Поделиться через


Синхронизация microsoft Entra Подключение: изменение конфигурации по умолчанию

Цель этой статьи — пошаговые инструкции по внесению изменений в конфигурацию по умолчанию в Microsoft Entra Подключение Sync. Он содержит шаги для некоторых распространенных сценариев. Ознакомившись с этими сведениями, вы сможете вносить изменения в конфигурацию в соответствии с собственными бизнес-правилами.

Предупреждение

Если вы вносите изменения в стандартные правила синхронизации по умолчанию, эти изменения будут перезаписаны при следующем обновлении Microsoft Entra Подключение, что приведет к непредвиденным и вероятным нежелательным результатам синхронизации.

Стандартные правила синхронизации имеют отпечаток. Если внести в правила изменения, отпечаток также изменится. При попытке применить новый выпуск Microsoft Entra Подключение могут возникнуть проблемы. Выполняйте изменения только так, как описано в этой статье.

Редактор правил синхронизации

Редактор правил синхронизации используется для просмотра и изменения конфигурации по умолчанию. Его можно найти в меню "Пуск" в группе Microsoft Entra Подключение.
Start menu with Sync Rule Editor

Открыв редактор, вы увидите в нем стандартные правила по умолчанию.

Sync Rule Editor

С помощью раскрывающихся списков, расположенных в верхней части редактора, можно быстро найти определенное правило. Например, чтобы просмотреть правила, содержащие атрибут proxyAddresses, необходимо выбрать в раскрывающихся списках следующее:
SRE filtering
Чтобы сбросить параметры фильтрации и загрузить новую конфигурацию, нажмите клавишу F5.

В правом верхнем углу расположена кнопка Добавить новое правило. С ее помощью можно создать собственное настраиваемое правило.

Внизу находятся кнопки, позволяющие выполнять определенные действия с выбранным правилом синхронизации. Кнопки Изменить и Удалить используются для удаления и изменения правил. Кнопка Экспорт позволяет создать сценарий PowerShell для повторного создания правила синхронизации. При этом правило синхронизации перемещается с одного сервера на другой.

Создание настраиваемого правила

Чаще всего изменяются потоки атрибутов. Данные в исходном каталоге могут не совпадать с идентификатором Microsoft Entra. В примере, рассматриваемом в этом разделе, необходимо убедиться, что имя пользователя всегда задано в правильном регистре.

Отключение планировщика

По умолчанию планировщик запускается каждые 30 минут. Чтобы внести изменения и устранить неполадки, связанные с новыми правилами, может потребоваться отключить его. Чтобы временно отключить планировщик, запустите PowerShell и выполните команду Set-ADSyncScheduler -SyncCycleEnabled $false.

Disable the scheduler

Создание правила

  1. Щелкните Добавить новое правило.
  2. На странице Описание заполните следующие поля.
    Inbound rule filtering
    • Имя. Введите описательное имя правила.
    • Описание. Укажите информацию, позволяющую другим пользователям определить предназначение правила.
    • Connected system (Подключенная система). Система, в которой находится объект. В этом случае выберите соединитель Active Directory.
    • Connected System Type/Metaverse Object Type (Тип подключенной системы/Тип объекта метавселенной). Выберите User (Пользователь) и Person (Человек) соответственно.
    • Тип связи. Задайте для этого параметра значение Join (Присоединение).
    • Приоритет. Укажите уникальное в системе значение. Более низкие значения имеют более высокий приоритет.
    • Тег. Оставить это поле пустым. Его нужно заполнять только при использовании стандартных правил Майкрософт.
  3. На странице Scoping filter (Фильтр области действия) введите givenName ISNOTNULL.
    Inbound rule scoping filter
    Этот раздел позволит определить, к каким объектам должно применяться правило. Если оставить эти поля пустыми, правило будет применяться ко всем объектам пользователя, в том числе к конференц-залам, учетным записям службы и другим неодушевленным объектам.
  4. На странице Join rules (Правила присоединения) оставьте поле пустым.
  5. На странице Преобразования для параметра FlowType (Тип потока) задайте значение Выражение. Для параметра Целевой атрибут выберите givenName. Для параметра Источник введите PCase([givenName]). Inbound rule transformations
    Для модуля синхронизации имя функции и имя атрибута необходимо указывать с учетом регистра. Если не учесть регистр, при добавлении правила отобразится предупреждение. Вы можете сохранить и продолжить работу, но вам понадобится вернуться и исправить правило.
  6. Щелкните Добавить , чтобы сохранить правило.

