Поделиться через

Синхронизация Microsoft Entra Connect: изменение конфигурации по умолчанию

  • Статья

Цель этой статьи — пошаговое руководство по внесению изменений в конфигурацию по умолчанию в Microsoft Entra Connect Sync. Он содержит шаги для некоторых распространенных сценариев. С помощью этих знаний вы сможете вносить простые изменения в собственную конфигурацию на основе собственных бизнес-правил.

Предупреждение

Если вы вносите изменения в стандартные правила синхронизации по умолчанию, эти изменения перезаписываются при следующем обновлении Microsoft Entra Connect, что приводит к непредвиденным и вероятным нежелательным результатам синхронизации.

Правила синхронизации по умолчанию имеют отпечаток. Если вы вносите изменения в эти правила, цифровой отпечаток больше не совпадает. При попытке применить новый выпуск Microsoft Entra Connect могут возникнуть проблемы в будущем. Внесите изменения только так, как описано в этой статье.

Редактор правил синхронизации

Редактор правил синхронизации используется для просмотра и изменения конфигурации по умолчанию. Его можно найти в меню "Пуск" в группе Microsoft Entra Connect.
меню "Пуск" с редактором правил синхронизации

При открытии редактора вы видите стандартные правила по умолчанию.

Редактор правил синхронизации

С помощью раскрывающихся списков в верхней части редактора можно быстро найти определенное правило. Например, если вы хотите увидеть правила, в которых включен атрибут proxyAddresses, можно изменить раскрывающийся список следующим образом:
SRE-фильтрация
Чтобы сбросить фильтрацию и загрузить новую конфигурацию, нажмите клавишу F5 на клавиатуре.

В правом верхнем углу нажмите кнопку Добавить новое правило. Эта кнопка используется для создания собственного настраиваемого правила.

Внизу приведены кнопки для действия в выбранном правиле синхронизации. Изменить и Удалить делают то, что вы ожидаете. экспорт создает скрипт PowerShell для повторного создания правила синхронизации. С помощью этой процедуры можно переместить правило синхронизации с одного сервера на другой.

Создание первого настраиваемого правила

Наиболее распространённые изменения связаны с потоками атрибутов. Данные в исходном каталоге могут не совпадать с идентификатором Microsoft Entra. В этом разделе убедитесь, что указанное имя пользователя всегда записано с заглавной буквы.

Отключите планировщик

По умолчанию планировщик выполняется каждые 30 минут. Убедитесь, что оно не запускается, пока вы вносите изменения и устраняете неполадки с вашими новыми правилами. Чтобы временно отключить планировщик, запустите PowerShell и запустите Set-ADSyncScheduler -SyncCycleEnabled $false.

Отключить планировщик

Создание правила

  1. Щелкните Добавить новое правило.
  2. На странице описание введите следующее:
    фильтрация правил входящего трафика
    • Имя: дайте правилу описательное имя.
    • описание: Дайте некоторое пояснение, чтобы кто-то другой смог понять, для чего предназначено правило.
    • соединённая система: это система, в которой можно найти объект. В этом случае выберите Active Directory Connector.
    • Подключенная система/тип объекта метавселенной: выберите пользователя и человекасоответственно.
    • тип ссылки: измените это значение на Присоединить.
    • приоритет: укажите значение, уникальное в системе. Более низкое числовое значение указывает на более высокий приоритет.
    • тег: оставьте это пустым. В этом поле должно быть заполнено только нестандартное правило от Корпорации Майкрософт.
  3. На странице Фильтр области действия введите givenName НЕ ПУСТОЕ.
    фильтр входящих правил
    Этот раздел используется для определения объектов, к которым должно применяться правило. Если оно остается пустым, правило будет применяться ко всем объектам пользователя. Однако это будет включать конференц-залы, учетные записи обслуживания и другие объекты пользователей, не являющихся людьми.
  4. На странице правила присоединения оставьте поле пустым.
  5. На странице Преобразования измените FlowType на Выражение. Для целевого атрибутавыберите givenName. Введите PCase([givenName]) для Source. трансформации входящих правил
    Подсистема синхронизации чувствительна к регистру как для имени функции, так и имени атрибута. Если вы ввели что-то неправильное, при добавлении правила появится предупреждение. Вы можете сохранить и продолжить, но необходимо повторно открыть и исправить правило.
  6. Щелкните Добавить, чтобы сохранить правило.

