使用 Microsoft Graph PowerShell 关闭目录同步

关闭本地目录和 Azure Active Directory 之间的目录同步是支持 Microsoft 365 租户到租户迁移、收购和合并以及基础设施现代化等工作的关键步骤。

这样做将停止本地基础设施及其依赖之间的任何身份同步，最常用于在传统 Active Directory 和 Azure Active Directory 之间同步密码和密码策略、组、资源帐户和相关对象。

最初的目标是为最终用户创建跨服务的无缝身份验证体验，并为管理员提供简单的管理方法。然而，基于云的现代身份管理方法不会也不应该涉及本地目录

在本教程中，我将向您展示如何使用 Microsoft Graph PowerShell 关闭目录同步 (Azure AD Connect)。

使用 Get-MgOrganization 查看当前目录同步设置

Get-MgOrganization 用于查看有关您的组织的信息，或更具体地说，查看您的 Microsoft 365 租户的配置。在我们的例子中，我们可以使用此信息来查看 OnPremisesSyncEnabled 值。

对于此步骤，您应该使用 Organization.Read.All 权限范围连接到 Microsoft Graph PowerShell。

Connect-MgGraph -scopes Organization.Read.All

要查看所有组织设置，请使用 format list cmdlet：

Get-MgOrganization | fl

作为参考，您的输出应如下所示，其中我突出显示了 OnPremiseSyncEnabled 设置。

如果需要查看 OnPremesisSyncEnabled 属性的值，可以使用 Select 语句，如下所示：

Get-MgOrganization | Select OnPremisesSyncEnabled

禁用与 Update-MgBetaOrganization 的目录同步

Update-MgBetaOrganization cmdlet 位于“Microsoft.Graph.Beta”模块中，因此您需要安装 Microsoft Graph PowerShell 的测试版模块。您可以安装所有模块，也可以仅安装用于此目的的模块。

要安装所有 Microsoft Graph PowerShell beta 模块：

Install-Module Microsoft.Graph.Beta -scope currentuser -force

要安装目录管理 beta 模块：

Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement -scope currentuser -force

在组织中禁用目录同步的正确权限是 Organization.ReadWrite.All Graph API 权限。首先连接到 Microsoft Graph 并定义此权限范围。

Connect-MgGraph -scopes Organization.ReadWrite.All

一旦您的会话处于活动状态，请使用以下代码为您的组织禁用目录同步。

该脚本首先将组织 ID 存储到 $OrgID 变量。然后，在将所有信息传递到 Update-MgOrganization 命令之前，使用该变量构建请求的正文。

$OrgID = (Get-MgOrganization).id

$params = @{
	onPremisesSyncEnabled = $null
}

Update-MgBetaOrganization -OrganizationId $OrgID -BodyParameter $params

运行脚本后，重新运行 Get-MgOrganization 以验证租户中目录同步的状态。

使用 Invoke-MgGraphRequest 禁用目录同步

如果您不想依赖不断变化的 cmdlet 及其参数，您也可以使用 Invoke-MgGraphRequest 获得类似的结果。

下面的脚本将再次将组织的 ID 存储在 $OrgID 参数中，然后使用该信息为我们正在更新的资源生成唯一的 URI。然后定义请求的正文，并将 Invoke-MgGraphRequest 与 PATCH（更新）方法一起使用。

$OrgID = (Get-MgOrganization).id

$uri = "https://graph.microsoft.com/v1.0/organization/$orgid"

$body = @'
        {
            
            "onPremisesSyncEnabled": 'null'
        }
'@

Invoke-MgGraphRequest -uri $uri -Body $body -Method PATCH

运行脚本后，重新运行 Get-MgOrganization 以验证租户中目录同步的状态。

用户迁移到云端需要多长时间？

当您使用 Microsoft Graph PowerShell 关闭 AD 同步时，Get-MgOrganization cmdlet 返回的状态会立即更新。但是，对于 Microsoft 365 管理门户和 Microsoft Entra 管理中心中用户的同步状态，您必须等待最多 72 小时才能完成此更改。

实际上，我已多次禁用目录同步，通常会在 12 小时内完成，但是，您应该计划 72 小时。

禁用目录同步后，用户会发生什么情况？

在租户中成功禁用目录同步后，您的最终用户将不会立即注意到任何更改。但是，作为管理员，您首先会注意到 Microsoft 365 管理中心中用户的同步状态将显示为在云中。

其他一些需要考虑的因素是：

• 用户将保留与以前相同的 Microsoft 365 帐户密码。
• 如果用户的密码以前符合其本地目录密码策略，那么他们现在将遵守 Microsoft Entra 中的密码策略。
• 您应确保禁用并卸载本地 Active Directory Connect 工具（或云同步）。
• 如果用户工作站仅加入 Azure Active Directory，一旦禁用 Azure AD Connect，他们将无法再对利用 Active Directory 的应用程序使用 Windows 集成身份验证。