Новое настраиваемое правило отобразится в системе вместе с другими правилами синхронизации.

Проверка изменений

После внесения изменений в правило его можно проверить на наличие ошибок. В зависимости от количества объектов это можно сделать двумя разными способами:

  • Выполнить полную синхронизацию всех объектов.
  • Выполнить предварительный просмотр и полную синхронизацию одного объекта.

Из меню Пуск запустите службу синхронизации. Все действия, описанные в этом разделе, выполняются в этом средстве.

Полная синхронизация всех объектов

  1. Выберите Соединители вверху. Определите соединитель, измененный в предыдущем разделе (в этом примере "Доменные службы Active Directory"), и выберите его.
  2. В разделе Действия выберите Run (Запустить).
  3. Выберите Full Synchronization (Полная синхронизация) и нажмите кнопку ОК. Full sync
    Теперь объекты в метавселенной обновлены, и это можно проверить, просмотрев отдельный объект.

Предварительный просмотр и полная синхронизация одного объекта

  1. Выберите Соединители вверху. Определите соединитель, измененный в предыдущем разделе (в этом примере "Доменные службы Active Directory"), и выберите его.
  2. Выберите Search Connector Space(Поиск пространства соединителя).
  3. Используйте область поиска, чтобы найти необходимый объект для проверки изменений. Выберите объект и щелкните Предварительный просмотр.
  4. В открывшемся окне выберите Просмотр перед фиксацией.
    Commit preview
    Теперь изменение зафиксировано в метавселенной.

Просмотр объектов в метавселенной

  1. Выберите несколько образцов объектов, чтобы убедиться, что для них задано правильное значение и применено необходимое правило.
  2. В верхней части экрана выберите Metaverse Search (Поиск в метавселенной). Добавьте любой фильтр, чтобы найти соответствующие объекты.
  3. Откройте объект, выбрав его в результатах поиска. Просмотрите значения атрибута, а также проверьте применение правила в столбце Правила синхронизации.
    Metaverse search

Включение планировщика

Если все параметры заданы правильно, планировщик можно включить снова. В PowerShell выполните команду Set-ADSyncScheduler -SyncCycleEnabled $true.

Другие основные изменения потоков атрибутов

В предыдущем разделе описан процесс изменения потока атрибута. В этом разделе приведены дополнительные примеры. Действия по созданию правила синхронизации упомянуты лишь в общих чертах. Полное описание можно просмотреть в предыдущем разделе.

Использование атрибута не по умолчанию

В этом сценарии компании Fabrikam есть лес, в котором для указания имени, фамилии и отображаемого имени используются локальные алфавиты. Представления этих атрибутов хранятся в атрибутах расширения, отображенные символами латиницы. Для создания глобального списка адресов в идентификаторе Microsoft Entra и Microsoft 365 организация хочет использовать эти атрибуты.

В конфигурации по умолчанию объект из локального леса выглядит следующим образом:
Attribute flow 1

Чтобы создать правило с другими потоками атрибутов, выполните следующие действия.

