Функции службы синхронизации Azure AD ConnectAzure AD Connect sync service features

Средство синхронизации Azure AD Connect состоит из двух компонентов.The synchronization feature of Azure AD Connect has two components:

  • Локальный компонент под названием Синхронизация Azure AD Connect, который также называется модулем синхронизации.The on-premises component named Azure AD Connect sync, also called sync engine.
  • Размещенная в Azure AD служба, которая также называется службой синхронизации Azure AD ConnectThe service residing in Azure AD also known as Azure AD Connect sync service

В этом разделе описаны следующие функции службы синхронизации Azure AD Connect и их настройка с помощью Windows PowerShell.This topic explains how the following features of the Azure AD Connect sync service work and how you can configure them using Windows PowerShell.

Для их настройки нужен Модуль Azure Active Directory для Windows PowerShell.These settings are configured by the Azure Active Directory Module for Windows PowerShell. Он загружается и устанавливается отдельно от Azure AD Connect.Download and install it separately from Azure AD Connect. Описанные в этом разделе командлеты появились в версии за март 2016 г. (сборка 9031.1).The cmdlets documented in this topic were introduced in the 2016 March release (build 9031.1). Если у вас нет командлетов, описанных в этом разделе, или они дают другой результат, проверьте, используете ли вы последнюю версию.If you do not have the cmdlets documented in this topic or they do not produce the same result, then make sure you run the latest version.

Для просмотра конфигурации каталога Azure AD выполните следующую команду: Get-MsolDirSyncFeatures.To see the configuration in your Azure AD directory, run Get-MsolDirSyncFeatures.
Результат вызова командлета Get-MsolDirSyncFeaturesGet-MsolDirSyncFeatures result

Многие из этих параметров могут быть изменены только службой Azure AD Connect.Many of these settings can only be changed by Azure AD Connect.

Следующие параметры можно настроить с помощью Set-MsolDirSyncFeature:The following settings can be configured by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature КомментарийComment
EnableSoftMatchOnUpnEnableSoftMatchOnUpn Позволяет присоединять объекты по атрибуту userPrincipalName в дополнение к основному адресу SMTP.Allows objects to join on userPrincipalName in addition to primary SMTP address.
SynchronizeUpnForManagedUsersSynchronizeUpnForManagedUsers Позволяет модулю синхронизации обновлять атрибут userPrincipalName для управляемых или лицензированных пользователей (не являющихся федеративными).Allows the sync engine to update the userPrincipalName attribute for managed/licensed (non-federated) users.

После включения функции отключить ее нельзя.After you have enabled a feature, it cannot be disabled again.

Примечание

Начиная с 24 августа 2016 г. функция Устойчивость повторяющихся атрибутов включена по умолчанию для всех новых каталогов Azure AD.From August 24, 2016 the feature Duplicate attribute resiliency is enabled by default for new Azure AD directories. Эта функция будет постепенно активирована и включена для каталогов, созданных до этой даты.This feature will also be rolled out and enabled on directories created before this date. Вы получите по электронной почте уведомление о включении этой функции для вашего каталога.You will receive an email notification when your directory is about to get this feature enabled.

Следующие параметры настраиваются службой Azure AD Connect и не могут изменяться командлетом Set-MsolDirSyncFeature:The following settings are configured by Azure AD Connect and cannot be modified by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature КомментарийComment
DeviceWritebackDeviceWriteback Azure AD Connect: включение обратной записи устройствAzure AD Connect: Enabling device writeback
DirectoryExtensionsDirectoryExtensions Синхронизация Azure AD Connect: расширения каталоговAzure AD Connect sync: Directory extensions
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Позволяет поместить атрибут, являющийся копией другого объекта, на карантин, вместо того чтобы прерывать весь процесс экспорта для этого объекта.Allows an attribute to be quarantined when it is a duplicate of another object rather than failing the entire object during export.
Синхронизация хэша паролейPassword Hash Sync Реализация синхронизации хэшированных паролей в службе синхронизации Azure AD ConnectImplementing password hash synchronization with Azure AD Connect sync
Сквозная проверка подлинностиPass-through Authentication Вход пользователей с помощью сквозной проверки подлинности Azure Active DirectoryUser sign-in with Azure Active Directory Pass-through Authentication
UnifiedGroupWritebackUnifiedGroupWriteback Предварительная версия: обратная запись группPreview: Group writeback
UserWritebackUserWriteback Сейчас не поддерживается.Not currently supported.

