Microsoft Entra Connect Sync: Configurar filtragem
Usando a filtragem, você pode controlar quais objetos aparecem no ID do Microsoft Entra a partir do diretório local. A configuração padrão usa a maioria dos objetos em todos os domínios nas florestas configuradas. Em geral, esta é a configuração recomendada. Os usuários que usam cargas de trabalho do Microsoft 365, como o Exchange Online e o Skype for Business, se beneficiam de uma Lista de Endereços Global completa para que possam enviar emails e ligar para todos. Com a configuração padrão, eles teriam a mesma experiência que teriam com uma implementação local do Exchange ou do Lync.
Nota
O Microsoft Entra Cloud Sync e o Microsoft Entra Connect Sync filtram todos os objetos do Ative Directory em que o atributo isCriticalSystemObject está definido como True. Isso filtrará objetos internos de alto privilégio do AD, como Administrador, DomainAdmins, EnterpriseAdmins. Essa filtragem significa que os dois últimos grupos NÃO sincronizam com o ID do Entra por padrão.
No entanto, outros objetos que são adicionados a esse grupo de privilégios elevados (DomainAdmins, EnterpriseAdmins) não são filtrados da sincronização para a nuvem. Por exemplo, se você adicionar um usuário do AD local ao grupo EnterpriseAdmins, esse usuário ainda será sincronizado com a ID do Microsoft Entra.
Em alguns casos, no entanto, é necessário fazer algumas alterações na configuração padrão. Seguem-se alguns exemplos:
- Você executa um piloto para o Azure ou Microsoft 365 e deseja apenas um subconjunto de usuários no Microsoft Entra ID. No piloto pequeno, não é importante ter uma Lista de Endereços Global completa para demonstrar a funcionalidade.
- Você tem muitas contas de serviço e outras contas não pessoais que não deseja no Microsoft Entra ID.
- Por motivos de conformidade, você não exclui nenhuma conta de usuário local. Você apenas os desativa. Mas no Microsoft Entra ID, você só quer que as contas ativas estejam presentes.
Este artigo aborda como configurar os diferentes métodos de filtragem.
Importante
A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Connect Sync fora das ações formalmente documentadas. Qualquer uma dessas ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Connect Sync. Como resultado, a Microsoft não pode fornecer suporte técnico para essas implantações.
Noções básicas e notas importantes
No Microsoft Entra Connect Sync, você pode habilitar a filtragem a qualquer momento. Se você começar com uma configuração padrão de sincronização de diretórios e, em seguida, configurar a filtragem, os objetos que são filtrados não são mais sincronizados com o Microsoft Entra ID. Devido a essa alteração, todos os objetos no Microsoft Entra ID que foram sincronizados anteriormente, mas foram filtrados em seguida, são excluídos no Microsoft Entra ID.
Antes de começar a fazer alterações na filtragem, certifique-se de desativar o agendador interno para não exportar acidentalmente as alterações que ainda não verificou estarem corretas.
Como a filtragem pode remover muitos objetos ao mesmo tempo, você deseja certificar-se de que seus novos filtros estão corretos antes de começar a exportar quaisquer alterações para o ID do Microsoft Entra. Depois de concluir as etapas de configuração, recomendamos que você siga as etapas de verificação antes de exportar e fazer alterações na ID do Microsoft Entra.
Para protegê-lo de excluir muitos objetos por acidente, o recurso "evitar exclusões acidentais" está ativado por padrão. Se você excluir muitos objetos devido à filtragem (500 por padrão), precisará seguir as etapas neste artigo para permitir que as exclusões passem para o ID do Microsoft Entra.
Se você usar uma compilação antes de novembro de 2015 (1.0.9125), fizer uma alteração em uma configuração de filtro e usar a sincronização de hash de senha, precisará acionar uma sincronização completa de todas as senhas depois de concluir a configuração. Para conhecer as etapas sobre como acionar uma sincronização completa de senha, consulte Acionar uma sincronização completa de todas as senhas. Se você estiver na compilação 1.0.9125 ou posterior, a ação regular de sincronização completa também calculará se as senhas devem ser sincronizadas e se essa etapa extra não é mais necessária.