  1. В меню Пуск запустите редактор правил синхронизации.
  2. Не снимая флажок Входящие слева, нажмите кнопку Добавить новое правило.
  3. Присвойте правилу имя и описание. Выберите экземпляр локального каталога Active Directory и соответствующие типы объектов. В поле Тип связи выберите Join (Присоединение). В поле Приоритет выберите число, которое не используется другим правилом. Приоритет стандартных правил начинается со 100, поэтому в этом примере используется значение 50. Attribute flow 2
  4. Оставьте поле Scoping filter (Фильтр области) пустым. (Это означает, что правило должно применяться для всех объектов-пользователей в лесу.)
  5. Оставьте поле Join rules (Правила присоединения) пустым. (Это означает, что стандартные правила могут обрабатывать любые присоединения.)
  6. В разделе Преобразования создайте следующие потоки.
    Attribute flow 3
  7. Щелкните Добавить , чтобы сохранить правило.
  8. Откройте Synchronization Service Manager. В разделе Соединители выберите соединитель, в который вы добавили правило. Выберите Run (Запустить), а затем — Full Synchronization (Полная синхронизация). Функция полной синхронизации повторно вычисляет все объекты, используя текущие правила.

Это результат для того же объекта с применением следующего настраиваемого правила.
Attribute flow 4

Длина атрибутов

Строковые атрибуты по умолчанию являются индексируемыми. Их длина не может превышать 448 знаков. При работе с атрибутами, которые могут содержать больше символов, необходимо включить в поток атрибутов следующее:
attributeName<- Left([attributeName],448).

Изменение атрибута userPrincipalSuffix

Атрибут userPrincipalName в Active Directory не всегда известен пользователям. Также он может не подходить в качестве идентификатора для входа. С помощью мастера установки синхронизации Microsoft Entra Подключение можно выбрать другой атрибут, например почту. Но в некоторых случаях этот атрибут должен вычисляться.

Например, компания Contoso имеет два каталога Microsoft Entra, один для рабочей среды и один для тестирования. Пользователи в тестовом клиенте должны просто изменить суффикс в идентификаторе входа.
Word([userPrincipalName],1,"@") & "@contosotest.com".

В этом выражении берется вся часть слева от первого знака @ (Word) и сцепляется с фиксированной строкой.

Преобразование атрибута с несколькими значениями в атрибут с одним

Некоторые атрибуты в Active Directory имеют несколько значений в схеме, даже если в средстве администрирования "Пользователи и компьютеры Active Directory" они выглядят как атрибуты с одним значением. Пример — атрибут description.
description<- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

В этом выражении в случае, если атрибут имеет значение, берется первый элемент (Item) в атрибуте, удаляются начальные и конечные пробелы (Trim), а затем сохраняются первые 448 знаков (Left) в строке.

Отключение потока для атрибута

Общие сведения о сценарии в этом разделе см. в разделе Управление потоком атрибута.

Существует два способа отключения потока для атрибута. Первый — удалить выбранные атрибуты в мастере установки. Им можно воспользоваться, если атрибут никогда не синхронизировался. Однако если вы начали синхронизировать этот атрибут и позже удалите его с этой функцией, подсистема синхронизации перестает управлять атрибутом, а существующие значения остаются в идентификаторе Microsoft Entra.

Если вы хотите удалить значение атрибута и гарантировать, что в будущем для него не будет включен поток, нужно создать настраиваемое правило.

В этом сценарии компании Fabrikam мы обнаружили, что некоторые атрибуты, синхронизируемые с облаком, лишние. Мы хотим убедиться, что эти атрибуты удалены из идентификатора Microsoft Entra.
Bad extension attributes

  1. Создайте правило входящей синхронизации и укажите описание. Descriptions
  2. Создайте потоки атрибутов, выбрав для параметра FlowType (Тип потока) значение Выражение, а для параметра ИсточникAuthoritativeNull. Литеральный тип AuthoritativeNull указывает, что значение должно быть пустым в метавселенной, даже если правило синхронизации с более низким приоритетом пытается заполнить значение. Transformation for extension attributes
  3. Сохраните правило синхронизации. Запустите службу синхронизации, найдите соединитель, выберите Run (Запустить), а затем — Full Synchronization (Полная синхронизация). Это приведет к пересчету всех потоков атрибутов.
  4. Убедитесь, что требуемые изменения будут экспортированы, выполнив поиск в пространстве соединителя. Staged delete

Создание правил с помощью PowerShell

Редактор правил синхронизации удобно использовать, если требуется внести всего несколько изменений. Если требуется внести много изменений, то лучше использовать PowerShell. Некоторые дополнительные функции доступны только в PowerShell.

