Potřebujete přerušit synchronizaci uživatelských účtů mezi vaší lokální Active Directory a cloudovou službou Microsoft 365 (Azure AD)? Tento článek popisuje, jak pomocí PowerShellu vypnout nebo znovu zapnout Azure AD synchronizaci pomocí modulu MSOnline.
Kdy je vhodné dočasně vypnout synchronizaci Azure AD?
Vypnutí synchronizace pomocí Set-MsolDirSyncEnabled -EnableDirSync $false má v praxi několik legitimních a užitečných scénářů. Níže uvádím nejčastější příklady z reálného provozu:
1. Úprava nebo smazání objektu přímo v Microsoft 365
Synchronizované objekty (uživatelé, skupiny) nelze v cloudu běžně upravovat ani mazat. Pokud potřebujete provést změnu ručně (např. smazat účet, upravit alias nebo skupinu), je nutné nejprve vypnout synchronizaci.
2. Řešení problémů se synchronizací
Při chybách v Azure AD Connect (např. poškozené připojení k doméně, chyby atributů nebo duplicitní objekty) je dočasné vypnutí synchronizace bezpečný způsob, jak předejít dalším komplikacím a chybným replikacím.
3. Přechod z hybridního prostředí na cloud-only
Pokud přecházíte z on-prem Active Directory na čistě cloudové řízení identit, je potřeba synchronizaci vypnout, aby nedocházelo k přepisům dat z nefunkčního či zrušeného AD.
4. Testování nebo dočasné nasazení bez synchronizace
Například při pilotním provozu M365, kde chcete ručně vytvořit testovací účty bez vlivu synchronizace. Vhodné i pro sandbox prostředí.
5. Odstranění chybně synchronizovaných objektů
Pokud byly do cloudu nahrány nesprávné nebo poškozené objekty, je nutné vypnout synchronizaci, abyste je mohli odstranit ručně.
Viz oficiální dokumentace:MS KB 2619062
6. Migrace, přechod na nový AAD Connect server nebo jiný tenant
Při změně synchronizačního mechanismu, přesunu do nového tenantu nebo reconfiguraci synchronizace je vhodné synchronizaci na čas vypnout a poté znovu správně nastavit.
Důležité doporučení:
- Po vypnutí synchronizace může trvat až 72 hodin, než bude možné objekty v cloudu plně upravovat.
- Doporučuje se vypnutí provádět jen dočasně a pouze pokud víte, co děláte.
Postup:
Připojení ke službě
Connect-MsolService
Vypnutí synchronizace:
Set-MsolDirSyncEnabled –EnableDirSync $false
Tímto příkazem zcela vypnete synchronizaci mezi on-prem AD a cloudovým tenantem.
Důležité: Pokud byly objekty vytvořeny synchronizací (např. uživatelé, skupiny), nebude možné je ihned upravovat nebo mazat, dokud nedojde k úplnému odstranění synchronizační vazby. Více viz oficiální dokumentace Microsoftu.
Ověření aktuálního stavu:
(Get-MsolCompanyInformation).DirectorySynchronizationEnabled
Tento příkaz vám vrátí True nebo False, podle toho, zda je synchronizace aktuálně zapnutá.
Opětovné zapnutí synchronizace:
Set-MsolDirSyncEnabled -EnableDirSync $true
Tímto příkazem znovu povolíte synchronizaci mezi on-prem Active Directory a Microsoft 365/Azure AD.
Poznámka:
- Po změně stavu synchronizace může trvat několik minut, než se změny projeví.
- Než synchronizaci znovu povolíte, ujistěte se, že je vaše lokální AD připravena a správně nakonfigurována (např. UPN, doména, OU filtrování).
Oficiální dokumentace Microsoftu: https://support.microsoft.com/en-us/help/2619062