Se os objetos de usuário foram excluídos inadvertidamente no Microsoft Entra ID devido a um erro de filtragem, você pode recriar os objetos de usuário no Microsoft Entra ID removendo suas configurações de filtragem. Em seguida, você pode sincronizar seus diretórios novamente. Esta ação restaura os usuários da lixeira no Microsoft Entra ID. No entanto, não é possível cancelar a exclusão de outros tipos de objeto. Por exemplo, se você excluir acidentalmente um grupo de segurança e ele foi usado para ACL um recurso, o grupo e suas ACLs não poderão ser recuperados.
O Microsoft Entra Connect exclui apenas objetos que já considerou estarem no escopo. Se houver objetos no Microsoft Entra ID que foram criados por outro mecanismo de sincronização e esses objetos não estiverem no escopo, adicionar filtragem não os removerá. Por exemplo, se você começar com um servidor DirSync que criou uma cópia completa de todo o diretório no Microsoft Entra ID e instalar um novo servidor Microsoft Entra Connect Sync em paralelo com a filtragem habilitada desde o início, o Microsoft Entra Connect não removerá os objetos extras criados pelo DirSync.
A configuração de filtragem é mantida quando você instala ou atualiza para uma versão mais recente do Microsoft Entra Connect. É sempre uma prática recomendada verificar se a configuração não foi alterada inadvertidamente após uma atualização para uma versão mais recente antes de executar o primeiro ciclo de sincronização.
Se você tiver mais de uma floresta, deverá aplicar as configurações de filtragem descritas neste tópico a todas as florestas (supondo que você queira a mesma configuração para todas elas).
Desativar o agendador de sincronização
Para desativar o agendador interno que dispara um ciclo de sincronização a cada 30 minutos, siga estas etapas:
- Abra o Windows Powershell, importe o módulo ADSync e desative o agendador usando os seguintes comandos
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
- Faça as alterações documentadas neste artigo. Em seguida, reative o agendador novamente com o seguinte comando
Set-ADSyncScheduler -SyncCycleEnabled $True
Opções de filtragem
Você pode aplicar os seguintes tipos de configuração de filtragem à ferramenta de sincronização de diretórios:
- Baseado em grupo: a filtragem baseada em um único grupo só pode ser configurada na instalação inicial usando o assistente de instalação.
- Baseado em domínio: usando essa opção, você pode selecionar quais domínios são sincronizados com o Microsoft Entra ID. Você também pode adicionar e remover domínios da configuração do mecanismo de sincronização ao fazer alterações na infraestrutura local depois de instalar o Microsoft Entra Connect Sync.
- Baseado em unidade organizacional (UO): usando essa opção, você pode selecionar quais UOs são sincronizadas com a ID do Microsoft Entra. Esta opção é para todos os tipos de objeto em UOs selecionadas.
- Baseado em atributos: usando essa opção, você pode filtrar objetos com base em valores de atributos nos objetos. Você também pode ter filtros diferentes para diferentes tipos de objeto.
Você pode usar várias opções de filtragem ao mesmo tempo. Por exemplo, você pode usar a filtragem baseada em UO para incluir apenas objetos em uma UO. Ao mesmo tempo, você pode usar a filtragem baseada em atributos para filtrar ainda mais os objetos. Quando você usa vários métodos de filtragem, os filtros usam um "E" lógico entre os filtros.
Filtragem baseada em domínio
Esta seção fornece as etapas para configurar seu filtro de domínio. Se você adicionou ou removeu domínios em sua floresta depois de instalar o Microsoft Entra Connect, também precisará atualizar a configuração de filtragem.
Para alterar a filtragem baseada em domínio, execute o assistente de instalação: filtragem de domínio e UO. O assistente de instalação automatiza todas as tarefas documentadas neste tópico.