Получение сценария PowerShell для стандартного правила

Чтобы получить сценарий PowerShell для создания стандартного правила, выберите правило в редакторе правил синхронизации и щелкните Экспорт. Это позволит получить сценарий PowerShell, который создал данное правило.

Расширенный приоритет

Значение приоритета стандартного правила синхронизации начинается со 100. Если имеется несколько лесов и нужно внести множество пользовательских изменений, то 99 правил синхронизации может быть недостаточно.

Можно указать модулю синхронизации, что вам нужно вставить дополнительные правила перед стандартными правилами. Чтобы сделать это, выполните следующее.

  1. Выберите первое стандартное правило синхронизации (In from AD-User Join) в редакторе правил синхронизации и щелкните Экспорт. Скопируйте значение идентификатора SR.
    PowerShell before change
  2. Создайте новое правило синхронизации. Для этого можно использовать редактор правил синхронизации. Экспортируйте это правило в сценарий PowerShell.
  3. В свойство PrecedenceBefore вставьте значение идентификатора из стандартного правила. Задайте для параметра Precedence значение 0. Убедитесь, что атрибут Identifier является уникальным и вы не используете повторно GUID из другого правила. Убедитесь также, что свойство ImmutableTag не задано. Это свойство должно быть задано только для стандартных правил.
  4. Сохраните сценарий PowerShell и запустите его. Результатом будет назначение приоритета со значением 100 вашему настраиваемому правилу, при этом приоритет всех прочих стандартных правил будет увеличен.
    PowerShell after change

При необходимости можно использовать несколько настраиваемых правил синхронизации с одинаковым значением PrecedenceBefore.

Включение синхронизации атрибута UserType

Microsoft Entra Подключение поддерживает синхронизацию атрибута UserType для объектов User в версии 1.1.524.0 и более поздних версий. В частности, были введены следующие изменения:

  • Схема типа объекта User в элементе Microsoft Entra Подключение or расширена для включения атрибута UserType, который является строкой типа и имеет однозначное значение.
  • Схема типа объекта Person в метавселенной расширена для включения атрибута UserType, который имеет строковый тип и является однозначным.

По умолчанию синхронизация атрибута UserType не включена, так как в локальном каталоге Active Directory отсутствует соответствующий атрибут UserType. Необходимо вручную включить синхронизацию. Перед этим необходимо заметить следующее поведение, применяемое идентификатором Microsoft Entra:

  • Microsoft Entra принимает два значения атрибута UserType: Member и Guest.
  • Если атрибут UserType не включен для синхронизации в Microsoft Entra Подключение, пользователи Microsoft Entra, созданные с помощью синхронизации каталогов, будут иметь атрибут UserType, равный Member.
  • До версии 1.5.30.0 идентификатор Microsoft Entra id не позволил атрибуту UserType изменить существующие пользователи Microsoft Entra Подключение. В более ранних версиях его можно задать только во время создания пользователей Microsoft Entra и изменения с помощью PowerShell.

Перед включением синхронизации атрибута UserType необходимо решить, каким образом атрибут будет получен из локальной службы Active Directory. Ниже перечислены наиболее распространенные подходы.

  • Назначьте неиспользуемый локальный атрибут AD (например, extensionAttribute1) в качестве исходного атрибута. Указанный локальный атрибут AD должен быть типа строка, являться однозначным и содержать значение Member или Guest.

    При выборе этого подхода необходимо убедиться, что указанный атрибут заполняется правильным значением для всех существующих пользовательских объектов в локальная служба Active Directory, синхронизированных с идентификатором Microsoft Entra, прежде чем включить синхронизацию атрибута UserType.

  • Кроме того, можно получить значение атрибута UserType из других свойств. Например, требуется синхронизировать всех пользователей в качестве гостевых, если их локальный атрибут AD UserPrincipalName заканчивается доменной частью @partners.fabrikam123.org.