Новое настраиваемое правило должно отображаться с другими правилами синхронизации в системе.

Проверка изменения

С этим новым изменением необходимо убедиться, что оно работает как ожидается и не выдает никаких ошибок. В зависимости от количества объектов, которые у вас есть, это можно сделать двумя способами.

  • Выполните полную синхронизацию для всех объектов.
  • Запустите предварительную версию и полную синхронизацию для одного объекта.

Откройте службу синхронизации в меню "Пуск". Все шаги, упомянутые в этом разделе, включены в это средство.

полная синхронизация всех объектов

  1. Выберите разъёмы наверху. Определите соединитель, который вы изменили в предыдущем разделе (в данном случае доменные службы Active Directory) и выберите его.
  2. Для действий выберите Выполнить.
  3. Выберите полную синхронизацию, а затем выберите ОК. полная синхронизация
    Теперь объекты обновляются в метавселенной. Проверьте изменения, просмотрев объект в метавселенной.

предварительный просмотр и полная синхронизация на одном объекте

  1. Выберите разъёмы наверху. Определите соединитель, который вы изменили в предыдущем разделе (в данном случае доменные службы Active Directory) и выберите его.
  2. Выберите Пространство подключения для поиска.
  3. Используйте Scope, чтобы найти объект, который вы хотите использовать для проверки изменений. Выберите объект и щелкните Предварительный просмотр.
  4. На новом экране выберите предпросмотр коммита.
    предпросмотр коммита
    Изменение теперь закреплено в метавселенной.

Просмотр объекта в метавселенной

  1. Выберите несколько примеров объектов, чтобы убедиться, что значение соответствует ожиданиям и что правило было применено.
  2. Выберите Metaverse Search вверху. Добавьте любой фильтр, который необходим для поиска соответствующих объектов.
  3. В результатах поиска откройте объект. Просмотрите значения атрибутов, а также проверьте в столбце правил синхронизации , что правило применено должным образом.
    поиск метавселенной

Включение планировщика

Если все правильно, можно снова включить планировщик. В PowerShell запустите Set-ADSyncScheduler -SyncCycleEnabled $true.

Другие распространенные изменения потока атрибутов

В предыдущем разделе описано, как вносить изменения в поток атрибутов. В этом разделе приведены некоторые дополнительные примеры. Инструкции по созданию правила синхронизации сокращены, но вы можете найти все действия, описанные в предыдущем разделе.

Использование атрибута, отличного от значения по умолчанию

В этом сценарии Fabrikam в лесу используется локальный алфавит для указания имени, фамилии и отображаемого имени. В атрибутах расширения можно найти представление этих атрибутов в латинском символе. Для создания глобального списка адресов в идентификаторе Microsoft Entra и Microsoft 365 организация хочет использовать эти атрибуты.

При настройке по умолчанию объект из локального леса выглядит следующим образом:
поток атрибутов 1

Чтобы создать правило с другими потоками атрибутов, сделайте следующее:

  1. Откройте редактор правил синхронизации из меню Пуск.
  2. Если Входящие данные по-прежнему выбраны слева, нажмите кнопку Добавить новое правило.
  3. Присвойте правилу имя и описание. Выберите локальный экземпляр Active Directory и соответствующие типы объектов. В тип ссылкивыберите Присоединиться. Для приоритетавыберите число, которое не используется другим правилом. Готовые правила начинаются с 100, поэтому значение 50 можно использовать в этом примере. поток атрибутов 2
  4. Оставьте фильтр области применения пустым. (То есть он должен применяться ко всем объектам пользователей в лесу.)
  5. Оставьте условия присоединения пустыми. (Т. е. разрешите внестандартное правило обрабатывать любые соединения.)
  6. В разделе Преобразованиясоздайте следующие процессы:
    поток атрибутов 3
  7. Щелкните Добавить, чтобы сохранить правило.
  8. Перейдите к Менеджеру службы синхронизации. На вкладке Соединители выберите соединитель, в котором вы добавили правило. Выберите Запустить, а затем выберите Полная синхронизация. Полная синхронизация пересчитывает все объекты с помощью текущих правил.

