Recursos do serviço de sincronização do Azure AD ConnectAzure AD Connect sync service features

O recurso de sincronização do Azure AD Connect tem dois componentes:The synchronization feature of Azure AD Connect has two components:

  • O componente local denominado Sincronização do Azure AD Connect, também chamado de mecanismo de sincronização.The on-premises component named Azure AD Connect sync, also called sync engine.
  • O serviço que reside no Azure AD, também conhecido como Serviço de sincronização do Azure AD ConnectThe service residing in Azure AD also known as Azure AD Connect sync service

Este tópico explica como os seguintes recursos do Serviço de sincronização do Azure AD Connect funcionam e como você pode configurá-los usando o Windows PowerShell.This topic explains how the following features of the Azure AD Connect sync service work and how you can configure them using Windows PowerShell.

Estas configurações são definidas pelo Módulo do Azure Active Directory para Windows PowerShell.These settings are configured by the Azure Active Directory Module for Windows PowerShell. Baixe e instale-o separadamente do Azure AD Connect.Download and install it separately from Azure AD Connect. Os cmdlets documentados neste tópico foram introduzidos na versão de março de 2016 (build 9031.1).The cmdlets documented in this topic were introduced in the 2016 March release (build 9031.1). Se você não tiver os cmdlets documentados neste tópico ou se eles não produzirem o mesmo resultado, certifique-se de executar a versão mais recente.If you do not have the cmdlets documented in this topic or they do not produce the same result, then make sure you run the latest version.

Para ver a configuração em seu diretório do Azure AD, execute Get-MsolDirSyncFeatures.To see the configuration in your Azure AD directory, run Get-MsolDirSyncFeatures.
Resultado de Get-MsolDirSyncFeaturesGet-MsolDirSyncFeatures result

Muitas dessas configurações podem ser alteradas somente pelo Azure AD Connect.Many of these settings can only be changed by Azure AD Connect.

As configurações a seguir podem ser definidas por Set-MsolDirSyncFeature:The following settings can be configured by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature ComentárioComment
EnableSoftMatchOnUpnEnableSoftMatchOnUpn Permite que os objetos se unam em userPrincipalName além do endereço SMTP primário.Allows objects to join on userPrincipalName in addition to primary SMTP address.
SynchronizeUpnForManagedUsersSynchronizeUpnForManagedUsers Permite que o mecanismo de sincronização atualize o atributo userPrincipalName para usuários gerenciados/licenciados (não federados).Allows the sync engine to update the userPrincipalName attribute for managed/licensed (non-federated) users.

Depois que você habilitar um recurso, ele não poderá ser desabilitado novamente.After you have enabled a feature, it cannot be disabled again.

Observação

A partir de 24 de agosto de 2016 o recurso Duplicar a resiliência do atributo é habilitado por padrão para novos diretórios do Azure AD.From August 24, 2016 the feature Duplicate attribute resiliency is enabled by default for new Azure AD directories. Este recurso também será distribuído e habilitado em diretórios criados antes dessa data.This feature will also be rolled out and enabled on directories created before this date. Você receberá uma notificação por email quando o diretório estiver prestes a habilitar esse recurso.You will receive an email notification when your directory is about to get this feature enabled.

As configurações a seguir são definidas pelo Azure AD Connect e não podem ser modificadas por Set-MsolDirSyncFeature:The following settings are configured by Azure AD Connect and cannot be modified by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature ComentárioComment
DeviceWritebackDeviceWriteback Azure AD Connect: habilitar o write-back de dispositivoAzure AD Connect: Enabling device writeback
DirectoryExtensionsDirectoryExtensions Sincronização do Azure AD Connect: extensões de diretórioAzure AD Connect sync: Directory extensions
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Permite que um atributo seja colocado em quarentena quando ele é uma duplicata de outro objeto, em vez de causar falha de todo o objeto durante a exportação.Allows an attribute to be quarantined when it is a duplicate of another object rather than failing the entire object during export.
Sincronização de hash de senhaPassword Hash Sync Implementação de sincronização de hash de senha com a sincronização do Azure AD ConnectImplementing password hash synchronization with Azure AD Connect sync
Autenticação de PassagemPass-through Authentication Entrada do usuário com autenticação de passagem do Azure Active DirectoryUser sign-in with Azure Active Directory Pass-through Authentication
UnifiedGroupWritebackUnifiedGroupWriteback Visualização: write-back de grupoPreview: Group writeback
UserWritebackUserWriteback Não há suporte no momento.Not currently supported.