    Как упоминание ранее, старые версии Microsoft Entra Подключение не позволяют изменять атрибут UserType для существующих пользователей Microsoft Entra Подключение. Поэтому необходимо убедиться, что логика, которую вы решили, соответствует тому, как атрибут UserType уже настроен для всех существующих пользователей Microsoft Entra в клиенте.

Включение синхронизации атрибута UserType можно вкратце описать следующим образом.

  1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется.
  2. Добавление исходного атрибута в схему локального соединителя AD.
  3. Добавьте UserType в схему Microsoft Entra Подключение or.
  4. Создайте правило входящей синхронизации для передачи значения атрибута из локального каталога Active Directory.
  5. Создайте правило исходящей синхронизации для потока значения атрибута в идентификатор Microsoft Entra.
  6. Запустите цикл полной синхронизации.
  7. Включите планировщик синхронизации.

Примечание.

Эти шаги описываются в остальной части данного раздела. Они описаны в контексте развертывания Microsoft Entra с топологией с одним лесом и без пользовательских правил синхронизации. Если используется топология с несколькими лесами, настроенными пользовательскими правилами синхронизации или промежуточным сервером, то необходимо соответствующим образом изменить действия.

Шаг 1. Отключение планировщика синхронизации и проверка того, что синхронизация не выполняется

Чтобы избежать экспорта непреднамеренных изменений в идентификатор Microsoft Entra, убедитесь, что синхронизация не выполняется во время обновления правил синхронизации. Чтобы отключить встроенный планировщик синхронизации, сделайте следующее:

  1. Запустите сеанс PowerShell на сервере Microsoft Entra Подключение.
  2. Отключите плановую синхронизацию, выполнив командлет Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Запустите Synchronization Service Manager, выбрав Пуск>Служба синхронизации.
  4. Перейдите на вкладку Операции и убедитесь, что на ней не отображаются операции в состоянии Выполняется.

Шаг 2. Добавление исходного атрибута в схему локального соединителя AD

Не все атрибуты Microsoft Entra импортируются в локальное пространство ad Подключение or. Чтобы добавить исходный атрибут в список импортируемых атрибутов, сделайте следующее.

  1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  2. Щелкните правой кнопкой мыши локальный соединитель AD и выберите Свойства.
  3. Во всплывающем диалоговом окне перейдите на вкладку Выбор атрибутов.
  4. Убедитесь, что исходный атрибут выбран в списке атрибутов.
  5. Нажмите кнопку OK, чтобы сохранить изменения. Add source attribute to on-premises AD Connector schema

Шаг 3. Добавление атрибута UserType в схему Microsoft Entra Подключение or

По умолчанию атрибут UserType не импортируется в пространство Microsoft Entra Подключение. Чтобы добавить атрибут UserType в список импортируемых атрибутов, сделайте следующее.

  1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.
  2. Щелкните правой кнопкой мыши элемент microsoft Entra Подключение or и выберите "Свойства".
  3. Во всплывающем диалоговом окне перейдите на вкладку Выбор атрибутов.
  4. Убедитесь, что атрибут UserType выбран в списке атрибутов.
  5. Нажмите кнопку OK, чтобы сохранить изменения.

Add source attribute to Microsoft Entra Connector schema

Шаг 4. Создание правила входящей синхронизации для передачи значения атрибута из локального каталога Active Directory

Правило входящей синхронизации позволяет передавать значение исходного атрибута из локального каталога Active Directory в метавселенную.

  1. Запустите редактор правил синхронизации, выбрав Пуск>Редактор правил синхронизации.

  2. В фильтре поиска для параметра Направление задайте значение Входящие.

  3. Нажмите кнопку Добавить новое правило, чтобы создать правило входящей синхронизации.

