Microsoft Entra Connect 同步服务功能
Microsoft Entra Connect 的同步功能有两个组件:
- 名为 Microsoft Entra Connect 同步的本地组件,也称为同步引擎。
- 驻留在 Microsoft Entra ID 中的服务也称为 Microsoft Entra Connect Sync 服务
本主题说明 Microsoft Entra Connect 同步服务的以下功能的工作原理,以及如何使用 PowerShell 来配置这些功能。
若要使用 Graph PowerShell 查看 Microsoft Entra 目录中的配置,请使用以下命令:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
结果可能类似以下输出:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
启用某个功能后,无法再次将其禁用。
注意
从 2016 年 8 月 24 日起,将为新的 Microsoft Entra 目录默认启用重复属性复原功能。 今后还会针对此日期之前创建的目录推出并启用此功能。 在为目录启用此功能之前的短时间内,用户会收到电子邮件通知。
以下设置由 Microsoft Entra Connect 配置:
| DirSyncFeature | 注释 |
|---|---|
| SoftMatchOnUpn | 除了允许对象加入主 SMTP 地址,还允许对象加入 userPrincipalName。 |
| SynchronizeUpnForManagedUsers | 允许同步引擎更新托管/许可(非联合)用户的 userPrincipalName 属性。 |
| DeviceWriteback | Microsoft Entra Connect:启用设备写回 |
| DirectoryExtensions | Microsoft Entra Connect 同步:目录扩展 |
| DuplicateProxyAddressResiliency DuplicateUPNResiliency |
如果某些属性是另一个对象的副本而不会在导出期间导致整个对象失败,则允许隔离该属性。 |
| 密码哈希同步 | 使用 Microsoft Entra Connect Sync 实现密码哈希同步 |
| UnifiedGroupWriteback | 组写回 |
| UserWriteback | 当前不支持。 |
重复属性复原
将属性“隔离”并分配临时值,而不是使预配包含重复 UPNs/proxyAddresses 的对象失败。 解决冲突时,自动将临时 UPN 更改为适当的值。 有关详细信息,请参阅标识同步和重复属性复原。
UserPrincipalName 软匹配
启用此功能后,除了始终启用的主 SMTP 地址,将为 UPN 启用软匹配。 软匹配功能用于将 Microsoft Entra ID 中的现有云用户与本地用户进行匹配。
如果需要将本地 AD 帐户与云中创建的现有帐户进行匹配,但未使用 Exchange Online,则此功能非常有用。 在此情况下,通常没有必要在云中设置 SMTP 属性。
在新建的 Microsoft Entra 目录中,默认已打开此功能。 可以运行以下命令查看是否已启用此功能:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
如果未为 Microsoft Entra 目录启用此功能,你可以运行以下命令来启用:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
启用此功能后,它将阻止软匹配功能。 建议客户启用此功能,并将其保持启用状态,直到租户再次需要软匹配。 在任何软匹配已完成且不再需要后,应再次启用此标志。
示例 - 若要阻止租户中的软匹配,请运行此 cmdlet:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
同步 userPrincipalName 更新
在过去,除非以下两个条件都成立,否则会阻止在本地使用同步服务对 UserPrincipalName 属性进行更新:
- 用户受管理(非联合)。
- 没有为用户分配许可证。
注意
从 2019 年 3 月起,允许同步联合用户帐户的 UPN 更改。
如果 userPrincipalName 在本地发生更改并且你使用密码哈希同步,则启用此功能后,同步引擎可将其更新。
在新建的 Microsoft Entra 目录中,默认已打开此功能。 可以运行以下命令查看是否已启用此功能:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
如果未为 Microsoft Entra 目录启用此功能,你可以运行以下命令来启用:
Connect-MgGraph -Environment China -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
启用此功能后,现有的 userPrincipalName 值将保持不变。 下一次在本地更改 userPrincipalName 属性时,对用户进行正常的增量同步会更新 UPN。