Sincronização do Microsoft Entra Connect: práticas recomendadas para alterar a configuração padrão

O objetivo deste tópico é descrever as alterações com e sem suporte para a sincronização do Microsoft Entra Connect.

A configuração criada pelo Microsoft Entra ID Connect funciona "da forma como é" para a maioria dos ambientes que sincronizam o Active Directory local com o Microsoft Entra ID. No entanto, em alguns casos, é necessário aplicar alterações a uma configuração para atender a uma necessidade ou requisito específico.

Alterações na conta de serviço

A sincronização do Microsoft Entra Connect é executada em uma conta de serviço criada pelo assistente de instalação. Essa conta de serviço mantém as chaves de criptografia no banco de dados usado pela sincronização. Ela é criada com uma senha de 127 caracteres que é definida para não expirar.

Aviso

Caso altere ou redefina a senha da conta de serviço do Azure AD Sync, o Serviço de Sincronização não conseguirá iniciar corretamente até você abandonar a chave de criptografia e reinicializar a senha da conta de serviço do Azure AD Sync. Para fazer isso, consulte Alterar senha da conta de serviço do Azure AD Sync.

Alterações no agendador

A partir da versão 1.1 (fevereiro de 2016), você pode configurar o agendador para ter um ciclo de sincronização diferente do padrão de 30 minutos.

Alterações nas regras de sincronização

O assistente de instalação fornece uma configuração que deve funcionar nos cenários mais comuns. No caso de precisar fazer alterações na configuração, você deve seguir estas regras para continuar com uma configuração com suporte.

Aviso

Se você fizer alterações nas regras de sincronização padrão, essas alterações serão substituídas na próxima vez em que o Microsoft Entra Connect for atualizado, ocasionando resultados inesperados e provável sincronização indesejada.

  • Você poderá alterar fluxos de atributos se os fluxos de atributos diretos padrão não forem adequados para sua organização.
  • Se você optar por não fluir um atributo e remover valores do atributo existentes no Microsoft Entra ID, você precisará criar uma regra para este cenário.
  • Desabilite uma Regra de sincronização indesejada em vez de excluí-la. Uma regra excluída é recriada durante uma atualização.
  • Para alterar uma regra integrada, você deverá fazer uma cópia da regra original e desabilitar a regra integrada. O Editor de Regra de Sincronização solicita e ajuda você.
  • Exporte suas regras de sincronização personalizadas usando o Editor de regras de sincronização. O editor fornece um script do PowerShell que você pode usar para recriá-los facilmente em um cenário de recuperação de desastres.

Aviso

As regras de sincronização integrada têm uma impressão digital. Se você fizer uma alteração a essas regras, a impressão digital não corresponderá mais. Você pode ter problemas no futuro, quando tentar aplicar uma nova versão do Microsoft Entra Connect. Faça alterações somente como é descrito neste artigo.

Desabilite uma Regra de sincronização indesejada

Não exclua uma regra de sincronização integrada. Ela será recriada durante a próxima atualização.

Em alguns casos, o assistente de instalação produz uma configuração que não funciona para sua topologia. Por exemplo, se houver uma topologia de floresta de recurso de conta, mas você estendeu o esquema na floresta de conta com o esquema do Exchange, as regras do Exchange serão criadas para a floresta de contas e para a floresta de recursos. Nesse caso, você deverá desabilitar a Regra de Sincronização do Exchange.

Disabled sync rule

Na figura acima, o assistente de instalação encontrou um esquema antigo do Exchange 2003 na floresta de contas. Esta extensão de esquema foi adicionada antes da floresta de recursos ter sido introduzida no ambiente da Fabrikam. Para garantir que nenhum atributo da implementação do Exchange antigo seja sincronizado, a regra de sincronização deve ser desabilitada conforme mostrado.

alterar uma regra integrada

A única vez em que você deve alterar uma regra pronta para uso é quando você precisa alterar a regra de associação. Se você precisar alterar um fluxo de atributos, deverá criar uma regra de sincronização com precedência maior do que as regras prontas para uso. A única regra é praticamente necessário clone é a regra em do AD – usuário Join. Você pode substituir todas as outras regras com uma regra de prioridade mais alta.

Se você precisar fazer alterações em uma regra integrada, deverá fazer uma cópia da regra integrada e desabilitar a regra original. Em seguida, faça as alterações desejadas à regra clonada. O Editor de Regra de Sincronização ajuda você com essas etapas. Quando você abre uma regra integrada, vê essa caixa de diálogo:
Warning out of box rule

Selecione Sim para criar uma cópia da regra. Então, a regra clonada é aberta.
Cloned rule

Na regra clonada, faça as alterações necessárias no escopo, na associação e nas transformações.

Próximas etapas

Tópicos de visão geral