Синхронизация Microsoft Entra Connect: настройка фильтрации

С помощью фильтрации можно контролировать, какие объекты отображаются в идентификаторе Microsoft Entra из локального каталога. Конфигурация по умолчанию принимает большинство объектов во всех доменах в настроенных лесах. Эта конфигурация является рекомендуемой в большинстве случаев. Пользователи приложений Microsoft 365 (например, Exchange Online или Skype для бизнеса) могут использовать глобальный список адресов для отправки сообщений электронной почты и осуществления звонков по всем адресам. Использование конфигурации по умолчанию позволяет им работать так же, как и с локальным экземпляром Exchange или Lync.

Примечание.

Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync фильтруют все объекты Active Directory, в которых атрибут isCriticalSystemObject имеет значение True. Это отфильтрует встроенные объекты с высокими привилегиями AD, такие как Администратор, ДоменAdmins, EnterpriseAdmins.  Эта фильтрация означает, что последние две группы не синхронизируются с идентификатором Записи по умолчанию.

Однако другие объекты, добавленные в группу с высоким уровнем привилегий (DomainAdmins, EnterpriseAdmins), не отфильтрованы от синхронизации с облаком. Например, если добавить локального пользователя AD в группу EnterpriseAdmins, этот пользователь по-прежнему будет синхронизирован с идентификатором Microsoft Entra.

Тем не менее в некоторых случаях в конфигурацию по умолчанию все же нужно внести некоторые изменения. Далее приводятся некоторые примеры.

  • Вы запускаете пилотный проект для Azure или Microsoft 365, и требуется только подмножество пользователей в идентификаторе Microsoft Entra. Если программа небольшого размера, всеми преимуществами можно воспользоваться и без глобального списка адресов.
  • У вас есть множество учетных записей служб и других не личная учетная запись, которые не нужны в идентификаторе Microsoft Entra.
  • В целях обеспечения соответствия нельзя локально удалять учетные записи пользователей, но можно их отключить. Но в идентификаторе Microsoft Entra необходимо присутствовать только активные учетные записи.

В этой статье описано, как настроить различные методы фильтрации.

Внимание

Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами действий, которые официально документированы. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Основные сведения и важные примечания

В Microsoft Entra Connect Sync можно включить фильтрацию в любое время. Если вы начинаете с конфигурации синхронизации каталогов по умолчанию, а затем настраиваете фильтрацию, то отфильтрованные объекты больше не синхронизируются с идентификатором Microsoft Entra. Из-за этого изменения все объекты в идентификаторе Microsoft Entra, которые ранее были синхронизированы, но затем отфильтрованы, удаляются в идентификаторе Microsoft Entra.

Прежде чем начать вносить изменения в фильтрацию, убедитесь, что вы отключите встроенный планировщик , чтобы вы не случайно экспортировали изменения, которые еще не проверены.

Так как фильтрация может одновременно удалять множество объектов, необходимо убедиться, что новые фильтры правильны, прежде чем приступить к экспорту любых изменений в идентификатор Microsoft Entra. После выполнения действий по настройке настоятельно рекомендуется выполнить действия проверки перед экспортом и внесением изменений в идентификатор Microsoft Entra.

Функция предотвращения случайного удаления включена по умолчанию, что позволяет предотвратить случайное удаление множества объектов. При удалении многих объектов из-за фильтрации (500 по умолчанию) необходимо выполнить действия, описанные в этой статье, чтобы разрешить удалениям перейти к идентификатору Microsoft Entra.

Если вы используете сборку, выпущенную до ноября 2015 года (1.0.9125), при внесении изменений в конфигурацию фильтра, когда используется синхронизация хэша паролей, необходимо активировать полную синхронизацию всех паролей после завершения настройки. Описание шагов по запуску полной синхронизации паролей см. в разделе Запуск полной синхронизации всех паролей. Если вы используете сборку 1.0.9125 или более поздней версии, при выборе стандартного действия полной синхронизации можно задать, какие пароли следует синхронизировать, что лишает необходимости в дополнительном шаге.

Если пользовательские объекты были непреднамеренно удалены в идентификаторе Microsoft Entra ID из-за ошибки фильтрации, можно повторно создать объекты пользователя в идентификаторе Microsoft Entra, удалив конфигурации фильтрации. Затем можно снова синхронизировать каталоги. Это действие восстанавливает пользователей из корзины в идентификаторе Microsoft Entra. Однако удаление объектов других типов отменить нельзя. Например, если вы случайно удалите группу безопасности, использованную в списках управления доступом к ресурсам, нельзя будет восстановить ни группу, ни соответствующие списки.