Filtragem baseada em unidade organizacional
Para alterar a filtragem baseada em UO, execute o assistente de instalação: filtragem de domínio e UO. O assistente de instalação automatiza todas as tarefas documentadas neste tópico.
Importante
Se você selecionar explicitamente uma UO para sincronização, o Microsoft Entra Connect adicionará o DistinguishedName dessa UO na lista de inclusão para o escopo de sincronização do domínio. No entanto, se você renomear posteriormente essa UO no Ative Directory, o DistinguishedName da UO será alterado e, consequentemente, o Microsoft Entra Connect não considerará mais essa UO no escopo de sincronização. Isso não causará um problema imediato, mas após uma etapa de importação completa, o Microsoft Entra Connect reavaliará o escopo de sincronização e excluirá (ou seja, obsoleto) quaisquer objetos fora do escopo de sincronização, o que pode potencialmente causar uma exclusão em massa inesperada de objetos no Microsoft Entra ID. Para evitar esse problema, depois de renomear uma UO, execute o Assistente do Microsoft Entra Connect e selecione novamente a UO a ser incluída novamente no escopo de sincronização.
Filtragem baseada em atributos
Certifique-se de que está a utilizar a compilação de novembro de 2015 (1.0.9125) ou posterior para que estes passos funcionem.
Importante
A Microsoft recomenda não modificar as regras padrão criadas pelo Microsoft Entra Connect. Se quiser modificar a regra, clone-a e desative a regra original. Faça quaisquer alterações na regra clonada. Observe que, ao fazer isso (desativando a regra original), você perderá quaisquer correções de bugs ou recursos habilitados por essa regra.
A filtragem baseada em atributos é a maneira mais flexível de filtrar objetos. Você pode usar o poder do provisionamento declarativo para controlar quase todos os aspetos de quando um objeto é sincronizado com o Microsoft Entra ID.
Você pode aplicar filtragem de entrada do Ative Directory ao metaverso e filtragem de saída do metaverso ao ID do Microsoft Entra. Recomendamos que você aplique a filtragem de entrada, pois essa é a mais fácil de manter. Você só deve usar a filtragem de saída se for necessário unir objetos de mais de uma floresta antes que a avaliação possa ocorrer.
Filtragem de entrada
A filtragem de entrada usa a configuração padrão, onde os objetos que vão para o ID do Microsoft Entra devem ter o atributo de metaverso cloudFiltered não definido como um valor a ser sincronizado. Se o valor desse atributo estiver definido como True, o objeto não será sincronizado. Ele não deve ser definido como False, por design. Para garantir que outras regras tenham a capacidade de contribuir com um valor, esse atributo deve ter apenas os valores True ou NULL (ausente).
Note que o Microsoft Entra Connect foi concebido para limpar os objetos responsáveis pelo aprovisionamento no Microsoft Entra ID. Se o sistema não tiver aprovisionado o objeto no Microsoft Entra ID no passado, mas obtém o objeto do Microsoft Entra durante um passo de importação, assume corretamente que este objeto foi criado no Microsoft Entra ID por outro sistema. O Microsoft Entra Connect não limpa esses tipos de objetos do Microsoft Entra, mesmo quando o atributo cloudFiltered
metaverso está definido como True.
Na filtragem de entrada, você usa o poder do escopo para determinar quais objetos sincronizar ou não sincronizar. É aqui que você faz ajustes para atender aos requisitos da sua própria organização. O módulo de escopo tem um grupo e uma cláusula para determinar quando uma regra de sincronização está no escopo. Um grupo contém uma ou várias cláusulas. Há um "E" lógico entre várias cláusulas, e um "OR" lógico entre vários grupos.
Vejamos um exemplo:
Isso deve ser lido como (departamento = TI) OU (departamento = Vendas E c = EUA).
Nos exemplos e etapas a seguir, você usa o objeto de usuário como exemplo, mas pode usá-lo para todos os tipos de objeto.
