Azure AD Connect eşitleme hizmeti özellikleriAzure AD Connect sync service features

Azure AD Connect eşitleme özelliğinin iki bileşeni vardır:The synchronization feature of Azure AD Connect has two components:

  • Eşitleme altyapısı olarak da adlandırılan Azure AD Connect Sync adlı şirket içi bileşen.The on-premises component named Azure AD Connect sync , also called sync engine.
  • Azure AD 'de bulunan hizmet Azure AD Connect eşitleme hizmeti olarak da bilinirThe service residing in Azure AD also known as Azure AD Connect sync service

Bu konu, Azure AD Connect eşitleme hizmetinin aşağıdaki özelliklerinin nasıl çalıştığını ve Windows PowerShell kullanarak bunları nasıl yapılandırabileceğinizi açıklamaktadır.This topic explains how the following features of the Azure AD Connect sync service work and how you can configure them using Windows PowerShell.

Bu ayarlar, Windows PowerShell için Azure Active Directory modülütarafından yapılandırılır.These settings are configured by the Azure Active Directory Module for Windows PowerShell. Azure AD Connect 'den ayrı olarak indirin ve yükleyin.Download and install it separately from Azure AD Connect. Bu konuda belgelenen cmdlet 'ler 2016 Mart sürümünde (derleme 9031,1)sunulmuştur.The cmdlets documented in this topic were introduced in the 2016 March release (build 9031.1). Bu konu başlığında belgelenmeyen cmdlet 'ler yoksa veya aynı sonucu üretmedikleri takdirde, en son sürümü çalıştırdığınızdan emin olun.If you do not have the cmdlets documented in this topic or they do not produce the same result, then make sure you run the latest version.

Azure AD dizininizde yapılandırmayı görmek için çalıştırın Get-MsolDirSyncFeatures .To see the configuration in your Azure AD directory, run Get-MsolDirSyncFeatures.
Get-MsolDirSyncFeatures sonucuGet-MsolDirSyncFeatures result

Bu ayarların birçoğu yalnızca Azure AD Connect ile değiştirilebilir.Many of these settings can only be changed by Azure AD Connect.

Aşağıdaki ayarlar tarafından yapılandırılabilir Set-MsolDirSyncFeature :The following settings can be configured by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature YorumComment
EnableSoftMatchOnUpnEnableSoftMatchOnUpn Birincil SMTP adresinin yanı sıra, nesnelerin userPrincipalName öğesine katılmasına izin verir.Allows objects to join on userPrincipalName in addition to primary SMTP address.
SynchronizeUpnForManagedUsersSynchronizeUpnForManagedUsers Eşitleme altyapısının yönetilen/lisanslanmış (Federe olmayan) kullanıcılar için userPrincipalName özniteliğini güncelleştirmesine izin verir.Allows the sync engine to update the userPrincipalName attribute for managed/licensed (non-federated) users.

Bir özellik etkinleştirildikten sonra yeniden devre dışı bırakılamaz.After you have enabled a feature, it cannot be disabled again.

Not

24 Ağustos 2016 ' den yeni Azure AD dizinleri için özellik yinelenen öznitelik dayanıklılığı varsayılan olarak etkinleştirilmiştir.From August 24, 2016 the feature Duplicate attribute resiliency is enabled by default for new Azure AD directories. Bu özellik ayrıca bu tarihten önce oluşturulan dizinlerde de kullanıma sunulacaktır ve etkinleştirilir.This feature will also be rolled out and enabled on directories created before this date. Dizininiz bu özelliği etkinleştirmek üzere olduğunda bir e-posta bildirimi alacaksınız.You will receive an email notification when your directory is about to get this feature enabled.

Aşağıdaki ayarlar Azure AD Connect tarafından yapılandırılır ve şu şekilde değiştirilemez Set-MsolDirSyncFeature :The following settings are configured by Azure AD Connect and cannot be modified by Set-MsolDirSyncFeature:

DirSyncFeatureDirSyncFeature YorumComment
Devicegeri yazmaDeviceWriteback Azure AD Connect: cihaz geri yazmayı etkinleştirmeAzure AD Connect: Enabling device writeback
DirectoryExtensionsDirectoryExtensions Eşitleme Azure AD Connect: Dizin uzantılarıAzure AD Connect sync: Directory extensions
DuplicateProxyAddressResiliency
duplicateupnresiliency
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Bir özniteliğin dışarı aktarma sırasında tüm nesnenin başarısız olması yerine başka bir nesnenin yinelemesi olduğunda karantinaya almasına izin verir.Allows an attribute to be quarantined when it is a duplicate of another object rather than failing the entire object during export.
Parola Karması EşitlemePassword Hash Sync Azure AD Connect Sync ile parola karması eşitlemesi uygulamaImplementing password hash synchronization with Azure AD Connect sync
Doğrudan Kimlik DoğrulamaPass-through Authentication Azure Active Directory Geçişli Kimlik Doğrulaması ile kullanıcı oturumu açmaUser sign-in with Azure Active Directory Pass-through Authentication
UnifiedGroupWritebackUnifiedGroupWriteback Grup geri yazmaGroup writeback
Usergeri yazmaUserWriteback Şu anda desteklenmiyor.Not currently supported.