Это результат для того же объекта с этим пользовательским правилом:
поток атрибутов 4

Длина атрибутов

Строковые атрибуты индексируются по умолчанию, а максимальная длина — 448 символов. Если вы работаете со строковыми атрибутами, которые могут содержать больше, обязательно включите следующие элементы в поток атрибутов:
attributeName <— Left([attributeName],448).

Изменение суффикса пользователя (userPrincipalSuffix)

Атрибут userPrincipalName в Active Directory не всегда известен пользователями и может не подходить в качестве идентификатора входа. С помощью мастера установки синхронизации Microsoft Entra Connect можно выбрать другой атрибут, например mail. Но в некоторых случаях атрибут должен вычисляться.

Например, компания Contoso имеет два каталога Microsoft Entra, один для рабочей среды и один для тестирования. Они хотят, чтобы пользователи в тестовом клиенте использовали другой суффикс в идентификаторе входа:
Word([userPrincipalName],1,"@") & "@contosotest.com".

В этом выражении возьмите всё, что слева от первого символа @ (Word), и выполните конкатенацию с фиксированной строкой.

Преобразование атрибута с несколькими значениями в одно значение

Некоторые атрибуты в Active Directory многозначны в схеме, даже если они выглядят однозначными в Active Directory Users and Computers. Примером является атрибут описания:
description <— IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

В этом выражении, если атрибут имеет значение, возьмите первый элемент (Item) в атрибуте, удалите начальные и конечные пробелы (Trim), а затем оставьте первые 448 символов (Left) в строке.

Не следует передавать атрибут

Дополнительные сведения о сценарии для этого раздела см. в разделе Управление процессом потока атрибутов.

Существует два способа не использовать атрибут. Первый способ — с помощью мастера установки удалить выбранные атрибуты. Этот параметр работает, если вы никогда раньше не синхронизировали атрибут. Однако если вы начали синхронизировать этот атрибут и позже удалите его с этой функцией, подсистема синхронизации перестает управлять атрибутом, а существующие значения остаются в идентификаторе Microsoft Entra.

Если вы хотите удалить значение атрибута и убедиться, что оно не будет использоваться в будущем, необходимо создать настраиваемое правило.

В этом сценарии Fabrikam мы поняли, что некоторые атрибуты, которые мы синхронизируем с облаком, не должны быть там. Мы хотим убедиться, что эти атрибуты удалены из идентификатора Microsoft Entra.
Плохие атрибуты расширения

  1. Создайте новое правило синхронизации для входящего трафика и заполните описание. Описания
  2. Создайте потоки атрибутов с помощью Выражения для типа потока и с AuthoritativeNull для источника. Литерал AuthoritativeNull указывает, что значение должно быть пустым в метавселенной, даже если правило синхронизации с меньшим приоритетом пытается его заполнить. Преобразование для атрибутов расширения
  3. Сохраните правило синхронизации. Запустите службу синхронизации, найдите соединитель, выберите Выполнить, а затем выберите Полная Синхронизация. Этот шаг пересчитывает все потоки атрибутов.
  4. Убедитесь, что запланированные изменения будут экспортированы, выполнив поиск в пространстве соединителя. поэтапное удаление

Создание правил с помощью PowerShell

Использование редактора правил синхронизации работает хорошо, если необходимо внести только несколько изменений. Если вам нужно внести много изменений, PowerShell может быть лучшим вариантом. Некоторые расширенные функции доступны только в PowerShell.

