如何使用 PowerShell 手动强制 Azure AD 同步增量

您已经安装并配置了 Azure AD Connect，但如何强制同步？当您更改本地 Active Directory 中的用户时，您可能希望通过强制增量同步到 Azure AD 来加快速度。

我们可以使用简单的 PowerShell 命令将最新更改从本地 AD 手动同步到 Azure AD。您可以在需要时随时安全地运行此命令。

在本文中，我们将了解默认同步计划、如何强制增量同步以及如何永久更改计划。

同步 Azure AD

默认情况下，Azure AD Connect 工具将定期同步更改。为此，它使用两个计划，一个用于密码更改，另一个用于所有其他对象（用户、计算机、组）更改。 Azure AD 的默认同步间隔为：

• 每 2 分钟输入一次密码

• 对象每 30 分钟更改一次

要手动强制同步，我们将使用 PowerShell。在安装 Azure AD Connect 工具的服务器上，不需要安装任何其他模块。我们首先看一下默认的时间表：

Get-ADSyncScheduler

我们可以看到下一个同步周期将在上午 11:45:50 运行，并且它将是 Delta 同步。有两种可能的同步类型：

仅同步最新更改

完全同步 - 仅在更改 Azure AD Connect 配置时需要

强制 Delta 同步 Azure AD

例如，当您更改 Active Directory 或 Azure AD 中的用户时，您可以强制使用增量同步进行同步。这将找到自上次运行以来的所有更改并将它们应用到任一侧。

当您在 Active Directory 中创建新用户并希望加快与 Microsoft 365 的同步以便您可以分配许可证时，也会使用增量同步。

要强制执行 Azure AD Delta 同步，我们需要运行以下 cmdlet：

Start-ADSyncSyncCycle -PolicyType Delta

如果已经有同步正在运行，您将收到以下错误：

Sync is already running. Cannot start a new run till this one completes.

需要在安装了 Azure AD 连接工具的服务器上运行 Start-AdSyncSyncCycle 命令。您无需登录服务器即可实际运行 cmdlet。我们还可以使用 PowerShell 远程启动同步：

# Replace LazyServer01 with the computername of the server that has 
# Azure AD Connect installed on it

Invoke-Command -ComputerName LazySrvLab02 -ScriptBlock {
  Start-ADSyncSyncCycle -PolicyType Delta
}

完整的 Azure AD 同步

完全同步将遍历所有 Active Directory 对象并再次同步它们。这是你几乎不需要的东西，而且还需要更多的时间来同步。需要执行完全同步的唯一用例是在向范围添加额外的 OU 后更改 Azure AD Connect 配置时。

要运行完全同步，您可以使用策略类型初始：

Start-ADSyncSyncCycle -PolicyType Initial

使用同步服务管理器

如果您不喜欢或不想使用 PowerShell，那么您还可以使用同步服务管理器强制同步。此工具会自动随 Azure AD Connect 一起安装，并允许您排查同步错误并手动启动和停止同步。

1. 在“开始”菜单中打开同步服务（位于 Azure AD Connect 下）

2. 单击连接器

3. 选择本地连接器

4. 单击侧边栏中的运行

5. 选择增量同步并点击确定

更改 Azure AD 同步计划

可以将每 30 分钟一次的默认时间表更改为其他时间。但这个区间是有上限和下限的。同步周期需要至少每 7 天运行一次。而且每 30 分钟运行次数不能超过一次。

因此，您无法将计划更改为每 15 分钟运行一次。但是，可以将设置更改为每小时一次甚至每天一次。

要将计划更改为每小时一次，我们将使用 Set-ADSyncScheduler cmdlet：

# Run every hour
Set-ADSyncScheduler -CustomizedSyncCycleInterval 01:00:00

# Run once per day
Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0

要应用设置，您需要运行增量同步。之后，您的新日程表将生效。

包起来

在大多数情况下，增量同步就足够了。它允许您快速将本地 AD 之间的最新更改同步到 Azure AD。请记住，密码每两分钟同步一次，因此更改密码时无需强制进行增量同步。

如果你想了解有关配置 Azure AD 连接工具的更多信息，请务必阅读本文。

如果您有任何疑问，请在下面发表评论。