  4. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Значение Сведения
    Имя. Укажите имя Например, In from AD – User UserType.
    Description Укажите описание
    Подключенная система Выберите локальный соединитель AD.
    Тип объекта подключенной системы Пользователь
    Тип объекта метавселенной Физическое лицо
    Тип ссылки Присоединение
    Приоритет Выберите число от 1 до 99 Значения 1–99 зарезервированы для настраиваемых правил синхронизации. Не выбирайте значение, которое используется в другом правиле синхронизации.
  5. Перейдите на вкладку Scoping filter (Фильтр области) и добавьте отдельную группу фильтра области со следующим предложением.

    Атрибут Оператор Значение
    adminDescription NOTSTARTWITH User_

    Фильтр области определяет локальные объекты AD, к которым применяется данное правило входящей синхронизации. В этом примере мы используем тот же фильтр области, используемый в правиле синхронизации In from AD — User Common out-of-box, который предотвращает применение правила синхронизации к объектам User, созданным с помощью функции обратной записи пользователей Microsoft Entra. Возможно, потребуется настроить фильтр области в соответствии с развертыванием Microsoft Entra Подключение.

  6. Перейдите на вкладку Преобразования и реализуйте нужное правило преобразования. Предположим, вы назначили неиспользуемый локальный атрибут AD (например, extensionAttribute1) в качестве исходного атрибута для UserType. Вы можете реализовать непосредственный поток атрибутов.

    Тип потока Целевой атрибут Оригинал Применить однократно Merge Type (Тип объединения)
    Напрямую UserType extensionAttribute1 Флажок снят Обновить

    Еще один пример: требуется получить значение атрибута UserType из других свойств. Например, требуется синхронизировать всех пользователей в качестве гостевых, если их локальный атрибут AD UserPrincipalName заканчивается доменной частью @partners.fabrikam123.org. Можно реализовать следующее выражение:

    Тип потока Целевой атрибут Оригинал Применить однократно Merge Type (Тип объединения)
    Выражение UserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) Флажок снят Обновить
  7. Щелкните Добавить, чтобы создать правило входящей синхронизации.

Create inbound synchronization rule

Шаг 5. Создание правила исходящей синхронизации для потока значения атрибута в идентификатор Microsoft Entra

Правило исходящей синхронизации позволяет значению атрибута передаваться из метавселенной к атрибуту UserType в идентификаторе Microsoft Entra ID:

  1. Перейдите в редактор правил синхронизации.

  2. В фильтре поиска для параметра Направление задайте значение Исходящие.

  3. Нажмите кнопку Добавить новое правило.

  4. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Значение Сведения
    Имя. Укажите имя Например, out to Microsoft Entra ID — UserType
    Description Укажите описание
    Подключенная система Выберите соединитель Microsoft Entra
    Тип объекта подключенной системы Пользователь
    Тип объекта метавселенной Физическое лицо
    Тип ссылки Присоединение
    Приоритет Выберите число от 1 до 99 Значения 1–99 зарезервированы для настраиваемых правил синхронизации. Не выбирайте значение, которое используется в другом правиле синхронизации.
  5. Перейдите на вкладку Scoping filter (Фильтр области) и добавьте отдельную группу фильтра области с двумя приведенными ниже предложениями.

    Атрибут Оператор Значение
    sourceObjectType EQUAL User
    cloudMastered NOTEQUAL Истина

    Фильтр области определяет, к каким объектам Microsoft Entra применяется это правило исходящей синхронизации. В этом примере мы используем фильтр области из стандартного правила синхронизации Out to AD – User Identity. Он предотвращает применение правила синхронизации к объектам User в локальном каталоге Active Directory, которые не синхронизируются. Возможно, потребуется настроить фильтр области в соответствии с развертыванием Microsoft Entra Подключение.

  6. Перейдите на вкладку Преобразование и реализуйте приведенное ниже правило преобразования.

    Тип потока Целевой атрибут Оригинал Применить однократно Merge Type (Тип объединения)
    Напрямую UserType UserType Флажок снят Обновить
  7. Щелкните Добавить, чтобы создать правило исходящей синхронизации.