Получение скрипта PowerShell для нестандартного правила

Чтобы просмотреть скрипт PowerShell, создавший нестандартное правило, выберите правило в редакторе правил синхронизации и щелкните Экспортировать. Это действие предоставляет вам скрипт PowerShell, который создал правило.

Расширенный приоритет

Правила синхронизации по умолчанию начинаются со значения приоритета 100. Если у вас много лесов, и вам нужно внести много пользовательских изменений, то 99 правил синхронизации могут быть недостаточно.

Вы можете дать указание подсистеме синхронизации вставить дополнительные правила перед предустановленными правилами. Чтобы получить это поведение, выполните следующие действия.

  1. Пометьте первое встроенное правило синхронизации (из AD-User Присоединение) в редакторе правил синхронизации и выберите Экспорт. Скопируйте значение идентификатора SR.
    PowerShell перед изменением
  2. Создайте новое правило синхронизации. Чтобы создать его, можно использовать редактор правил синхронизации. Экспорт правила в скрипт PowerShell.
  3. В свойстве PrecedenceBeforeвставьте значение идентификатора из нестандартного правила. Задайте для приоритет значение 0. Убедитесь, что атрибут идентификатора является уникальным и что вы не используете GUID из другого правила. Кроме того, убедитесь, что свойство ImmutableTag не задано. Это свойство должно быть задано только для нестандартного правила.
  4. Сохраните скрипт PowerShell и запустите его. Результатом является то, что пользовательскому правилу назначается значение приоритета 100, а приоритет всех остальных встроенных правил повышается.
    PowerShell после изменения

При необходимости можно использовать множество пользовательских правил синхронизации, используя одно и то же значение PrecedenceBefore.

Активировать синхронизацию типа пользователя

Microsoft Entra Connect поддерживает синхронизацию атрибута UserType для объектов User версии 1.1.524.0 и более поздних версий. В частности, были введены следующие изменения:

  • Схема типа объекта User в соединителе Microsoft Entra Connector расширена, чтобы включить атрибут UserType, являющийся строкой типа и однозначным значением.
  • Схема типа объекта Person в метавселенной расширена, чтобы включить атрибут UserType, являющийся строкой типа и однозначным значением.

По умолчанию атрибут UserType не включен для синхронизации, так как в локальной среде Active Directory отсутствует соответствующий атрибут UserType. Необходимо включить синхронизацию вручную. Перед этим необходимо заметить следующее поведение, применяемое идентификатором Microsoft Entra:

  • Microsoft Entra принимает два значения атрибута UserType: Member и Guest.
  • Если атрибут UserType не включен для синхронизации в Microsoft Entra Connect, у пользователей Microsoft Entra, созданных через синхронизацию каталогов, атрибут UserType будет установлен как Member.
  • До версии 1.5.30.0 идентификатор Microsoft Entra ID не разрешал изменять атрибут UserType для существующих пользователей Microsoft Entra Connect. В более ранних версиях это можно было задать только во время создания пользователей Microsoft Entra и изменять через PowerShell.

Прежде чем включить синхронизацию атрибута UserType, необходимо сначала решить, как атрибут является производным от локальной среды Active Directory. Ниже приведены наиболее распространенные подходы.

  • Назначьте неиспользуемый локальный атрибут AD (например, extensionAttribute1) для использования в качестве исходного атрибута. Указанный локальный атрибут AD должен иметь тип строковый, иметь единственное значение и содержать значение член или гость.

    При выборе этого подхода необходимо убедиться, что указанный атрибут заполняется правильным значением для всех существующих пользовательских объектов в локальной среде Active Directory, синхронизированных с идентификатором Microsoft Entra, прежде чем включить синхронизацию атрибута UserType.

  • Кроме того, можно получить значение атрибута UserType на основе других свойств. Например, необходимо синхронизировать всех пользователей как гостевых, если их локальный атрибут AD userPrincipalName заканчивается частью домена @partners.fabrikam123.org.

