Recursos do Serviço de Sincronização do Microsoft Entra Connect
O recurso de sincronização do Microsoft Entra Connect possui dois componentes:
- O componente local denominado Sincronização do Microsoft Entra Connect, também chamado de mecanismo de sincronização.
- O serviço que reside na ID do Microsoft Entra, também conhecido como Serviço de Sincronização do Microsoft Entra Connect
Este tópico explica como os seguintes recursos do Serviço de Sincronização do Microsoft Entra Connect funcionam e como é possível configurá-los usando o PowerShell.
Para ver a configuração no seu diretório do Microsoft Entra usando o PowerShell do Graph, use os seguintes comandos:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
O resultado é semelhante a esta saída:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Depois que você habilitar um recurso, ele não poderá ser desabilitado novamente.
Observação
A partir de 24 de agosto de 2016, o recurso Duplicar a resiliência do atributo é habilitado por padrão nos novos diretórios do Microsoft Entra. Este recurso também será distribuído e habilitado em diretórios criados antes dessa data. Você receberá uma notificação por email quando o diretório estiver prestes a habilitar esse recurso.
As configurações a seguir são definidas pelo Microsoft Entra Connect:
| DirSyncFeature | Comentar |
|---|---|
| SoftMatchOnUpn | Permite que os objetos se unam em userPrincipalName além do endereço SMTP primário. |
| SynchronizeUpnForManagedUsers | Permite que o mecanismo de sincronização atualize o atributo userPrincipalName para usuários gerenciados/licenciados (não federados). |
| DeviceWriteback | Microsoft Entra Connect: habilitando o write-back do dispositivo |
| DirectoryExtensions | Microsoft Entra Connect Sync: extensões de diretório |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Permite que um atributo seja colocado em quarentena quando ele é uma duplicata de outro objeto, em vez de causar falha de todo o objeto durante a exportação. |
| Sincronização de hash de senha | Implementação da sincronização de hash de senha com a sincronização o Microsoft Entra Connect Sync |
| Autenticação de Passagem | Credenciais de usuário com autenticação de passagem do Microsoft Entra |
| UnifiedGroupWriteback | Write-back de grupo |
| UserWriteback | Sem suporte no momento. |
Duplicar a resiliência do atributo
Em vez de falhar ao provisionar objetos com UPNs/proxyAddresses duplicados, o atributo duplicado é "colocado em quarentena" e um valor temporário é atribuído. Quando o conflito é resolvido, o UPN temporário é alterado para o valor correto automaticamente. Para obter mais detalhes, consulte Sincronização de identidades e resiliência do atributo duplicado.
Correspondência suave de UserPrincipalName
Quando este recurso é habilitado, a correspondência suave é habilitada para UPN além do endereço SMTP primário, que está sempre habilitado. A correspondência suave é usada para fazer a correspondência dos usuários na nuvem existentes na ID do Microsoft Entra com usuários locais.
Se você precisar corresponder as contas AD locais com contas existentes criadas na nuvem e você não estiver usando o Exchange Online, este recurso será útil. Nesse cenário, você normalmente não tem um motivo para definir o atributo SMTP na nuvem.
O recurso fica ativado por padrão nos diretórios recém-criados do Microsoft Entra. Você pode ver se este recurso está habilitado executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Se o recurso não estiver habilitado no seu diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quando esse recurso está habilitado, ele bloqueia o recurso de correspondência flexível. Os clientes são incentivados a habilitar esse recurso e mantê-lo habilitado até que a correspondência flexível seja requerida para sua locação. Esse sinalizador deve ser habilitado novamente depois que qualquer correspondência flexível for concluída e não for mais necessária.
Exemplo – para bloquear a correspondência flexível em seu locatário, execute este cmdlet:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Sincronizar atualizações de userPrincipalName
Historicamente, atualizações do atributo UserPrincipalName usando o serviço de sincronização local são bloqueadas, a menos que estas duas condições sejam verdadeiras:
- O usuário é gerenciado (não federado).
- Não foi atribuída uma licença ao usuário.
Observação
A partir de março de 2019, é permitida a sincronização de alterações de UPN para contas de usuário federadas.
Habilitar o recurso permite que o mecanismo de sincronização atualize o userPrincipalName quando ele é alterado localmente e você usa a sincronização de hash da senha ou autenticação de passagem.
O recurso fica ativado por padrão nos diretórios recém-criados do Microsoft Entra. Você pode ver se este recurso está habilitado executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Se o recurso não estiver habilitado no seu diretório do Microsoft Entra, você poderá habilitá-lo executando:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Depois de habilitar esse recurso, os valores existentes de userPrincipalName permanecerão os mesmos. Na próxima alteração do atributo userPrincipalName local, a sincronização delta normal dos usuários atualizará o UPN.