Microsoft Entra 連線 Sync：變更預設設定的最佳做法

本主題的目的是描述 Microsoft Entra 連線 Sync 的支援與不支援變更。

Microsoft Entra 所建立的組態連線適用于與 Microsoft Entra 識別碼同步處理內部部署的 Active Directory的大部分環境，運作方式為「一樣」。 不過，在某些情況下，必須將某些變更套用至組態，以滿足特定需求或需求。

服務帳戶的變更

Microsoft Entra 連線 Sync 是在安裝精靈所建立的服務帳戶下執行。 此服務帳戶會保存同步處理所使用資料庫的加密金鑰。它會以 127 個字元長的密碼建立，且密碼設定為未過期。

警告

如果您變更或重設 ADSync 服務帳戶密碼，在放棄加密金鑰並重新初始化 ADSync 服務帳戶密碼之前，同步處理服務將無法正確啟動。 若要這樣做，請參閱 變更 ADSync 服務帳戶密碼 。

排程器的變更

從組建 1.1（2016 年 2 月 2016 年 2 月）開始，您可以將 排程器 設定為具有與預設 30 分鐘不同的同步處理週期。

同步處理規則的變更

安裝精靈提供應該適用于最常見案例的組態。 如果您需要對組態進行變更，則必須遵循這些規則，才能仍然具有支援的設定。

警告

如果您變更預設同步處理規則，則下次更新 Microsoft Entra 連線時，將會覆寫這些變更，因而產生非預期且可能不需要的同步處理結果。

• 如果預設直接屬性流程不適合您的組織，您可以 變更屬性流程 。
• 如果您想要 不流動屬性 並移除 Microsoft Entra ID 中的任何現有屬性值，則必須為此案例建立規則。
• 停用不必要的同步處理規則 ，而不是刪除它。 在升級期間會重新建立已刪除的規則。
• 若要 變更現成規則 ，您應該製作原始規則的複本，並停用現成的規則。 同步規則編輯器會提示您並協助您。
• 使用同步處理規則編輯器匯出您的自訂同步處理規則。 編輯器提供 PowerShell 腳本，可讓您輕鬆地在災害復原案例中重新建立它們。

警告

現成的同步處理規則具有指紋。 如果您變更這些規則，指紋就不會再相符。 當您嘗試套用新版的 Microsoft Entra 連線時，可能會有問題。 請只變更本文所述的方式。

停用不必要的同步處理規則

請勿刪除現用同步處理規則。 它會在下一次升級期間重新建立。

在某些情況下，安裝精靈已產生無法針對拓撲運作的組態。 例如，如果您有帳戶資源樹系拓撲，但已使用 Exchange 架構擴充帳戶樹系中的架構，則會針對帳戶樹系和資源樹系建立 Exchange 的規則。 在此情況下，您必須停用 Exchange 的同步處理規則。

在上圖中，安裝精靈已在帳戶樹系中找到舊的 Exchange 2003 架構。 此架構延伸模組是在 Fabrikam 環境中引進資源樹系之前新增的。 為了確保不會同步處理舊 Exchange 實作中的屬性，應該停用同步處理規則，如下所示。

變更現用規則

唯一應該變更現用規則的時間是當您需要變更聯結規則時。 如果您需要變更屬性流程，則應該建立優先順序高於現成規則的同步處理規則。 您實際需要複製的唯一規則是從 AD - 使用者加入 的規則 In。 您可以使用較高優先順序的規則覆寫所有其他規則。

如果您需要變更現成的規則，則應該建立現成規則的複本，並停用原始規則。 然後對複製的規則進行變更。 同步處理規則編輯器可協助您執行這些步驟。 當您開啟現用規則時，您會看到此對話方塊：

選取 [ 是 ] 以建立規則的複本。 然後會開啟複製的規則。

在此複製的規則上，對範圍、聯結和轉換進行任何必要的變更。

下一步

概觀主題

• Microsoft Entra 連線 Sync：瞭解和自訂同步處理
• 整合內部部署身分識別與 Microsoft Entra ID