entanto, se você começou a sincronizar esse atributo e removê-lo mais tarde com esse recurso, o mecanismo de sincronização deixará de gerenciar o atributo e os valores existentes serão deixados no Azure AD.However, if you have started to synchronize this attribute and later remove it with this feature, the sync engine stops managing the attribute and the existing values are left in Azure AD.

Se você quiser remover o valor de um atributo e assegurar que ele não fluirá no futuro, será necessário criar uma regra personalizada.If you want to remove the value of an attribute and make sure it does not flow in the future, you need create a custom rule.

Nesse cenário do Fabrikam, percebemos que alguns dos atributos que sincronizamos para a nuvem não deveriam estar lá.In this Fabrikam scenario, we have realized that some of the attributes we synchronize to the cloud should not be there. Queremos removê-los do AD do Azure.We want to make sure these attributes are removed from Azure AD.
Atributos de extensão ruins

  1. Crie uma nova regra de sincronização de entrada e preencha a descrição.Create a new inbound synchronization rule and populate the description. DescriçõesDescriptions
  2. Criar fluxos de atributos com Expressão para FlowType e com AuthoritativeNull para Fonte.Create attribute flows with Expression for FlowType and with AuthoritativeNull for Source. O literal AuthoritativeNull indica que o valor deve ser vazio no metaverso mesmo se uma regra de sincronização de precedência inferior tentar preencher o valor.The literal AuthoritativeNull indicates that the value should be empty in the metaverse, even if a lower-precedence sync rule tries to populate the value. Transformação dos atributos de extensãoTransformation for extension attributes
  3. Salve a regra de sincronização.Save the sync rule. Inicie o Serviço de Sincronização, localize o conector, selecione Executar e depois Sincronização Completa.Start the Synchronization Service, find the connector, select Run, and then select Full Synchronization. Esta etapa recalculará todos os fluxos de atributo.This step recalculates all attribute flows.
  4. Verifique se as alterações pretendidas estão prestes a ser exportadas pesquisando o Espaço Conector.Verify that the intended changes are about to be exported by searching the Connector Space. Exclusão em etapasStaged delete

Criar regras com o PowerShellCreate rules with PowerShell

Usando o editor de regra de sincronização funciona bem quando você tem apenas algumas alterações a serem feitas.Using the sync rule editor works fine when you only have a few changes to make. Se você precisar fazer muitas alterações, o PowerShell pode ser uma opção melhor.If you need to make many changes, PowerShell might be a better option. Alguns recursos avançados só estão disponíveis com o PowerShell.Some advanced features are only available with PowerShell.

Obter o script do PowerShell para uma regra pronta para usoGet the PowerShell script for an out-of-box rule

Para ver o PowerShell script que criou uma regra de caixa de saída, selecione a regra no editor de regras de sincronização e clique em Exportar.To see the PowerShell script that created an out-of-box rule, select the rule in the sync rules editor and click Export. Esta ação lhe dá o script do PowerShell que criou a regra.This action gives you the PowerShell script that created the rule.

Precedência avançadaAdvanced precedence

As regras de sincronização prontas para uso começam com um valor de precedência 100.The out-of-box sync rules start with a precedence value of 100. Se você tiver várias florestas e precisar fazer muitas alterações personalizadas, então as 99 regras de sincronização poderão não ser suficientes.If you have many forests and you need to make many custom changes, then 99 sync rules might not be enough.

Você pode instruir o mecanismo de sincronização que deseja regras adicionais inseridas antes das regras prontas para uso.You can instruct the sync engine that you want additional rules inserted before the out-of-box rules. Para obter esse comportamento, siga estas etapas:To get this behavior, follow these steps:

  1. Marque a primeira regra de sincronização pronta para uso (In from AD-User Join) no editor de regras de sincronização e selecione Exportar.Mark the first out-of-box sync rule (In from AD-User Join) in the sync rules editor and select Export. Copie o valor do Identificador SR.Copy the SR Identifier value.
    PowerShell antes da alteraçãoPowerShell before change
  2. Crie nova regra de sincronização.Create the new sync rule. Você pode usar o editor de regras de sincronização para criá-lo.You can use the sync rules editor to create it. Exporte a regra para um script do PowerShell.Export the rule to a PowerShell script.
  3. Na propriedade PrecedenceBefore, insira o valor do Identificador da regra pronta para uso.In the property PrecedenceBefore, insert the Identifier value from the out-of-box rule. Definir o precedência para 0.Set the Precedence to 0. Verifique se o atributo do Identificador é exclusivo e se você não está reutilizando um GUID de outra regra.Make sure the Identifier attribute is unique and that you are not reusing a GUID from another rule. Também verifique se a propriedade ImmutableTag não está definida.Also make sure that the ImmutableTag property is not set. Essa propriedade deve ser definida apenas para uma regra pronta para uso.This property should be set only for an out-of-box rule.
  4. Salve o script do PowerShell e executá-lo.Save the PowerShell script and run it. O resultado é que a regra personalizada recebe o valor de precedência 100 e todas as outras regras prontas para uso são incrementadas.The result is that your custom rule is assigned the precedence value of 100 and all other out-of-box rules are incremented.
    PowerShell após a alteração

Você pode ter várias regras de sincronização personalizadas usando o mesmo valor PrecedenceBefore quando necessário.You can have many custom sync rules by using the same PrecedenceBefore value when needed.

Habilitar a sincronização de UserTypeEnable synchronization of UserType

O Azure AD Connect oferece suporte para sincronização do atributo UserType para objetos Usuário nas versões 1.1.524.0 e posteriores.Azure AD Connect supports synchronization of the UserType attribute for User objects in version 1.1.524.0 and later. Mais especificamente, as seguintes alterações foram introduzidas:More specifically, the following changes have been introduced:

  • O esquema do tipo de objeto Usuário no Azure AD Connector é estendido para incluir o atributo UserType, que é do tipo cadeia de caracteres e é de valor único.The schema of the object type User in the Azure AD Connector is extended to include the UserType attribute, which is of the type string and is single-valued.
  • O esquema do tipo de objeto Pessoa no metaverso é estendido para incluir o atributo UserType, que é do tipo cadeia de caracteres e é de valor único.The schema of the object type Person in the metaverse is extended to include the UserType attribute, which is of the type string and is single-valued.

Por padrão, o atributo UserType não está habilitado para sincronização porque não há nenhum atributo UserType correspondente no Active Directory local.By default, the UserType attribute is not enabled for synchronization because there is no corresponding UserType attribute in on-premises Active Directory. Você deve habilitar a sincronização manualmente.You must manually enable synchronization. Antes de fazer isso, você deve anotar o seguinte comportamento imposto pelo Azure AD:Before doing this, you must take note of the following behavior enforced by Azure AD:

  • O Azure AD aceita apenas dois valores para o atributo UserType: Membro e Convidado.Azure AD only accepts two values for the UserType attribute: Member and Guest.
  • Se o atributo UserType não estiver habilitado para sincronização no Azure AD Connect, os usuários do Azure AD, criados por meio da sincronização de diretório, terão o atributo UserType definido como Membro.If the UserType attribute is not enabled for synchronization in Azure AD Connect, Azure AD users created through directory synchronization would have the UserType attribute set to Member.
  • O Azure AD não permite que o atributo UserType em usuários existentes do Azure AD seja alterado pelo Azure AD Connect.Azure AD does not permit the UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Ele só pode ser definido durante a criação dos usuários do Azure AD e alterado por meio do PowerShell.It can only be set during the creation of the Azure AD users and changed via Powershell.

Antes de habilitar a sincronização do atributo UserType, você deve decidir como o atributo será derivado do Active Directory local.Before enabling synchronization of the UserType attribute, you must first decide how the attribute is derived from on-premises Active Directory. A seguir, estão as abordagens mais comuns:The following are the most common approaches:

  • Designar um atributo do AD local não utilizado (como extensionAttribute1) para ser usado como o atributo de origem.Designate an unused on-premises AD attribute (such as extensionAttribute1) to be used as the source attribute. O atributo designado do AD local deve ser do tipo cadeia de caracteres, ser de valor único e conter o valor Membro ou Convidado.The designated on-premises AD attribute should be of the type string, be single-valued, and contain the value Member or Guest.