Microsoft Entra Connect удаляет только объекты, которые он когда-то считается областью. Если есть объекты в идентификаторе Microsoft Entra, созданные другим механизмом синхронизации, и эти объекты не находятся в области, добавление фильтрации не удаляет их. Например, если начать с сервера DirSync, создавшего полную копию всего каталога в идентификаторе Microsoft Entra ID, и установить новый сервер синхронизации Microsoft Entra Connect параллельно с фильтрацией с начала, Microsoft Entra Connect не удаляет дополнительные объекты, созданные DirSync.

Конфигурация фильтрации сохраняется при установке или обновлении до более новой версии Microsoft Entra Connect. Перед выполнением первого цикла синхронизации мы настоятельно рекомендуем убедиться, что ваша конфигурация не была случайно изменена после обновления до новой версии.

При наличии нескольких лесов параметры фильтрации, описанные в этой статье, нужно применить к каждому из них (если у всех лесов должна быть одинаковая конфигурация).

Отключение планировщика синхронизации

Чтобы отключить встроенный планировщик, запускающий цикл синхронизации каждые 30 минут, выполните следующие действия.

  1. Откройте Windows PowerShell, импортируйте модуль ADSync и отключите планировщик с помощью следующих команд.
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Внесите изменения, описанные в этой статье. Затем снова включите планировщик с помощью следующей команды.
Set-ADSyncScheduler -SyncCycleEnabled $True

Параметры фильтрации

В средстве синхронизации каталога можно настроить использование следующих типов конфигурации фильтрации:

  • По группам. Фильтрацию по одной группе можно настроить только при изначальной установке с помощью соответствующего мастера.
  • На основе домена: с помощью этого параметра можно выбрать, какие домены синхронизируются с идентификатором Microsoft Entra. Вы также можете добавлять и удалять домены из конфигурации подсистемы синхронизации при внесении изменений в локальную инфраструктуру после установки Microsoft Entra Connect Sync.
  • Подразделение (OU) — на основе этого параметра можно выбрать, какие подразделения синхронизируются с идентификатором Microsoft Entra. Действие этого параметра распространяется на все типы объектов в выбранных подразделениях.
  • По атрибутам. Этот параметр позволяет фильтровать объекты по значениям атрибутов. Кроме того, для объектов различных типов можно использовать разные фильтры.

Можно также одновременно использовать несколько параметров фильтрации. Например, можно использовать фильтрацию по подразделению, чтобы включить объекты в одном подразделении, и одновременно фильтрацию по атрибуту, чтобы сузить круг результатов. При использовании нескольких методов фильтрации между фильтрами ставится логический оператор AND.

Фильтрация по доменам

В этом разделе описана процедура настройки фильтра по доменам. Если вы добавили или удалили домены в лесу после установки Microsoft Entra Connect, необходимо также обновить конфигурацию фильтрации.

Чтобы изменить фильтрацию по доменам, запустите мастер установки: Фильтрация доменов и подразделений. Мастер установки автоматизирует все описанные здесь задачи.

Фильтрация по подразделениям

Чтобы изменить фильтрацию по подразделениям, запустите мастер установки: Фильтрация доменов и подразделений. Мастер установки автоматизирует все описанные здесь задачи.

Внимание

Если вы явно выбрали подразделение для синхронизации, Microsoft Entra Connect добавит различающееся имя этого подразделения в список включения для области синхронизации домена. Однако при последующем переименовании этого подразделения в Active Directory изменяется различающееся имя подразделения, поэтому Microsoft Entra Connect больше не будет рассматривать эту область в области синхронизации. Это не приведет к немедленной проблеме, но при полном шаге импорта Microsoft Entra Connect будет повторно оценить область синхронизации и удалить (то есть устаревшие) любые объекты из области синхронизации, что может привести к неожиданному массовому удалению объектов в идентификаторе Microsoft Entra ID. Чтобы предотвратить эту проблему, после переименования подразделения запустите мастер Microsoft Entra Connect и повторно выберите подразделение для повторного включения в область синхронизации.

Фильтрация по атрибутам

Прежде чем выполнить следующие действия, убедитесь, что вы используете сборку, выпущенную в ноябре 2015 г. (1.0.9125), или более поздней версии.

Внимание

Корпорация Майкрософт рекомендует не изменять правила по умолчанию, созданные Microsoft Entra Connect. Если вы хотите изменить правило, клонируйте его и отключите исходное правило. Внесите любые изменения в клонированное правило. Обратите внимание, что при этом (отключении исходного правила) вы пропустите все исправления ошибок или функции, включенные с помощью этого правила.