    Как упоминалось ранее, старые версии Microsoft Entra Connect не позволяют изменять атрибут UserType для существующих пользователей Microsoft Entra Connect. Поэтому необходимо убедиться, что логика, которую вы решили, соответствует тому, как атрибут UserType уже настроен для всех существующих пользователей Microsoft Entra в клиенте.

Ниже приведены шаги по включению синхронизации атрибута UserType:

  1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется.
  2. Добавьте исходный атрибут в схему локального соединителя AD.
  3. Добавьте UserType в схему соединителя Microsoft Entra.
  4. Создайте правило входящей синхронизации для передачи значения атрибута из локального Active Directory.
  5. Создайте исходящее правило синхронизации для передачи значения атрибута в Microsoft Entra ID.
  6. Запустите полный цикл синхронизации.
  7. Включите планировщик синхронизации.

Заметка

В остальной части этого раздела рассматриваются эти действия. Они описаны в контексте развертывания платформы Microsoft Entra с топологией единственного леса и без использования пользовательских правил синхронизации. Если у вас есть топология с несколькими лесами, настраиваемые правила синхронизации или промежуточный сервер, необходимо соответствующим образом настроить шаги.

Шаг 1. Отключите планировщик синхронизации и убедитесь, что синхронизация не выполняется

Чтобы избежать экспорта непреднамеренных изменений в идентификатор Microsoft Entra, убедитесь, что синхронизация не выполняется во время обновления правил синхронизации. Чтобы отключить встроенный планировщик синхронизации, выполните следующие действия.

  1. Запустите сеанс PowerShell на сервере Microsoft Entra Connect.
  2. Отключите запланированную синхронизацию, выполнив командлет Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Откройте диспетчер службы синхронизации, перейдя Пуск>Служба синхронизации.
  4. Перейдите на вкладку "Операции " и убедитесь, что нет операции с состоянием в ходе выполнения.

Шаг 2. Добавление исходного атрибута в схему локального соединителя AD

Не все атрибуты Microsoft Entra импортируются в локальное пространство соединителя AD. Чтобы добавить исходный атрибут в список импортированных атрибутов:

  1. Перейдите на вкладку Соединители в диспетчере служб синхронизации (Synchronization Service Manager).
  2. Щелкните правой кнопкой мыши локальный соединитель AD и выберите Свойства.
  3. Во всплывающем диалоговом окне перейдите на вкладку Выбор атрибутов.
  4. Убедитесь, что атрибут "Источник" отмечен в списке атрибутов.
  5. Нажмите кнопку ОК, чтобы сохранить. Добавление атрибута источника в схемы локального соединителя AD

Шаг 3. Добавление атрибута UserType в схему соединителя Microsoft Entra Connector

По умолчанию атрибут UserType не импортируется в пространство Microsoft Entra Connect. Чтобы добавить атрибут UserType в список импортированных атрибутов:

  1. Перейдите на вкладку Соединители в диспетчере служб синхронизации (Synchronization Service Manager).
  2. Щелкните правой кнопкой мыши на соединителе Microsoft Entra и выберите Свойства.
  3. Во всплывающем диалоговом окне перейдите на вкладку Выбор атрибутов.
  4. Убедитесь, что атрибут UserType установлен в списке атрибутов.
  5. Нажмите кнопку ОК, чтобы сохранить.

Добавление атрибута источника в схему соединителя Microsoft Entra Connector

Шаг 4. Создание правила входящей синхронизации для передачи значения атрибута из локальной среды Active Directory.

Правило входящей синхронизации позволяет значению атрибута передаваться из исходного атрибута локального Active Directory в метавселенную.

  1. Откройте редактор правил синхронизации, перейдя Запустите редактор правил синхронизации>.

  2. Задайте для фильтра поиска Направление значение Входящий.

  3. Нажмите кнопку Добавить новое правило, чтобы создать новое входящее правило.