    Se você escolher essa abordagem, você deverá garantir que o atributo designado seja preenchido com o valor correto para todos os objetos de usuário existentes no Active Directory local que estejam sincronizados com o Azure AD antes de habilitar a sincronização do atributo UserType.If you choose this approach, you must ensure that the designated attribute is populated with the correct value for all existing user objects in on-premises Active Directory that are synchronized to Azure AD before enabling synchronization of the UserType attribute.

  • Como alternativa, você pode derivar o valor do atributo UserType de outras propriedades.Alternatively, you can derive the value for the UserType attribute from other properties. Por exemplo, você deseja sincronizar todos os usuários como Convidados, caso os respectivos atributos UserPrincipalName do AD local terminem com a parte do domínio @partners.fabrikam123.org.For example, you want to synchronize all users as Guest if their on-premises AD userPrincipalName attribute ends with domain part @partners.fabrikam123.org.

    Conforme mencionado anteriormente, o Azure AD Connect não permite que o atributo UserType em usuários existentes do Azure AD seja alterado pelo Azure AD Connect.As mentioned previously, Azure AD Connect does not permit the UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Portanto, você deve garantir que a lógica que você escolheu seja consistente com a maneira como o atributo UserType já está configurado para todos os usuários do Azure AD existentes em seu locatário.Therefore, you must ensure that the logic you have decided is consistent with how the UserType attribute is already configured for all existing Azure AD users in your tenant.

As etapas para habilitar a sincronização do atributo UserType podem ser resumidas como:The steps to enable synchronization of the UserType attribute can be summarized as:

  1. Desabilitar o agendador de sincronização e verificar se não há nenhuma sincronização em andamento.Disable the sync scheduler and verify there is no synchronization in progress.
  2. Adicionar o atributo de origem ao esquema do AD Connector local.Add the source attribute to the on-premises AD Connector schema.
  3. Adicionar UserType ao esquema do Azure AD Connector.Add the UserType to the Azure AD Connector schema.
  4. Criar uma regra de sincronização de entrada para fazer o valor de atributo fluir do Active Directory local.Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory.
  5. Criar uma regra de sincronização de saída para fazer o valor de atributo fluir para o Azure AD.Create an outbound synchronization rule to flow the attribute value to Azure AD.
  6. Executar um ciclo completo de sincronização.Run a full synchronization cycle.
  7. Habilitar o agendador de sincronização.Enable the sync scheduler.

Observação

O restante desta seção aborda essas etapas.The rest of this section covers these steps. Elas são descritas no contexto de uma implantação do Azure AD com topologia de floresta única e sem regras de sincronização personalizadas.They are described in the context of an Azure AD deployment with single-forest topology and without custom synchronization rules. Se você tiver uma topologia de várias florestas, regras de sincronização personalizadas configuradas ou um servidor de preparo, você precisará ajustar as etapas de acordo.If you have multi-forest topology, custom synchronization rules configured, or have a staging server, you need to adjust the steps accordingly.

Etapa 1: desabilitar o agendador de sincronização e verificar se não há nenhuma sincronização em andamentoStep 1: Disable the sync scheduler and verify there is no synchronization in progress

Para evitar a exportação de alterações indesejadas ao Azure AD, garanta que não haja nenhuma sincronização enquanto você estiver atualizando as regras de sincronização.To avoid exporting unintended changes to Azure AD, ensure that no synchronization takes place while you are in the middle of updating synchronization rules. Para desabilitar o agendador de sincronização interno:To disable the built-in sync scheduler:

  1. Inicie uma sessão do PowerShell no servidor do Azure AD Connect.Start a PowerShell session on the Azure AD Connect server.
  2. Desabilite a sincronização agendada executando o cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.Disable scheduled synchronization by running the cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Inicie o Synchronization Service Manager acessando Iniciar > Serviço de Sincronização.Open the Synchronization Service Manager by going to Start > Synchronization Service.
  4. Acesse a guia Operações e confirme se não há nenhuma operação cujo status seja em andamento.Go to the Operations tab and confirm there is no operation with a status of in progress.