Nos exemplos a seguir, o valor de precedência começa com 50. Pode ser qualquer número não utilizado, mas deve ser inferior a 100.
Filtragem negativa: "não sincronize estes"
No exemplo a seguir, você filtra (não sincroniza) todos os usuários em que extensionAttribute15 tem o valor NoSync.
- Entre no servidor que está executando o Microsoft Entra Connect Sync usando uma conta que seja membro do grupo de segurança ADSyncAdmins .
- Inicie o Editor de Regras de Sincronização no menu Iniciar .
- Verifique se Entrada está selecionada e clique em Adicionar Nova Regra.
- Dê à regra um nome descritivo, como "In from AD – User DoNotSyncFilter". Selecione a floresta correta, selecione Usuário como o tipo de objeto CS e selecione Pessoa como o tipo de objeto MV. Em Tipo de Link, selecione Ingressar. Em Precedência, digite um valor que não seja usado atualmente por outra regra de sincronização (por exemplo, 50) e clique em Avançar.
- No filtro de escopo, clique em Adicionar grupo e clique em Adicionar cláusula. Em Atributo, selecione ExtensionAttribute15. Verifique se Operador está definido como EQUAL e digite o valor NoSync na caixa Valor. Clique em Next.
- Deixe as regras de Ingresso vazias e clique em Avançar.
- Clique em Adicionar transformação, selecione FlowType como constante e selecione cloudFiltered como o atributo de destino. Na caixa de texto Origem , digite Verdadeiro. Clique em Adicionar para salvar a regra.
- Para concluir a configuração, você precisa executar uma sincronização completa. Continue lendo a seção Aplicar e verificar as alterações.
Filtragem positiva: "apenas sincronize estes"
Expressar filtragem positiva pode ser mais desafiador porque você também precisa considerar objetos que não são óbvios para serem sincronizados, como salas de conferência. Você também substituirá o filtro padrão na regra pronta para uso In do AD - User Join. Ao criar seu filtro personalizado, certifique-se de não incluir objetos críticos do sistema, objetos de conflito de replicação, caixas de correio especiais e as contas de serviço do Microsoft Entra Connect.
A opção de filtragem positiva requer duas regras de sincronização: uma regra de sincronização (ou mais) com o escopo correto de objetos a serem sincronizados e uma regra de sincronização abrangente que filtra todos os objetos restantes que não devem ser sincronizados.
No exemplo a seguir, você sincroniza apenas objetos de usuário onde o atributo department tem o valor Sales.
- Entre no servidor que está executando o Microsoft Entra Connect Sync usando uma conta que seja membro do grupo de segurança ADSyncAdmins .
- Inicie o Editor de Regras de Sincronização no menu Iniciar .
- Verifique se Entrada está selecionada e clique em Adicionar Nova Regra.
- Dê à regra um nome descritivo, como "In from AD – User Sales sync". Selecione a floresta correta, selecione Usuário como o tipo de objeto CS e selecione Pessoa como o tipo de objeto MV. Em Tipo de Link, selecione Ingressar. Em Precedência, digite um valor que não seja usado atualmente por outra regra de sincronização (por exemplo, 51) e clique em Avançar.
- No filtro de escopo, clique em Adicionar grupo e clique em Adicionar cláusula. Em Atributo, selecione departamento. Verifique se Operador está definido como IGUAL e digite o valor Vendas na caixa Valor. Clique em Next.
- Deixe as regras de Ingresso vazias e clique em Avançar.
- Clique em Adicionar Transformação, selecione Constante como o FlowType e selecione cloudFilteredcomo o Atributo de Destino. Na caixa Origem, digite False. Clique em Adicionar para salvar a regra.