Фильтрация на основе атрибутов — самый гибкий способ отфильтровать объекты. Вы можете использовать возможность декларативной подготовки для управления почти каждым аспектом синхронизации объекта с идентификатором Microsoft Entra.

Вы можете применить входящий фильтр из Active Directory к метавселенной и исходящей фильтрации из метавселенной к идентификатору Microsoft Entra. Мы рекомендуем использовать самый простой метод фильтрации — по входящим объектам. Фильтрацию по исходящим объектам следует использовать, только если это необходимо для присоединения объектов из нескольких лесов, чтобы выполнить оценку.

Фильтрация входящих объектов

Входящий фильтр использует конфигурацию по умолчанию, в которой объекты, собираемые в идентификатор Microsoft Entra, должны иметь атрибут метавселенной cloudFiltered, не заданный для синхронизации значения. Если для атрибута задано значение True, то объект не синхронизируется. Для этого параметра не следует устанавливать значение False. Чтобы можно было передавать значение с помощью других правил, у этого атрибута должно быть значение True или NULL (значение отсутствует).

Обратите внимание, что в Microsoft Entra Connect предусмотрена очистка объектов, которые должны были быть подготовлены в Microsoft Entra ID. Если система ранее не подготовила объект в Microsoft Entra ID и получает объект Microsoft Entra на этапе импорта, она правильно предполагает, что объект был создан в Microsoft Entra ID другой системой. Microsoft Entra Connect не очищает эти типы объектов Microsoft Entra, даже если атрибут cloudFiltered метавселенной имеет значение True.

Для фильтрации по входящим объектам мы будем использовать область, чтобы определить, какие объекты следует или не следует синхронизировать. Эта процедура предназначена для внесения изменений в соответствии с требованиями вашей организации. Модуль области использует группу и предложение, чтобы определить, распространяется ли правило синхронизации на область. В группе может содержаться одно или несколько предложений. Если предложений несколько, в качестве их разделителя используется логический оператор AND, а при наличии нескольких групп — оператор OR.

Вот пример.
Снимок экрана с примером добавления фильтров определения области.
Его следует рассматривать так: (department = IT) OR (department = Sales AND c = US).

В следующих образцах кода и шагах в качестве примера используется объект-пользователь, но их можно использовать для объектов любого типа.

В следующих примерах значение приоритета начинается с 50. Это может быть любое число меньше 100, которое еще не используется.

Отрицательная фильтрация (выбор объектов, которые не следует синхронизировать)

В примере ниже отфильтруем (но не синхронизируем) всех пользователей для атрибута extensionAttribute15 с заданным значением NoSync.

  1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
  2. В меню Пуск запустите редактор правил синхронизации.
  3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).
  4. Задайте для правила описательное имя, например In from AD – User DoNotSyncFilter. Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV). В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 50), и нажмите кнопку Далее.
    Описание входящего объекта 1
  5. В поле Scoping filter (Фильтр области действия) выберите Добавить группу и щелкните Добавить предложение. В поле Атрибут выберите ExtensionAttribute15. В качестве оператора выберите EQUAL и в поле Значение введите NoSyn. Нажмите кнопку Далее.
    Область входящего объекта 2
  6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
  7. Щелкните Add Transformation (Добавить преобразование), для параметра FlowType (Тип потока) выберите значение Константа, а для параметра Целевой атрибут — значение cloudFiltered. В текстовом поле Источник введите значение True. Щелкните Добавить , чтобы сохранить правило.
    Преобразование входящего объекта 3
  8. Чтобы завершить настройку, необходимо выполнить полный импорт. Продолжите знакомство с разделом Применение и проверка изменений.

Положительная фильтрация (выбор объектов, которые нужно синхронизировать)

Настройка положительной фильтрации может оказаться более сложной задачей, так как нужно учесть объекты, для которых необходимость синхронизации не очевидна, например конференц-залы. Необходимо также переопределить фильтр по умолчанию в стандартном правиле In from AD - User Join. При создании пользовательского фильтра не следует включать критически важные системные объекты, объекты конфликтов репликации, специальные почтовые ящики и учетные записи служб Microsoft Entra Connect.

Для положительной фильтрации требуется два правила синхронизации: одно правило синхронизации (или несколько) с правильной областью объектов для синхронизации, и правило синхронизации catch-all, которое отфильтровывает все остальные объекты, которые не должны синхронизироваться.

В примере ниже синхронизируем только объекты-пользователи, у которых для атрибута department задано значение Sales.