Etapa 2: adicionar o atributo de origem ao esquema do AD Connector localStep 2: Add the source attribute to the on-premises AD Connector schema

Nem todos os atributos do Azure AD são importados para o Espaço do AD Connector local.Not all Azure AD attributes are imported into the on-premises AD Connector Space. Para adicionar o atributo de origem à lista de atributos importados:To add the source attribute to the list of the imported attributes:

  1. Acesse a guia Conectores no Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Clique com o botão direito do mouse no AD Connector local e selecione Propriedades.Right-click the on-premises AD Connector and select Properties.
  3. Na caixa de diálogo pop-up, vá para a guia Selecionar Atributos.In the pop-up dialog box, go to the Select Attributes tab.
  4. Verifique se o atributo de origem está selecionado na lista de atributos.Make sure the source attribute is checked in the attribute list.
  5. Clique em OK para salvar.Click OK to save. Adicionar atributo de origem ao esquema do Conector do AD localAdd source attribute to on-premises AD Connector schema

Etapa 3: adicionar UserType ao esquema do Azure AD ConnectorStep 3: Add the UserType to the Azure AD Connector schema

Por padrão, o atributo UserType não será importado para o espaço do Azure AD Connect.By default, the UserType attribute is not imported into the Azure AD Connect Space. Para adicionar o atributo UserType à lista de atributos importados:To add the UserType attribute to the list of imported attributes:

  1. Acesse a guia Conectores no Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Clique com o botão direito do mouse em Conector do Azure AD e selecione Propriedades.Right-click the Azure AD Connector and select Properties.
  3. Na caixa de diálogo pop-up, vá para a guia Selecionar Atributos.In the pop-up dialog box, go to the Select Attributes tab.
  4. Certifique-se de que o atributo UserType esteja selecionado na lista de atributos.Make sure the UserType attribute is checked in the attribute list.
  5. Clique em OK para salvar.Click OK to save.

Adicionar atributo de origem ao esquema do Azure AD Connector

Etapa 4: criar uma regra de sincronização de entrada para fazer o valor de atributo fluir do Active Directory localStep 4: Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory

A regra de sincronização de entrada permite que o valor do atributo flua do atributo de origem do Active Directory local para o metaverso:The inbound synchronization rule permits the attribute value to flow from the source attribute from on-premises Active Directory to the metaverse:

  1. Abra o Editor de Regras de Sincronização acessando Iniciar > Editor de Regras de Sincronização.Open the Synchronization Rules Editor by going to Start > Synchronization Rules Editor.

  2. Defina o filtro de pesquisa Direção como Entrada.Set the search filter Direction to be Inbound.

  3. Clique no botão Adicionar nova regra para criar uma nova regra de entrada.Click the Add new rule button to create a new inbound rule.

  4. Na guia Descrição, forneça a seguinte configuração:Under the Description tab, provide the following configuration:

    AtributoAttribute ValueValue DetalhesDetails
    nameName Fornecer um nomeProvide a name Por exemplo, Entrada do AD – UserType UsuárioFor example, In from AD – User UserType
    DescriçãoDescription Fornecer uma descriçãoProvide a description
    Sistema ConectadoConnected System Selecionar o AD connector localPick the on-premises AD connector
    Tipo de Objeto do Sistema ConectadoConnected System Object Type UsuárioUser
    Tipo de Objeto de MetaversoMetaverse Object Type PessoaPerson
    Tipo de linkLink Type JoinJoin
    PrecedênciaPrecedence Escolha um número entre 1 e 99Choose a number between 1–99 1 a 99 são reservados para regras de sincronização personalizadas.1–99 is reserved for custom sync rules. Não selecione um valor que seja usado por outra regra de sincronização.Do not pick a value that is used by another synchronization rule.
  5. Acesse a guia Filtro de escopo e adicione um único grupo de filtro de escopo com a seguinte cláusula:Go to the Scoping filter tab and add a single scoping filter group with the following clause:

    AtributoAttribute operadorOperator ValueValue
    adminDescriptionadminDescription NOTSTARTWITHNOTSTARTWITH Usuário_User_

    O filtro de escopo determina a quais objetos AD locais essa regra de sincronização de entrada é aplicada.The scoping filter determines to which on-premises AD objects this inbound synchronization rule is applied. Neste exemplo, usamos o mesmo filtro de escopo usado como regra de sincronização pronta para uso Entrada do AD – Usuário Comum, que impede a aplicação da regra de sincronização a objetos Usuário criados por meio do recurso de write-back de Usuário do Azure AD.In this example, we use the same scoping filter used in the In from AD – User Common out-of-box synchronization rule, which prevents the synchronization rule from being applied to User objects created through the Azure AD User writeback feature. Talvez seja necessário ajustar o filtro de escopo de acordo com sua implantação do Azure AD Connect.You might need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Acesse a guia Transformação e implemente a regra de transformação desejada.Go to the Transformation tab and implement the desired transformation rule. Por exemplo, se você designou um atributo local AD não utilizado (como extensionAttribute1) como o atributo de origem para o UserType; você pode implementar um fluxo de atributos direto:For example, if you have designated an unused on-premises AD attribute (such as extensionAttribute1) as the source attribute for the UserType, you can implement a direct attribute flow:

    Tipo de fluxoFlow type Atributo de destinoTarget attribute OrigemSource Aplicar uma vezApply once Tipo de mesclagemMerge type
    DirectDirect UserTypeUserType extensionAttribute1extensionAttribute1 DesmarcadoUnchecked AtualizarUpdate

    Em outro exemplo, você deseja derivar o valor do atributo UserType de outras propriedades.In another example, you want to derive the value for the UserType attribute from other properties. Por exemplo, você deseja sincronizar todos os usuários como convidados se seu atributo userPrincipalName do AD local termina com a parte de domínio @partners.fabrikam123.org. Você pode implementar uma expressão como esta:For example, you want to synchronize all users as Guest if their on-premises AD userPrincipalName attribute ends with domain part @partners.fabrikam123.org. You can implement an expression like this:

    Tipo de fluxoFlow type Atributo de destinoTarget attribute OrigemSource Aplicar uma vezApply once Tipo de mesclagemMerge type
    ExpressionExpression UserTypeUserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName não está presente para determinar UserType"))IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) DesmarcadoUnchecked AtualizarUpdate
  7. Clique em Adicionar para criar a regra de entrada.Click Add to create the inbound rule.

Criar regra de sincronização de entrada

Etapa 5: criar uma regra de sincronização de saída para fazer o valor de atributo fluir para o Azure ADStep 5: Create an outbound synchronization rule to flow the attribute value to Azure AD

A regra de sincronização de saída permite que o valor do atributo flua do metaverso para o atributo UserType no Microsoft Azure AD:The outbound synchronization rule permits the attribute value to flow from the metaverse to the UserType attribute in Azure AD:

  1. Acesse o Editor de Regras de Sincronização.Go to the Synchronization Rules Editor.

  2. Defina o filtro de pesquisa Direção como Saída.Set the search filter Direction to be Outbound.

  3. Clique no botão Adicionar nova regra.Click the Add new rule button.

  4. Na guia Descrição, forneça a seguinte configuração:Under the Description tab, provide the following configuration:

    AtributoAttribute ValueValue DetalhesDetails
    nameName Fornecer um nomeProvide a name Por exemplo, Saída para AAD – UserType UsuárioFor example, Out to AAD – User UserType
    DescriçãoDescription Fornecer uma descriçãoProvide a description
    Sistema ConectadoConnected System Selecione o AAD connectorSelect the AAD connector
    Tipo de Objeto do Sistema ConectadoConnected System Object Type UsuárioUser
    Tipo de Objeto de MetaversoMetaverse Object Type PessoaPerson
    Tipo de linkLink Type JoinJoin
    PrecedênciaPrecedence Escolha um número entre 1 e 99Choose a number between 1–99 1 a 99 são reservados para regras de sincronização personalizadas.1–99 is reserved for custom sync rules. Não selecione um valor que seja usado por outra regra de sincronização.Do not pick a value that is used by another synchronization rule.
  5. Acesse a guia Filtro de escopo e adicione um único grupo de filtro de escopo com as duas cláusulas a seguir:Go to the Scoping filter tab and add a single scoping filter group with two clauses:

    AtributoAttribute operadorOperator ValueValue
    sourceObjectTypesourceObjectType EQUALEQUAL UsuárioUser
    cloudMasteredcloudMastered NOTEQUALNOTEQUAL TrueTrue

    O filtro de escopo determina a quais objetos do Azure AD essa regra de sincronização de saída é aplicada.The scoping filter determines to which Azure AD objects this outbound synchronization rule is applied. Neste exemplo, usamos o mesmo filtro de escopo da regra de sincronização pronta para uso de Saída para AD – identidade do usuário.In this example, we use the same scoping filter from the Out to AD – User Identity out-of-box synchronization rule. Impede que a regra de sincronização seja aplicada aos objetos de Usuário que não estão sincronizados do Active Directory local.It prevents the synchronization rule from being applied to User objects that are not synchronized from on-premises Active Directory. Talvez seja necessário ajustar o filtro de escopo de acordo com sua implantação do Azure AD Connect.You might need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Acesse a guia Transformação e implemente a seguinte regra de transformação:Go to the Transformation tab and implement the following transformation rule:

    Tipo de fluxoFlow type Atributo de destinoTarget attribute OrigemSource Aplicar uma vezApply once Tipo de mesclagemMerge type
    DirectDirect UserTypeUserType UserTypeUserType DesmarcadoUnchecked AtualizarUpdate
  7. Clique em Adicionar para criar a regra de saída.Click Add to create the outbound rule.

Criar regra de sincronização de saída

Etapa 6: executar um ciclo completo de sincronizaçãoStep 6: Run a full synchronization cycle

Em geral, um ciclo completo de sincronização é necessário, já que adicionamos novos atributos ao esquema do Active Directory e do Azure AD Connector e introduzimos regras de sincronização personalizadas.In general, a full synchronization cycle is required because we have added new attributes to both the Active Directory and Azure AD Connector schemas, and introduced custom synchronization rules. Você deseja verificar as alterações antes de exportá-las para o Azure AD.You want to verify the changes before exporting them to Azure AD.

Você pode usar as etapas a seguir para verificar as alterações enquanto executa manualmente as etapas que formam um ciclo completo de sincronização.You can use the following steps to verify the changes while manually running the steps that make up a full synchronization cycle.

  1. Execute uma Importação completa no AD Connector local:Run a Full import on the on-premises AD Connector:

    1. Acesse a guia Operações no Synchronization Service Manager.Go to the Operations tab in the Synchronization Service Manager.

    2. Clique com o botão direito do mouse no AD Connector local e selecione Executar.Right-click the on-premises AD Connector and select Run.

    3. Na caixa de diálogo pop-up, selecione Importação Completa e clique em OK.In the pop-up dialog box, select Full Import and then click OK.

    4. Aguarde até operação terminar.Wait for the operation to finish.

      Observação

      Você poderá ignorar uma Importação completa no AD Connector local se o atributo de origem já estiver incluído na lista de atributos importados.You can skip a full import on the on-premises AD Connector if the source attribute is already included in the list of imported attributes. Em outras palavras, você não precisou fazer nenhuma alteração durante a Etapa 2: adicionar os atributos de origem ao esquema do AD Connector local.In other words, you did not have to make any changes during Step 2: Add the source attribute to the on-premises AD Connector schema.

