Функции службы синхронизации Microsoft Entra

Функция синхронизации Microsoft Entra Connect состоит из двух компонентов:

  • Локальный компонент с именем Microsoft Entra Connect Sync также называется подсистемой синхронизации.
  • Служба, которая находится в идентификаторе Microsoft Entra, также известном как служба синхронизации Microsoft Entra Connect

В этом разделе объясняется, как работают следующие функции службы синхронизации Microsoft Entra Connect и как их можно настроить с помощью PowerShell.

Чтобы просмотреть конфигурацию в каталоге Microsoft Entra с помощью Graph PowerShell, используйте следующие команды:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List

Результат выглядит следующим образом:

BlockCloudObjectTakeoverThroughHardMatchEnabled  : False
BlockSoftMatchEnabled                            : False
BypassDirSyncOverridesEnabled                    : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled                : False
ConcurrentOrgIdProvisioningEnabled               : False
DeviceWritebackEnabled                           : False
DirectoryExtensionsEnabled                       : True
FopeConflictResolutionEnabled                    : False
GroupWriteBackEnabled                            : False
PasswordSyncEnabled                              : True
PasswordWritebackEnabled                         : False
QuarantineUponProxyAddressesConflictEnabled      : False
QuarantineUponUpnConflictEnabled                 : False
SoftMatchOnUpnEnabled                            : True
SynchronizeUpnForManagedUsersEnabled             : False
UnifiedGroupWritebackEnabled                     : True
UserForcePasswordChangeOnLogonEnabled            : False
UserWritebackEnabled                             : True
AdditionalProperties                             : {}

Примечание.

С 24 августа 2016 г. устойчивость повторяющихся атрибутов включена по умолчанию для новых каталогов Microsoft Entra. Эта функция будет постепенно активирована и включена для каталогов, созданных до этой даты. Вы получите по электронной почте уведомление о включении этой функции для вашего каталога.

В Microsoft Entra Connect настроены следующие параметры:

DirSyncFeature Комментарий
SoftMatchOnUpn Позволяет присоединять объекты по атрибуту userPrincipalName в дополнение к основному адресу SMTP.
SynchronizeUpnForManagedUsers Позволяет подсистеме синхронизации обновлять атрибут userPrincipalName для управляемых или лицензированных (нефедерированных) пользователей.
DeviceWriteback Microsoft Entra Connect: включение обратной записи устройств
DirectoryExtensions Microsoft Entra Connect Sync: расширения каталогов
DuplicateProxyAddressResiliency
DuplicateUPNResiliency
Позволяет атрибуту помещать его в карантин, если он является дубликатом другого объекта, а не сбоем всего объекта во время экспорта.
Синхронизация хэша паролей Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect
Обратная запись паролей Не поддерживается. Эта функция службы прекращена. Настройка обратной записи паролей см. в статье "Включение обратной записи паролей" в Microsoft Entra Connect
Сквозная проверка подлинности Вход пользователей с использованием сквозной проверки подлинности Microsoft Entra
UnifiedGroupWriteback Обратная запись групп
UserWriteback Не поддерживается в текущей версии.

Устойчивость повторяющихся атрибутов

Вместо того, чтобы не подготавливать объекты с повторяющимися именами участника-пользователей или proxyAddresses, дублированный атрибут "помещается в карантин" и назначается временное значение. После разрешения конфликта временное имя участника-пользователя (UPN) будет автоматически исправлено на соответствующее значение. Дополнительные сведения см. в разделе "Синхронизация удостоверений" и устойчивость повторяющихся атрибутов.

Мягкое сопоставление атрибута userPrincipalName

При включении этой функции к имени участника-пользователя, а также к основному адресу SMTP, который всегда активен, может применяться мягкое сопоставление. Обратимое сопоставление используется для сопоставления существующих облачных пользователей в идентификаторе Microsoft Entra с локальными пользователями.

Если вам нужно сопоставить локальные учетные записи AD с существующими учетными записями, созданными в облаке, и вы не используете Exchange Online, эта функция полезна. В такой ситуации устанавливать атрибут SMTP для облака обычно не нужно.

Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled

Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

BlockSoftMatch

Если эта функция включена, она блокирует функцию Soft Match. Для клиентов рекомендуется включить эту функцию и обеспечить ее поддержку до тех пор, пока для их аренды не потребуется мягкое сопоставление. Этот флаг следует снова включить после того, как мягкое сопоставление завершено и больше не требуется.

Пример. Блокировка обратимого сопоставления в клиенте:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

Синхронизация обновлений атрибута userPrincipalName

Исторически обновления атрибута UserPrincipalName с помощью службы синхронизации из локальной среды заблокированы, если только оба из этих условий не были верными:

  • Управляемый пользователем (нефедерированный).
  • У пользователя нет лицензии.

Примечание.

Начиная с марта 2019 г. разрешается синхронизировать изменения имени участника-пользователя для федеративных учетных записей пользователей.

Включение этой функции позволяет модулю синхронизации обновлять атрибут userPrincipalName при его изменении в локальной среде и при использовании синхронизации хэша паролей или сквозной аутентификации.

Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"

$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled

Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
   -OnPremisesDirectorySynchronizationId $DirectorySync.Id

После включения этой функции существующие значения атрибут userPrincipalName останутся неизменными. Если в дальнейшем атрибут userPrincipalName изменится в локальной среде, то имя участника-пользователя будет обновлено при обычной синхронизации изменений для пользователей. После включения этой функции его отключить невозможно.

См. также