Este é um caso especial em que você define explicitamente cloudFiltered como False. - Agora temos que criar a regra de sincronização catch-all. Dê à regra um nome descritivo, como "In from AD – User Catch-all filter". Selecione a floresta correta, selecione Usuário como o tipo de objeto CS e selecione Pessoa como o tipo de objeto MV. Em Tipo de Link, selecione Ingressar. Em Precedência, digite um valor que não seja usado atualmente por outra Regra de Sincronização (por exemplo, 99). Você selecionou um valor de precedência maior (menor precedência) do que a regra de sincronização anterior. Mas você também deixou algum espaço para poder adicionar mais regras de sincronização de filtragem mais tarde, quando quiser começar a sincronizar departamentos adicionais. Clique em Next.
- Deixe o filtro de escopo vazio e clique em Avançar. Um filtro vazio indica que a regra deve ser aplicada a todos os objetos.
- Deixe as regras de Ingresso vazias e clique em Avançar.
- Clique em Adicionar Transformação, selecione Constante como o FlowType e selecione cloudFiltered como o Atributo de Destino. Na caixa Origem, digite Verdadeiro. Clique em Adicionar para salvar a regra.
- Para concluir a configuração, você precisa executar uma sincronização completa. Continue lendo a seção Aplicar e verificar as alterações.
Se precisar, você pode criar mais regras do primeiro tipo onde você inclui mais objetos na sincronização.
Filtragem de saída
Em alguns casos, é necessário fazer a filtragem somente depois que os objetos se juntaram no metaverso. Por exemplo, pode ser necessário examinar o atributo mail da floresta de recursos e o atributo userPrincipalName da floresta de conta para determinar se um objeto deve ser sincronizado. Nesses casos, você cria a filtragem na regra de saída.
Neste exemplo, você altera a filtragem para que somente os usuários que têm seu email e userPrincipalName terminando em @contoso.com sejam sincronizados:
- Entre no servidor que está executando o Microsoft Entra Connect Sync usando uma conta que seja membro do grupo de segurança ADSyncAdmins .
- Inicie o Editor de Regras de Sincronização no menu Iniciar .
- Em Tipo de Regras, clique em Saída.
- Dependendo da versão do Connect que você usar, localize a regra chamada out to Microsoft Entra ID – User Join ou out to Microsoft Entra ID - User Join SOAInAD, e clique em Editar.
- No pop-up, responda Sim para criar uma cópia da regra.
- Na página Descrição, altere Precedência para um valor não utilizado, como 50.
- Clique em Filtro de escopo na navegação à esquerda e, em seguida, clique em Adicionar cláusula. Em Atributo, selecione email. Em Operador, selecione ENDSWITH. Em Valor, digite @contoso.com e clique em Adicionar cláusula. Em Atributo, selecione userPrincipalName. Em Operador, selecione ENDSWITH. Em Valor, digite @contoso.com.
- Clique em Guardar.
- Para concluir a configuração, você precisa executar uma sincronização completa. Continue lendo a seção Aplicar e verificar as alterações.
Aplicar e verificar alterações
Depois de fazer as alterações de configuração, você deve aplicá-las aos objetos que já estão presentes no sistema. Também pode ser que os objetos que não estão atualmente no mecanismo de sincronização devam ser processados (e o mecanismo de sincronização precisa ler o sistema de origem novamente para verificar seu conteúdo).
Se você alterou a configuração usando filtragem de domínio ou unidade organizacional, precisará fazer uma importação completa, seguida de sincronização Delta.
Se você alterou a configuração usando a filtragem de atributos , precisará fazer uma sincronização completa.
Efetue os seguintes passos:
- Inicie o Serviço de Sincronização no menu Iniciar .
- Selecione Conectores. Na lista Conectores, selecione o Conector onde você fez uma alteração de configuração anteriormente. Em Ações, selecione Executar.
- Em Executar perfis, selecione a operação mencionada na seção anterior. Se você precisar executar duas ações, execute a segunda depois que a primeira tiver terminado. (O A coluna Estado é Inativa para o conector selecionado.)
Após a sincronização, todas as alterações são preparadas para serem exportadas. Antes de realmente fazer as alterações no Microsoft Entra ID, você deseja verificar se todas essas alterações estão corretas.