Duplicar a resiliência do atributoDuplicate attribute resiliency

Em vez de falhar ao provisionar objetos com UPNs/proxyAddresses duplicados, o atributo duplicado é "colocado em quarentena" e um valor temporário é atribuído.Instead of failing to provision objects with duplicate UPNs / proxyAddresses, the duplicated attribute is “quarantined” and a temporary value is assigned. Quando o conflito é resolvido, o UPN temporário é alterado para o valor correto automaticamente.When the conflict is resolved, the temporary UPN is changed to the proper value automatically. Para obter mais detalhes, consulte Sincronização de identidades e resiliência do atributo duplicado.For more details, see Identity synchronization and duplicate attribute resiliency.

Correspondência suave de UserPrincipalNameUserPrincipalName soft match

Quando este recurso é habilitado, a correspondência suave é habilitada para UPN além do endereço SMTP primário, que está sempre habilitado.When this feature is enabled, soft-match is enabled for UPN in addition to the primary SMTP address, which is always enabled. A correspondência suave é usada para fazer a correspondência de usuários na nuvem existentes no Azure AD com usuários locais.Soft-match is used to match existing cloud users in Azure AD with on-premises users.

Se você precisar corresponder as contas AD locais com contas existentes criadas na nuvem e você não estiver usando o Exchange Online, este recurso será útil.If you need to match on-premises AD accounts with existing accounts created in the cloud and you are not using Exchange Online, then this feature is useful. Nesse cenário, você normalmente não tem um motivo para definir o atributo SMTP na nuvem.In this scenario, you generally don’t have a reason to set the SMTP attribute in the cloud.

O recurso fica ativado por padrão para diretórios recém-criados do Azure AD.This feature is on by default for newly created Azure AD directories. Você pode ver se este recurso está habilitado executando:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Se o recurso não estiver habilitado para seu diretório do Azure AD, você poderá habilitá-lo executando:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

Sincronizar atualizações de userPrincipalNameSynchronize userPrincipalName updates

Historicamente, atualizações do atributo UserPrincipalName usando o serviço de sincronização local são bloqueadas, a menos que estas duas condições sejam verdadeiras:Historically, updates to the UserPrincipalName attribute using the sync service from on-premises has been blocked, unless both of these conditions are true:

  • O usuário é gerenciado (não federado).The user is managed (non-federated).
  • Não foi atribuída uma licença ao usuário.The user has not been assigned a license.

Para obter mais detalhes, consulte Os nomes de usuário no Office 365, Azure ou Intune não coincidem com o UPN local ou ID de logon alternativo.For more details, see User names in Office 365, Azure, or Intune don't match the on-premises UPN or alternate login ID.

Habilitar esse recurso permite que o mecanismo de sincronização atualize o userPrincipalName quando ele for alterado no local e você usar a autenticação de passagem ou sincronização de hash de senha.Enabling this feature allows the sync engine to update the userPrincipalName when it is changed on-premises and you use password hash sync or pass-through authentication. Se você usar a federação, não haverá suporte pra este recurso.If you use federation, this feature is not supported.

O recurso fica ativado por padrão para diretórios recém-criados do Azure AD.This feature is on by default for newly created Azure AD directories. Você pode ver se este recurso está habilitado executando:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Se o recurso não estiver habilitado para seu diretório do Azure AD, você poderá habilitá-lo executando:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

Depois de habilitar esse recurso, os valores existentes de userPrincipalName permanecerão os mesmos.After enabling this feature, existing userPrincipalName values will remain as-is. Na próxima alteração do atributo userPrincipalName local, a sincronização delta normal dos usuários atualizará o UPN.On next change of the userPrincipalName attribute on-premises, the normal delta sync on users will update the UPN.

Consulte tambémSee also