Устойчивость повторяющихся атрибутовDuplicate attribute resiliency

При подготовке объектов с повторяющимися именами участников-пользователей (UPN) или адресами прокси-сервера (proxyAddress) процесс не прерывается ошибкой, а повторяющийся атрибут помещается на карантин, и ему присваивается временное значение.Instead of failing to provision objects with duplicate UPNs / proxyAddresses, the duplicated attribute is “quarantined” and a temporary value is assigned. После разрешения конфликта временное имя участника-пользователя (UPN) будет автоматически исправлено на соответствующее значение.When the conflict is resolved, the temporary UPN is changed to the proper value automatically. Дополнительные сведения см. в статье Синхронизация удостоверений и устойчивость повторяющихся атрибутов.For more details, see Identity synchronization and duplicate attribute resiliency.

Мягкое сопоставление атрибута userPrincipalNameUserPrincipalName soft match

При включении этой функции к имени участника-пользователя, а также к основному адресу SMTP, который всегда активен, может применяться мягкое сопоставление.When this feature is enabled, soft-match is enabled for UPN in addition to the primary SMTP address, which is always enabled. Оно используется для сопоставления существующих облачных пользователей в Azure AD с локальными пользователями.Soft-match is used to match existing cloud users in Azure AD with on-premises users.

Эта функция удобна для сопоставления локальных учетных записей AD с существующими учетными записями, созданными в облаке, если вы не используете Exchange Online.If you need to match on-premises AD accounts with existing accounts created in the cloud and you are not using Exchange Online, then this feature is useful. В такой ситуации устанавливать атрибут SMTP для облака обычно не нужно.In this scenario, you generally don’t have a reason to set the SMTP attribute in the cloud.

Эта функция по умолчанию включена для создаваемых каталогов Azure AD.This feature is on by default for newly created Azure AD directories. Чтобы увидеть, включена ли эта функция, выполните следующую команду:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Если эта функция отключена для вашего каталога Azure AD, ее можно включить, выполнив следующую команду:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

Синхронизация обновлений атрибута userPrincipalNameSynchronize userPrincipalName updates

Обновления атрибута userPrincipalName с помощью службы синхронизации из локальной среды блокируются за исключением тех случаев, когда выполняются два следующих условия:Historically, updates to the UserPrincipalName attribute using the sync service from on-premises has been blocked, unless both of these conditions are true:

  • пользователь является управляемым (нефедеративным);The user is managed (non-federated).
  • пользователю не назначена лицензия.The user has not been assigned a license.

Дополнительные сведения см. в статье User names in Office 365, Azure, or Intune don't match the on-premises UPN or alternate login ID (Имена пользователей в Office 365, Azure или Intune не совпадают с локальным именем участника-пользователя или альтернативным именем для входа).For more details, see User names in Office 365, Azure, or Intune don't match the on-premises UPN or alternate login ID.

Включение этой функции позволяет модулю синхронизации обновлять атрибут userPrincipalName, когда он является меняются в локальной и использовать пароль хэш синхронизации или сквозной проверкой подлинности.Enabling this feature allows the sync engine to update the userPrincipalName when it is changed on-premises and you use password hash sync or pass-through authentication. Если используется федерация, эта функция не будет работать.If you use federation, this feature is not supported.

Эта функция по умолчанию включена для создаваемых каталогов Azure AD.This feature is on by default for newly created Azure AD directories. Чтобы увидеть, включена ли эта функция, выполните следующую команду:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Если эта функция отключена для вашего каталога Azure AD, ее можно включить, выполнив следующую команду:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

После включения этой функции существующие значения атрибут userPrincipalName останутся неизменными.After enabling this feature, existing userPrincipalName values will remain as-is. Если в дальнейшем атрибут userPrincipalName изменится в локальной среде, то имя участника-пользователя будет обновлено при обычной синхронизации изменений для пользователей.On next change of the userPrincipalName attribute on-premises, the normal delta sync on users will update the UPN.

См. такжеSee also