Yinelenen öznitelik dayanıklılığıDuplicate attribute resiliency

Yinelenen UPN/proxyAddresses ile nesne sağlamak yerine, çoğaltılan öznitelik "karantinaya alındı" ve geçici bir değer atanır.Instead of failing to provision objects with duplicate UPNs / proxyAddresses, the duplicated attribute is “quarantined” and a temporary value is assigned. Çakışma çözümlenirse, geçici UPN otomatik olarak doğru değere değiştirilir.When the conflict is resolved, the temporary UPN is changed to the proper value automatically. Daha ayrıntılı bilgi için bkz. kimlik eşitlemesi ve yinelenen öznitelik dayanıklılığı.For more details, see Identity synchronization and duplicate attribute resiliency.

UserPrincipalName Soft MatchUserPrincipalName soft match

Bu özellik etkinleştirildiğinde, her zaman etkin olan BIRINCIL SMTP adresineek olarak UPN için geçici eşleşme etkinleştirilir.When this feature is enabled, soft-match is enabled for UPN in addition to the primary SMTP address, which is always enabled. Geçici eşleşme, Azure AD 'deki mevcut bulut kullanıcılarını şirket içi kullanıcılarla eşleştirmek için kullanılır.Soft-match is used to match existing cloud users in Azure AD with on-premises users.

Bulutta oluşturulan mevcut hesaplarla şirket içi AD hesaplarını değiştirmeniz gerekiyorsa ve Exchange Online 'ı kullanmıyorsanız, bu özellik kullanışlıdır.If you need to match on-premises AD accounts with existing accounts created in the cloud and you are not using Exchange Online, then this feature is useful. Bu senaryoda, genellikle bulutta SMTP özniteliğini ayarlama nedeninizi yoktur.In this scenario, you generally don’t have a reason to set the SMTP attribute in the cloud.

Bu özellik, yeni oluşturulan Azure AD dizinleri için varsayılan olarak açık olur.This feature is on by default for newly created Azure AD directories. Aşağıdakileri çalıştırarak bu özelliğin sizin için etkinleştirilip etkinleştirilmediğini görebilirsiniz:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature EnableSoftMatchOnUpn

Bu özellik Azure AD dizininiz için etkinleştirilmemişse, şunu çalıştırarak etkinleştirebilirsiniz:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature EnableSoftMatchOnUpn -Enable $true

UserPrincipalName güncelleştirmelerini eşitlerSynchronize userPrincipalName updates

Geçmişte, bu koşulların her ikisi de doğru olmadığı takdirde, şirket içi bilgisayardan eşitleme hizmetini kullanan UserPrincipalName özniteliğinde yapılan güncelleştirmeler engellenmiştir:Historically, updates to the UserPrincipalName attribute using the sync service from on-premises has been blocked, unless both of these conditions were true:

  • Kullanıcı yönetiliyor (Federasyon dışı).The user is managed (non-federated).
  • Kullanıcıya bir lisans atanmadı.The user has not been assigned a license.

Not

Mart 2019 ' den, Federal Kullanıcı hesapları için UPN değişikliklerini eşitlemeye izin verilir.From March 2019, synchronizing UPN changes for federated user accounts is allowed.

Bu özelliğin etkinleştirilmesi, eşitleme altyapısının şirket içinde değiştirildiğinde userPrincipalName öğesini güncelleştirmesine ve parola karması eşitlemesini ya da geçişli kimlik doğrulamasını kullanmanıza olanak sağlar.Enabling this feature allows the sync engine to update the userPrincipalName when it is changed on-premises and you use password hash sync or pass-through authentication.

Bu özellik, yeni oluşturulan Azure AD dizinleri için varsayılan olarak açık olur.This feature is on by default for newly created Azure AD directories. Aşağıdakileri çalıştırarak bu özelliğin sizin için etkinleştirilip etkinleştirilmediğini görebilirsiniz:You can see if this feature is enabled for you by running:

Get-MsolDirSyncFeatures -Feature SynchronizeUpnForManagedUsers

Bu özellik Azure AD dizininiz için etkinleştirilmemişse, şunu çalıştırarak etkinleştirebilirsiniz:If this feature is not enabled for your Azure AD directory, then you can enable it by running:

Set-MsolDirSyncFeature -Feature SynchronizeUpnForManagedUsers -Enable $true

Bu özelliği etkinleştirdikten sonra, mevcut userPrincipalName değerleri olduğu gibi kalır.After enabling this feature, existing userPrincipalName values will remain as-is. Şirket içinde userPrincipalName özniteliğinin bir sonraki değiştiğinde, kullanıcılar üzerindeki normal Delta eşitlemesi UPN 'yi güncelleştirecektir.On next change of the userPrincipalName attribute on-premises, the normal delta sync on users will update the UPN.

Ayrıca bkz.See also