  4. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Ценность Подробности
    Имя Укажите имя Например, вход из AD — Пользовательский тип
    Описание Укажите описание
    Подключенная система Выберите локальный соединитель AD
    Тип подключенного системного объекта Пользователь
    Тип объекта Metaverse человек
    Тип ссылки Присоединяйтесь
    Предшествование Выберите число от 1 до 99 1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

  5. Перейдите на вкладку фильтра области и добавьте группу единственного фильтра области с следующим условием:

    Атрибут Оператор Ценность
    описание администратора NOTSTARTWITH Пользователь_

    Фильтр области определяет, к каким локальным объектам AD применяется это правило входящей синхронизации. В этом примере мы используем тот же фильтр области действия, который используется в стандартном правиле синхронизации In from AD – User Common. Это правило предотвращает применение данного правила синхронизации к пользовательским объектам, созданным с помощью функции обратной записи пользователей Microsoft Entra. Вам, возможно, придется настроить фильтр области действия в соответствии с развертыванием Microsoft Entra Connect.

  6. Перейдите на вкладку преобразования и реализуйте нужное правило преобразования. Например, если вы назначили неиспользуемый локальный атрибут AD (например, extensionAttribute1) в качестве исходного атрибута для UserType, можно реализовать прямой поток атрибутов:

    Тип потока Целевой атрибут Источник Применить один раз Тип слияния
    Прямой ТипПользователя расширенныйАтрибут1 Неконтролируемый Обновить

    В другом примере вы хотите вывести значение атрибута UserType из других свойств. Например, необходимо синхронизировать всех пользователей как гостевых, если атрибут локального пользователя ADPrincipalName заканчивается частью домена @partners.fabrikam123.org. Вы можете реализовать выражение следующим образом:

    Тип потока Целевой атрибут Источник Применить один раз Тип слияния
    Выражение ТипПользователя IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"), Error("UserPrincipalName не существует для определения UserType")) Неконтролируемый Обновить

  7. Щелкните Добавить, чтобы создать правило для входящего трафика.

Создание правила синхронизации для входящего трафика

Шаг 5. Создание правила исходящей синхронизации для переноса значения атрибута в Microsoft Entra ID

Правило исходящей синхронизации позволяет значению атрибута передаваться из метавселенной к атрибуту UserType в идентификаторе Microsoft Entra ID:

  1. Перейдите в редактор правил синхронизации.

  2. Установите фильтр поиска Направление на Исходящий.

  3. Нажмите кнопку Добавить новое правило.

  4. На вкладке Описание укажите следующую конфигурацию:

    Атрибут Ценность Подробности
    Имя Укажите имя Например, перенаправить в Microsoft Entra ID — тип пользователя UserType
    Описание Укажите описание
    Подключенная система Выберите соединитель Microsoft Entra
    Тип подключенного системного объекта Пользователь
    Тип объекта Metaverse человек
    Тип ссылки Присоединяйтесь
    Предшествование Выберите число от 1 до 99 1–99 зарезервировано для пользовательских правил синхронизации. Не выбирайте значение, используемое другим правилом синхронизации.

  5. Перейдите на вкладку фильтров области и добавьте единую группу фильтров области с двумя условиями:

    Атрибут Оператор Ценность
    тип исходного объекта РАВНЫЙ Пользователь
    CloudMastered ПРИМЕЧАНИЕQUAL Правда

    Фильтр области определяет, к каким объектам Microsoft Entra применяется это правило исходящей синхронизации. В этом примере используется тот же фильтр ограничения из встроенного правила синхронизации Out to AD — User Identity. Это предотвращает применение правила синхронизации к объектам User, которые не синхронизированы из локальной среды Active Directory. Вам, возможно, придется настроить фильтр области действия в соответствии с развертыванием Microsoft Entra Connect.

  6. Перейдите на вкладку преобразования и реализуйте следующее правило преобразования:

    Тип потока Целевой атрибут Источник Применить один раз Тип слияния
    Прямой ТипПользователя ТипПользователя Неконтролируемый Обновить

  7. Щелкните Добавить, чтобы создать исходящее правило.

