Microsoft Entra Connect Sync:變更預設設定的最佳做法
本主題的目的是描述Microsoft Entra Connect Sync 的支援與不支持變更。
Microsoft Entra Connect 所建立的組態「如原樣」適用於大多數將內部部署 Active Directory 與 Microsoft Entra ID 同步的環境。 不過,在某些情況下,必須將某些變更套用至組態,以滿足特定需求或需求。
服務帳戶的變更
Microsoft Entra Connect Sync 是在安裝精靈所建立的服務帳戶下執行。 此服務帳戶會保存同步處理所使用資料庫的加密金鑰。它會以 127 個字元長的密碼建立,且密碼設定為未過期。
警告
如果您變更或重設 ADSync 服務帳戶密碼,在放棄加密密鑰並重新初始化 ADSync 服務帳戶密碼之前,同步處理服務將無法正確啟動。 若要這樣做,請參閱 變更 ADSync 服務帳戶密碼。
排程器的變更
從版本 1.1(2016 年 2 月)開始,您可以設定 排程器 的同步循環,使其不同於預設值 30 分鐘。
同步處理規則的變更
安裝精靈提供應該適用於最常見案例的組態。 如果您需要對組態進行變更,則必須遵循這些規則來擁有支持的設定。
警告
如果您變更預設同步處理規則,則下次更新Microsoft Entra Connect 時會覆寫這些變更,導致非預期且可能不需要的同步處理結果。
- 如果預設直接屬性流程不適合組織,您可以 變更屬性流程。
- 如果您想要 不流動屬性 並移除Microsoft Entra ID 中的任何現有屬性值,則必須為此案例建立規則。
- 停用不必要的同步處理規則,而不是刪除它。 在升級期間會重新建立已刪除的規則。
- 若要 變更現成的規則,您應該製作原始規則的複本,並停用現成的規則。 同步規則編輯器會提示您並協助您。
- 使用同步處理規則編輯器匯出您的自定義同步處理規則。 編輯器提供PowerShell腳本,可讓您輕鬆地在災害復原案例中重新建立它們。
警告
現成的同步處理規則具有指紋識別碼。 如果您變更這些規則,指紋就不會再相符。 當您嘗試套用新版的 Microsoft Entra Connect 時,未來可能會遇到問題。 僅以本文所述的方式進行變更。
停用不必要的同步處理規則
請勿刪除預設同步處理規則。 它會在下一次升級期間重新創建。
在某些情況下,安裝精靈會產生無法在您的拓撲上運作的設定。 例如,如果您有帳戶資源樹系拓撲,但已使用 Exchange 架構擴充帳戶樹系中的架構,則會針對帳戶樹系和資源樹系建立 Exchange 的規則。 在此情況下,您必須停用 Exchange 的同步處理規則。
在先前的圖片中,安裝精靈在帳戶樹系中發現了舊的Exchange 2003架構。 此架構延伸模組是在 Fabrikam 環境中引進資源樹系之前新增的。 為了確保不會同步處理舊 Exchange 實作中的屬性,應該停用同步處理規則,如下所示。
變更預設規則
唯一應該更改預設規則的時機是當您需要更改聯結規則時。 如果您需要更改屬性流,那麼應該建立一個優先順序高於預設規則的同步規則。 您實際需要複製的唯一規則是從 AD - 使用者聯結
如果您需要變更內建規則,則應該建立內建規則的複本,並停用原始規則。 然後對複製的規則進行修改。 同步處理規則編輯器可協助您執行這些步驟。 當您開啟預設規則時,系統會顯示此對話框:
選取 是 以建立規則複本。 然後會開啟複製的規則。
在此複製的規則上,對範圍、聯結和轉換進行任何必要的變更。
後續步驟
概觀主題