Функции службы синхронизации Microsoft Entra
Функция синхронизации Microsoft Entra Connect состоит из двух компонентов:
- Локальный компонент с именем Microsoft Entra Connect Sync также называется подсистемой синхронизации.
- Служба, которая находится в идентификаторе Microsoft Entra, также известном как служба синхронизации Microsoft Entra Connect
В этом разделе объясняется, как работают следующие функции службы синхронизации Microsoft Entra Connect и как их можно настроить с помощью PowerShell.
Чтобы просмотреть конфигурацию в каталоге Microsoft Entra с помощью Graph PowerShell, используйте следующие команды:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Результат выглядит следующим образом:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Примечание.
С 24 августа 2016 г. устойчивость повторяющихся атрибутов включена по умолчанию для новых каталогов Microsoft Entra. Эта функция будет постепенно активирована и включена для каталогов, созданных до этой даты. Вы получите по электронной почте уведомление о включении этой функции для вашего каталога.
В Microsoft Entra Connect настроены следующие параметры:
| DirSyncFeature | Комментарий |
|---|---|
| SoftMatchOnUpn | Позволяет присоединять объекты по атрибуту userPrincipalName в дополнение к основному адресу SMTP. |
| SynchronizeUpnForManagedUsers | Позволяет подсистеме синхронизации обновлять атрибут userPrincipalName для управляемых или лицензированных (нефедерированных) пользователей. |
| DeviceWriteback | Microsoft Entra Connect: включение обратной записи устройств |
| DirectoryExtensions | Microsoft Entra Connect Sync: расширения каталогов |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Позволяет атрибуту помещать его в карантин, если он является дубликатом другого объекта, а не сбоем всего объекта во время экспорта. |
| Синхронизация хэша паролей | Реализация синхронизации хэша паролей с помощью Службы синхронизации Microsoft Entra Connect |
| Обратная запись паролей | Не поддерживается. Эта функция службы прекращена. Настройка обратной записи паролей см. в статье "Включение обратной записи паролей" в Microsoft Entra Connect |
| Сквозная проверка подлинности | Вход пользователей с использованием сквозной проверки подлинности Microsoft Entra |
| UnifiedGroupWriteback | Обратная запись групп |
| UserWriteback | Не поддерживается в текущей версии. |
Устойчивость повторяющихся атрибутов
Вместо того, чтобы не подготавливать объекты с повторяющимися именами участника-пользователей или proxyAddresses, дублированный атрибут "помещается в карантин" и назначается временное значение. После разрешения конфликта временное имя участника-пользователя (UPN) будет автоматически исправлено на соответствующее значение. Дополнительные сведения см. в разделе "Синхронизация удостоверений" и устойчивость повторяющихся атрибутов.
Мягкое сопоставление атрибута userPrincipalName
При включении этой функции к имени участника-пользователя, а также к основному адресу SMTP, который всегда активен, может применяться мягкое сопоставление. Обратимое сопоставление используется для сопоставления существующих облачных пользователей в идентификаторе Microsoft Entra с локальными пользователями.
Если вам нужно сопоставить локальные учетные записи AD с существующими учетными записями, созданными в облаке, и вы не используете Exchange Online, эта функция полезна. В такой ситуации устанавливать атрибут SMTP для облака обычно не нужно.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Если эта функция включена, она блокирует функцию Soft Match. Для клиентов рекомендуется включить эту функцию и обеспечить ее поддержку до тех пор, пока для их аренды не потребуется мягкое сопоставление. Этот флаг следует снова включить после того, как мягкое сопоставление завершено и больше не требуется.
Пример. Блокировка обратимого сопоставления в клиенте:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Синхронизация обновлений атрибута userPrincipalName
Исторически обновления атрибута UserPrincipalName с помощью службы синхронизации из локальной среды заблокированы, если только оба из этих условий не были верными:
- Управляемый пользователем (нефедерированный).
- У пользователя нет лицензии.
Примечание.
Начиная с марта 2019 г. разрешается синхронизировать изменения имени участника-пользователя для федеративных учетных записей пользователей.
Включение этой функции позволяет модулю синхронизации обновлять атрибут userPrincipalName при его изменении в локальной среде и при использовании синхронизации хэша паролей или сквозной аутентификации.
Эта функция включена по умолчанию для только что созданных каталогов Microsoft Entra. Чтобы увидеть, включена ли эта функция, выполните следующую команду:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Если эта функция не включена для каталога Microsoft Entra, ее можно включить, выполнив следующие действия:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
После включения этой функции существующие значения атрибут userPrincipalName останутся неизменными. Если в дальнейшем атрибут userPrincipalName изменится в локальной среде, то имя участника-пользователя будет обновлено при обычной синхронизации изменений для пользователей. После включения этой функции его отключить невозможно.