- Inicie um prompt de comando e vá para
%ProgramFiles%\Microsoft Azure AD Sync\bin
. - Execute o
csexport "Name of Connector" %temp%\export.xml /f:x
.
O nome do Conector está no Serviço de Sincronização. Tem um nome semelhante a "contoso.com – Microsoft Entra ID" para Microsoft Entra ID. - Execute o
CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
. - Agora você tem um arquivo em %temp% chamado export.csv que pode ser examinado no Microsoft Excel. Este ficheiro contém todas as alterações que estão prestes a ser exportadas.
- Faça as alterações necessárias nos dados ou na configuração e execute essas etapas novamente (Importar, Sincronizar e Verificar) até que as alterações que estão prestes a ser exportadas sejam as esperadas.
Quando estiver satisfeito, exporte as alterações para o Microsoft Entra ID.
- Selecione Conectores. Na lista Conectores, selecione o Microsoft Entra Connector. Em Ações, selecione Executar.
- Em Executar perfis, selecione Exportar.
- Se as alterações de configuração excluírem muitos objetos, você verá um erro na exportação quando o número for maior do que o limite configurado (por padrão, 500). Se você vir esse erro, precisará desativar temporariamente o recurso "evitar exclusões acidentais".
Agora é hora de ativar o agendador novamente.
- Inicie o Agendador de Tarefas no menu Iniciar.
- Diretamente em Biblioteca do Agendador de Tarefas, localize a tarefa chamada Agendador de Sincronização do Azure AD, clique com o botão direito do mouse e selecione Habilitar.
Filtragem baseada em grupo
Você pode configurar a filtragem baseada em grupo na primeira vez que instalar o Microsoft Entra Connect usando a instalação personalizada. Destina-se a uma implantação piloto em que você deseja que apenas um pequeno conjunto de objetos seja sincronizado. Quando você desabilita a filtragem baseada em grupo, ela não pode ser habilitada novamente. Não há suporte para o uso de filtragem baseada em grupo em uma configuração personalizada. Só há suporte para configurar esse recurso usando o assistente de instalação. Quando tiver concluído o piloto, use uma das outras opções de filtragem neste tópico. Ao usar a filtragem baseada em UO em conjunto com a filtragem baseada em grupo, a(s) UO(s) onde o grupo e seus membros estão localizados devem ser incluídas.
Ao sincronizar várias florestas do AD, você pode configurar a filtragem baseada em grupo especificando um grupo diferente para cada conector do AD. Se desejar sincronizar um usuário em uma floresta do AD e o mesmo usuário tiver um ou mais objetos correspondentes em outras florestas do AD, você deverá garantir que o objeto de usuário e todos os seus objetos correspondentes estejam dentro do escopo de filtragem baseado em grupo. Por exemplo:
Você tem um usuário em uma floresta que tem um objeto FSP (Foreign Security Principal) correspondente em outra floresta. Ambos os objetos devem estar dentro do escopo de filtragem baseado em grupo. Caso contrário, o usuário não será sincronizado com o Microsoft Entra ID.
Você tem um usuário em uma floresta que tem uma conta de recurso correspondente (como caixa de correio vinculada) em outra floresta. Além disso, você configurou o Microsoft Entra Connect para vincular o usuário à conta de recurso. Ambos os objetos devem estar dentro do escopo de filtragem baseado em grupo. Caso contrário, o usuário não será sincronizado com o Microsoft Entra ID.
Você tem um usuário em uma floresta que tem um contato de email correspondente em outra floresta. Além disso, você configurou o Microsoft Entra Connect para vincular o usuário ao contato de email. Ambos os objetos devem estar dentro do escopo de filtragem baseado em grupo. Caso contrário, o usuário não será sincronizado com o Microsoft Entra ID.
Próximos passos
- Saiba mais sobre a configuração do Microsoft Entra Connect Sync .
- Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.