Funzionalità del servizio sincronizzazione di Microsoft Entra Connect
La funzionalità di sincronizzazione di Microsoft Entra Connect include due componenti:
- Il componente locale denominato Microsoft Entra Connect Sync, detto anche motore di sincronizzazione.
- Il servizio che risiede in Microsoft Entra ID noto anche come servizio di sincronizzazione Microsoft Entra Connect
Questo argomento illustra come funzionano le funzionalità seguenti del servizio di sincronizzazione Microsoft Entra Connect e come configurarle usando PowerShell.
Per visualizzare la configurazione nella directory di Microsoft Entra usando Graph PowerShell, usare i comandi seguenti:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
Get-MgDirectoryOnPremiseSynchronization | Select-Object -ExpandProperty Features | Format-List
Il risultato è simile all'output seguente:
BlockCloudObjectTakeoverThroughHardMatchEnabled : False
BlockSoftMatchEnabled : False
BypassDirSyncOverridesEnabled : False
CloudPasswordPolicyForPasswordSyncedUsersEnabled : False
ConcurrentCredentialUpdateEnabled : False
ConcurrentOrgIdProvisioningEnabled : False
DeviceWritebackEnabled : False
DirectoryExtensionsEnabled : True
FopeConflictResolutionEnabled : False
GroupWriteBackEnabled : False
PasswordSyncEnabled : True
PasswordWritebackEnabled : False
QuarantineUponProxyAddressesConflictEnabled : False
QuarantineUponUpnConflictEnabled : False
SoftMatchOnUpnEnabled : True
SynchronizeUpnForManagedUsersEnabled : False
UnifiedGroupWritebackEnabled : True
UserForcePasswordChangeOnLogonEnabled : False
UserWritebackEnabled : True
AdditionalProperties : {}
Nota
Dal 24 agosto 2016 la funzionalità Resilienza degli attributi duplicati è abilitata per impostazione predefinita per le nuove directory di Microsoft Entra. Questa funzionalità è stata implementata e abilitata nelle directory create prima di questa data. Riceverai una notifica tramite posta elettronica quando la funzionalità sta per essere abilitata nella tua directory.
Le impostazioni seguenti sono configurate in Microsoft Entra Connect:
| DirSyncFeature | Commento |
|---|---|
| SoftMatchOnUpn | Consente l'aggiunta di oggetti a userPrincipalName oltre all'indirizzo SMTP primario. |
| SynchronizeUpnForManagedUsers | Consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName per gli utenti gestiti/con licenza (nonfederated). |
| DeviceWriteback | Microsoft Entra Connect: abilitazione del writeback dei dispositivi |
| DirectoryExtensions | Microsoft Entra Connect Sync: estensioni della directory |
|
DuplicateProxyAddressResiliency DuplicateUPNResiliency |
Consente di mettere in quarantena un attributo quando si tratta di un duplicato di un altro oggetto anziché di un errore dell'intero oggetto durante l'esportazione. |
| Sincronizzazione dell'hash delle password | Implementazione della sincronizzazione dell'hash delle password con la sincronizzazione di Microsoft Entra Connect |
| Writeback delle password | Non supportato. Questa funzionalità del servizio non è più disponibile. Per configurare il writeback delle password, vedere Abilitare il writeback delle password in Microsoft Entra Connect |
| Autenticazione pass-through | Accesso utente con l'autenticazione pass-through di Microsoft Entra |
| UnifiedGroupWriteback | Writeback dei gruppi |
| UserWriteback | Attualmente non supportata. |
Resilienza degli attributi duplicati
Invece di non eseguire il provisioning di oggetti con UPN/proxyAddresses duplicati, l'attributo duplicato è "messo in quarantena" e viene assegnato un valore temporaneo. Una volta risolto il conflitto, l'UPN temporaneo viene modificato automaticamente con il valore appropriato. Per altre informazioni, vedere Sincronizzazione delle identità e resilienza degli attributi duplicati.
Corrispondenza flessibile di userPrincipalName
Quando questa funzionalità è abilitata, la corrispondenza flessibile viene abilitata per l'UPN, oltre all' indirizzo SMTP primarioche è sempre abilitato. La corrispondenza temporanea viene usata per abbinare gli utenti cloud esistenti in Microsoft Entra ID con gli utenti locali.
Se è necessario associare gli account AD locali con gli account esistenti creati nel cloud e non si usa Exchange Online, questa funzionalità è utile. In questo scenario non esiste in genere un motivo per impostare l'attributo SMTP nel cloud.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SoftMatchOnUpnEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftMatchOnUpn = @{ SoftMatchOnUpnEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftMatchOnUpn `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
BlockSoftMatch
Quando questa funzionalità è abilitata, blocca la funzionalità Soft Match. I clienti sono invitati ad abilitare questa funzionalità e mantenerla abilitata fino a quando la corrispondenza temporanea non è necessaria di nuovo per la tenancy. Questo flag deve essere nuovamente abilitato dopo il completamento di qualsiasi corrispondenza temporanea e non è più necessario.
Esempio: blocco della corrispondenza temporanea nel tenant:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SoftBlock = @{ BlockSoftMatchEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SoftBlock `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Sincronizzare gli aggiornamenti di userPrincipalName
Storicamente, gli aggiornamenti all'attributo UserPrincipalName che usano il servizio di sincronizzazione dall'ambiente locale sono stati bloccati, a meno che entrambe le condizioni non siano vere:
- L'utente gestito (nonfederated).
- All'utente non è assegnata una licenza.
Nota
Da marzo 2019, è consentita la sincronizzazione delle modifiche UPN per gli account utente federati.
L'abilitazione di questa funzionalità consente al motore di sincronizzazione di aggiornare l'attributo userPrincipalName quando viene modificato a livello locale e si usa la sincronizzazione dell'hash delle password o l'autenticazione pass-through.
Questa funzionalità è attivata per impostazione predefinita per le directory microsoft Entra appena create. Per vedere se la funzionalità è abilitata per l'utente corrente, eseguire:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.Read.All"
$DirectorySync = Get-MgDirectoryOnPremiseSynchronization
$DirectorySync.Features.SynchronizeUpnForManagedUsersEnabled
Se questa funzionalità non è abilitata per la directory Microsoft Entra, è possibile abilitarla eseguendo:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$SyncUpnManagedUsers = @{ SynchronizeUpnForManagedUsersEnabled = "true" }
Update-MgDirectoryOnPremiseSynchronization -Features $SyncUpnManagedUsers `
-OnPremisesDirectorySynchronizationId $DirectorySync.Id
Dopo aver abilitato questa funzionalità, i valori userPrincipalName esistenti rimangono as-is. Alla prossima modifica dell'attributo userPrincipalName in sede, la normale sincronizzazione differenziale degli utenti aggiornerà l'UPN. Una volta abilitata questa funzionalità, non è possibile disabilitarla.