Create outbound synchronization rule

Шаг 6. Запуск полного цикла синхронизации

Как правило, требуется полный цикл синхронизации, так как мы добавили новые атрибуты в схемы Active Directory и Microsoft Entra Подключение or, а также ввели пользовательские правила синхронизации. Перед экспортом изменений в идентификатор Microsoft Entra необходимо проверить изменения.

Можно следовать приведенным ниже инструкциям, чтобы проверить изменения во время ручного выполнения действий, составляющих полный цикл синхронизации.

  1. Выполните полный импорт для локального соединителя AD.

    1. Откройте вкладку Connectors (Соединители) в Synchronization Service Manager.

    2. Щелкните правой кнопкой мыши локальный соединитель AD и выберите Run (Запустить).

    3. Во всплывающем диалоговом окне выберите Full Import (Полный импорт), а затем нажмите кнопку ОК.

    4. Дождитесь завершения операции.

      Примечание.

      Можно пропустить полный импорт локального соединителя AD, если исходный атрибут уже включен в список импортируемых атрибутов. Другими словами, можно было не вносить изменения во время шага 2 Добавление исходного атрибута в схему локального соединителя AD.

  2. Выполните полный импорт в Подключение microsoft Entra:

    1. Щелкните правой кнопкой мыши элемент Microsoft Entra Подключение or и выберите "Выполнить".
    2. Во всплывающем диалоговом окне выберите Full Import (Полный импорт), а затем нажмите кнопку ОК.
    3. Дождитесь завершения операции.
  3. Проверьте изменения правила синхронизации на существующем объекте User.

    Исходный атрибут из локальная служба Active Directory и UserType из идентификатора Microsoft Entra ID были импортированы в соответствующие Подключение пробелы. Перед выполнением шага полной синхронизации выполните предварительный просмотр существующего объекта User в пространстве локального соединителя AD. У выбранного объекта должен быть заполнен исходный атрибут.

    Если при предварительном просмотре атрибут UserType успешно заполнен, то это хороший показатель того, что вы верно настроили правила синхронизации. Сведения о том, как выполнить предварительный просмотр, см. в разделе Проверка изменений.

  4. Выполните полную синхронизацию для локального соединителя AD.

    1. Щелкните правой кнопкой мыши локальный соединитель AD и выберите Run (Запустить).
    2. Во всплывающем диалоговом окне выберите Full Synchronization (Полная синхронизация), а затем нажмите кнопку ОК.
    3. Дождитесь завершения операции.
  5. Проверьте ожидающие экспорты в идентификатор Microsoft Entra:

    1. Щелкните правой кнопкой мыши элемент Microsoft Entra Подключение or и выберите "Поиск Подключение пробела".

    2. Во всплывающем диалоговом окне Search Connector Space (Поиск пространства соединителя) сделайте следующее.

      • Для параметра Scope (Область) укажите значение Pending Export (Ожидающая операция экспорта).
      • Установите все три флажка: Добавить, Изменить и Удалить.
      • Нажмите кнопку Найти, чтобы получить список объектов с изменениями для экспорта. Чтобы проверить изменения указанного объекта, дважды щелкните его.
      • Убедитесь, что изменения являются ожидаемыми.
  6. Выполните экспорт в Подключение Microsoft Entra:

    1. Щелкните правой кнопкой мыши элемент Microsoft Entra Подключение or и выберите "Выполнить".
    2. Во всплывающем диалоговом окне Run Connector (Запуск соединителя) выберите Экспорт, а затем нажмите кнопку ОК.
    3. Дождитесь завершения экспорта в идентификатор Microsoft Entra.

Примечание.

Эти шаги не включают полные шаги синхронизации и экспорта в Подключение microsoft Entra. Эти действия не требуются, так как значения атрибутов отправляются из локальная служба Active Directory только в Microsoft Entra.

Шаг 7. Повторное включение планировщика синхронизации

Повторно включите встроенный планировщик синхронизации.

  1. Запустите сеанс PowerShell.
  2. Повторно включите плановую синхронизацию, выполнив командлет Set-ADSyncScheduler -SyncCycleEnabled $true.

Следующие шаги

Обзорные статьи