Создание правила исходящей синхронизации

Шаг 6. Запуск полного цикла синхронизации

Как правило, требуется полный цикл синхронизации, так как мы добавили новые атрибуты в схемы Active Directory и Соединителя Microsoft Entra, а также ввели пользовательские правила синхронизации. Перед экспортом изменений в идентификатор Microsoft Entra необходимо проверить изменения.

Вы можете использовать следующие шаги для проверки изменений, одновременно вручную выполняя действия, которые составляют полный цикл синхронизации.

  1. Запустите полный импорт на локальном соединителе AD.

    1. Перейдите на вкладку Соединители в диспетчере служб синхронизации (Synchronization Service Manager).

    2. Щелкните правой кнопкой мыши на локальном соединителе AD и выберите Выполнить.

    3. Во всплывающем окне выберите полный импорт и нажмите кнопку ОК.

    4. Дождитесь завершения операции.

      Заметка

      Можно пропустить полный импорт в локальном соединителе AD, если исходный атрибут уже включен в список импортированных атрибутов. Другими словами, вам не нужно было вносить никаких изменений во время Шага 2: добавьте исходный атрибут в схему локального соединителя AD.

  2. Запустите полный импорт на соединителе Microsoft Entra.

    1. Щелкните правой кнопкой мыши соединитель Microsoft Entra и выберите Запуск.
    2. Во всплывающем окне выберите полный импорт и нажмите кнопку ОК.
    3. Дождитесь завершения операции.

  3. Проверьте изменения правила синхронизации в существующем объекте User:

    Исходный атрибут из локальной службы Active Directory и UserType из Microsoft Entra ID были импортированы в соответствующие пространства подключений. Прежде чем продолжить полную синхронизацию, выполните предварительный просмотр для существующего объекта пользователя в локальном пространстве соединителя AD. Атрибут источника выбранного объекта должен быть заполнен.

    Успешная предварительная версия с заполненным полем UserType в метавселенной — это хороший показатель того, что вы правильно настроили правила синхронизации. Сведения о том, как выполнить предварительный просмотр, см. в разделе Проверка изменения.

  4. Запустите полную синхронизацию на локальном соединителе AD.

    1. Щелкните правой кнопкой мыши на локальном соединителе AD и выберите Выполнить.
    2. Во всплывающем окне выберите полную синхронизацию и нажмите кнопку ОК.
    3. Дождитесь завершения операции.

  5. Проверьте ожидающие экспорта в Microsoft Entra ID.

    1. Щелкните правой кнопкой мыши соединитель Microsoft Entra и выберите Поиск пространства соединителя.

    2. Во всплывающем диалоговом окне в пространстве соединителя поиска :

      • Установите Scope в Pending Export.
      • Установите все три флажка: Добавить, Изменитьи Удалить.
      • Нажмите кнопку "Поиск", чтобы получить список объектов с изменениями для экспорта. Чтобы проверить изменения для данного объекта, дважды щелкните объект.
      • Убедитесь, что изменения ожидаются.

  6. Запустите Экспорт в Microsoft Entra Connector

    1. Щелкните правой кнопкой мыши соединитель Microsoft Entra и выберите Запуск.
    2. Во всплывающем диалоговом окне запуска соединителя выберите Экспорт и нажмите ОК.
    3. Дождитесь завершения экспорта в систему Microsoft Entra ID.

Заметка

Эти действия не включают полные шаги синхронизации и экспорта в соединителе Microsoft Entra Connector. Эти действия не требуются, так как значения атрибутов отправляются из локальной среды Active Directory в Microsoft Entra только.

Шаг 7. Повторное включение планировщика синхронизации

Повторно включите встроенный планировщик синхронизации:

  1. Запустите сеанс PowerShell.
  2. Повторно включите запланированную синхронизацию, выполнив командлет Set-ADSyncScheduler -SyncCycleEnabled $true.

Дальнейшие действия

обзорные темы