  2. Execute uma Importação completa no Azure AD Connector:Run a Full import on the Azure AD Connector:

    1. Clique com o botão direito do mouse em Azure AD Connector e selecione Executar.Right-click the Azure AD Connector and select Run.
    2. Na caixa de diálogo pop-up, selecione Importação Completa e clique em OK.In the pop-up dialog box, select Full Import and then click OK.
    3. Aguarde até operação terminar.Wait for the operation to finish.
  3. Verifique se a regra de sincronização muda em um objeto de Usuário existente:Verify the synchronization rule changes on an existing User object:

    O atributo de origem do Active Directory local e de UserType do Azure AD foi importado nos respectivos Espaços do Conector.The source attribute from on-premises Active Directory and the UserType from Azure AD have been imported into their respective Connector Spaces. Antes de continuar com uma sincronização completa, faça uma Visualização em um objeto Usuário existente no Espaço do AD Connector local.Before proceeding with a full synchronization, do a Preview on an existing User object in the on-premises AD Connector Space. O objeto escolhido deve ter o atributo de origem preenchido.The object you chose should have the source attribute populated.

    Uma Visualização bem-sucedida com o UserType preenchido no metaverso é um bom indicador de que você configurou as regras de sincronização corretamente.A successful Preview with the UserType populated in the metaverse is a good indicator that you have configured the synchronization rules correctly. Para obter informações sobre como fazer uma Visualização, consulte a seção Verificar a alteração.For information about how to do a Preview, refer to the section Verify the change.

  4. Execute uma Sincronização Completa no AD Connector local:Run a Full Synchronization on the on-premises AD Connector:

    1. Clique com o botão direito do mouse no AD Connector local e selecione Executar.Right-click the on-premises AD Connector and select Run.
    2. Na caixa de diálogo pop-up, selecione Sincronização Completa e clique em OK.In the pop-up dialog box, select Full Synchronization and then click OK.
    3. Aguarde até operação terminar.Wait for the operation to finish.
  5. Verifique Exportações Pendentes para o Azure AD:Verify Pending Exports to Azure AD:

    1. Clique com o botão direito do mouse no Conector do Azure AD e selecione Pesquisar Espaço Conector.Right-click the Azure AD Connector and select Search Connector Space.

    2. Na caixa de diálogo pop-up Pesquisar Espaço Conector:In the Search Connector Space pop-up dialog box:

      • Defina o Escopo como Exportação Pendente.Set Scope to Pending Export.
      • Selecione todas as três caixas de seleção: Adicionar, Modificar e Excluir.Select all three check boxes: Add, Modify, and Delete.
      • Clique no botão Pesquisar para obter a lista de objetos com alterações a serem exportados.Click the Search button to get the list of objects with changes to be exported. Para examinar as alterações para um determinado objeto, clique duas vezes nele.To examine the changes for a given object, double-click the object.
      • Verifique se as alterações são esperadas.Verify that the changes are expected.
  6. Execute Exportar no Azure AD Connector:Run Export on the Azure AD Connector:

    1. Clique com o botão direito do mouse em Azure AD Connector e selecione Executar.Right-click the Azure AD Connector and select Run.
    2. Na caixa de diálogo pop-up Executar Conector, selecione a etapa Exportar e clique em OK.In the Run Connector pop-up dialog box, select Export and then click OK.
    3. Aguarde até a exportação para o Azure AD ser encerrada.Wait for the export to Azure AD to finish.

Observação

Essas etapas não incluem as etapas de sincronização completa e de exportação no Azure AD Connector.These steps do not include the full synchronization and export steps on the Azure AD Connector. Essas etapas não são obrigatórias, já que os valores de atributo estão fluindo do Active Directory local para o Azure AD apenas.These steps are not required because the attribute values are flowing from on-premises Active Directory to Azure AD only.

Etapa 7: reabilitar o agendador de sincronizaçãoStep 7: Re-enable the sync scheduler

Reabilite o agendador de sincronização interno:Re-enable the built-in sync scheduler:

  1. Inicie uma sessão do PowerShell.Start a PowerShell session.
  2. Reabilite a sincronização agendada executando o cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true.Re-enable scheduled synchronization by running the cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.

Próximos passosNext steps

Tópicos de visão geralOverview topics