Microsoft Entra Connect Sync: procedure consigliate per modificare la configurazione predefinita
Questo argomento descrive le modifiche supportate e non supportate di Microsoft Entra Connect Sync.
La configurazione creata da Microsoft Entra Connect funziona "così com'è" per la maggior parte degli ambienti che sincronizzano l'istanza di Active Directory locale con Microsoft Entra ID. In alcuni casi, tuttavia, è necessario applicare alcune modifiche a una configurazione per soddisfare un'esigenza o un requisito specifico.
Modifiche apportate all'account del servizio
Microsoft Entra Connect Sync viene eseguito tramite un account del servizio creato dall'installazione guidata. L'account del servizio contiene le chiavi di crittografia per il database usato dal servizio di sincronizzazione. Viene creato con una password con una lunghezza di 127 caratteri e la password è impostata per non scadere mai.
Avviso
Se si modifica o ripristina la password dell'account del servizio di ADSync, il servizio di sincronizzazione non verrà avviato correttamente finché non si abbandona la chiave di crittografia e non si reinizializza la password dell'account del servizio di ADSync. A tale scopo, vedere Modifica della password dell'account del servizio ADSync.
Modifiche apportate all'utilità di pianificazione
A partire dalle versioni rilasciate con la build 1.1 (febbraio 2016), è possibile configurare l' utilità di pianificazione per ottenere un ciclo di sincronizzazione diverso dai 30 minuti predefiniti.
Modifiche apportate alle regole di sincronizzazione
L'installazione guidata fornisce una configurazione valida per gli scenari più comuni. Nel caso in cui sia necessario apportare modifiche alla configurazione, seguire queste regole per disporre ancora di una configurazione supportata.
Avviso
Se si apportano modifiche alle regole di sincronizzazione, tali modifiche saranno sovrascritte al successivo aggiornamento di Azure AD Connect, con la possibilità di ottenere risultati di sincronizzazione inattesi e indesiderati.
- È possibile modificare i flussi degli attributi se quelli diretti e predefiniti non sono adatti alla propria organizzazione.
- Per non trasmettere un attributo e rimuovere i valori degli attributi esistenti in Microsoft Entra ID, è necessario creare una regola per questo scenario.
- Disabilitare una regola di sincronizzazione indesiderata invece di eliminarla. Una regola eliminata viene ricreata durante un aggiornamento.
- Per modificare una regola predefinita, creare una copia della regola originale e disabilitare quella predefinita. L'editor delle regole di sincronizzazione visualizza istruzioni e fornisce informazioni.
- Esportare le regole di sincronizzazione personalizzate usando l'Editor regole di sincronizzazione. L'editor fornisce uno script di PowerShell che è possibile usare per ricrearle facilmente in uno scenario di ripristino di emergenza.
Avviso
Le regole di sincronizzazione predefinite hanno un'identificazione personale associata. Se si apporta una modifica a queste regole, l'identificazione personale non sarà più corrispondente. È possibile che si verifichino problemi quando in futuro si proverà ad applicare una nuova versione di Microsoft Entra Connect. Apportare modifiche solo nel modo descritto in questo articolo.
Disabilitare una regola di sincronizzazione indesiderata
Non eliminare una regola di sincronizzazione predefinita. Verrà ricreata durante l'aggiornamento successivo.
In alcuni casi l'installazione guidata ha generato una configurazione che non funziona per la topologia dell'utente. Ad esempio, se è disponibile una topologia di foresta di account o di risorse, ma lo schema nella foresta di account è stato esteso con lo schema di Exchange, per le foresta di account e per quella di risorse vengono quindi create regole per Exchange. In questo caso è necessario disabilitare la regola di sincronizzazione per Exchange.
Nella figura precedente l'installazione guidata ha rilevato un vecchio schema di Exchange 2003 nella foresta di account. Questa estensione dello schema è stata aggiunta prima dell'introduzione della foresta di risorse nell'ambiente di Fabrikam. Per assicurarsi che non vengano sincronizzati gli attributi dall'implementazione di Exchange precedente, la regola di sincronizzazione deve essere disabilitata come illustrato.
modificare una regola predefinita
È necessario modificare una regola predefinita solo se è necessario modificare la regola join. Se si vuole modificare un flusso di attributi, creare una regola di sincronizzazione con una precedenza superiore rispetto alle regole predefinite. L'unica regola che è in pratica necessario clonare è la regola In from AD – User Join. È possibile eseguire l'override di tutte le altre regole con una regola di precedenza superiore.
Se è necessario apportare modifiche a una regola predefinita, effettuarne una copia e disabilitare la regola originale. Quindi apportare le modifiche alla regola clonata. L'editor delle regole di sincronizzazione facilita l'esecuzione di questa procedura. Quando si apre una regola predefinita, viene visualizzata questa finestra di dialogo:
Selezionare Sì per creare una copia della regola. Viene quindi aperta la regola clonata.
In questa regola clonata, apportare le modifiche necessarie all'ambito, al join e alle trasformazioni.
Passaggi successivi
Argomenti generali