  1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
  2. В меню Пуск запустите редактор правил синхронизации.
  3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).
  4. Задайте для правила описательное имя, например In from AD – User Sales sync. Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV). В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 51), и нажмите кнопку Далее.
    Описание входящего объекта 4
  5. В поле Scoping filter (Фильтр области действия) выберите Добавить группу и щелкните Добавить предложение. В разделе Атрибут выберите department. В качестве оператора выберите EQUAL, а в поле Значение введите Sales. Нажмите кнопку Далее.
    Область входящего объекта 5
  6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
  7. Щелкните Add Transformation (Добавить преобразование), для параметра FlowType (Тип потока) выберите значение Константа, а для параметра Целевой атрибут — значение sourceObjectType. В поле Источник введите значение False. Щелкните Добавить , чтобы сохранить правило.
    Преобразование входящего объекта 6
    Это особый случай, когда явно требуется задать для параметра cloudFiltered значение False.
  8. Теперь универсальное правило синхронизации создано. Задайте для правила описательное имя, напримерIn from AD — User Catch-all filter. Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV). В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 99). Выбрано значение приоритета выше (с низшим приоритетом), чем у предыдущего правила синхронизации, но мы оставили интервал между этими значениями, чтобы в дальнейшем можно было добавить дополнительные правила фильтрации для синхронизации, если нужно будет дополнительно синхронизировать отделы. Нажмите кнопку Далее.
    Описание входящего объекта 7
  9. Оставьте поле Scoping filter (Фильтр области) пустым и нажмите кнопку Далее. Если поле фильтра пустое, правило применяется ко всем объектам.
  10. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
  11. Щелкните Add Transformation (Добавить преобразование), выберите значение Константа в качестве параметра FlowType (Тип потока) и cloudFiltered для параметра Целевой атрибут. В поле Источник введите значение True. Щелкните Добавить , чтобы сохранить правило.
    Преобразование входящего объекта 3
  12. Чтобы завершить настройку, необходимо выполнить полный импорт. Продолжите знакомство с разделом Применение и проверка изменений.

При необходимости можно создать дополнительные правила первого типа в примере, к которому мы добавляли объекты для синхронизации.

Фильтрация исходящих объектов

В некоторых случаях фильтрацию необходимо выполнять только после объединения объектов в метавселенной. Например, определение объектов для синхронизации может выполняться на основе атрибута mail из леса ресурсов и атрибута userPrincipalName из леса учетных записей. В таких случаях нужно создать фильтр на основе исходящего правила.

В примере ниже мы изменим фильтрацию так, чтобы синхронизировались только пользователи, значения атрибутов mail и userPrincipalName которых заканчиваются на @contoso.com.

  1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
  2. В меню Пуск запустите редактор правил синхронизации.
  3. В разделе Rules Type (Тип правил) выберите Outbound (Исходящие).
  4. В зависимости от используемой версии Connect найдите правило out для идентификатора Microsoft Entra ID — "Присоединение пользователя " или "Выход" к идентификатору Microsoft Entra ID — присоединение пользователей к SOAInAD и нажмите кнопку "Изменить".
  5. Во всплывающем окне нажмите кнопку Да , чтобы создать копию правила.
  6. На странице Описание измените приоритет, установив неиспользуемое значение, например 50.
  7. В области навигации слева щелкните Scoping filter (Фильтр области), а затем щелкните Добавить предложение. В разделе Атрибут выберите mail. В разделе Оператор выберите ENDSWITH. В разделе Значение введите @contoso.com и нажмите кнопку Добавить предложение. В разделе Атрибут выберите userPrincipalName. В разделе Оператор выберите ENDSWITH. В разделе Значение введите @contoso.com.
  8. Нажмите кнопку Сохранить.
  9. Чтобы завершить настройку, необходимо выполнить полный импорт. Продолжите знакомство с разделом Применение и проверка изменений.

Примените и проверьте изменения

После внесения изменений в конфигурацию их необходимо применить к объектам, которые уже есть в системе. Кроме того, могут быть объекты, которые отсутствуют в модуле синхронизации, но их нужно обработать. Для этого модулю синхронизации нужно еще раз выполнить чтение из исходной системы, чтобы проверить ее содержимое.

Если для изменения конфигурации вы использовали фильтрацию по доменам или подразделениям, необходимо выполнить полный импорт, а затем синхронизацию изменений.

Если для изменения конфигурации использовалась фильтрация по атрибутам, необходимо выполнить полную синхронизацию.

Выполните следующие действия:

  1. Запустите службу синхронизации из меню Пуск.
  2. Выберите Соединители. В списке соединителей выберите элемент, конфигурация которого ранее была изменена. В разделе Действия выберите Запуск.
    Выполнение соединителя
  3. В разделе Run profiles (Профили выполнения) выберите операцию, о которой шла речь в предыдущем разделе. Если необходимо выполнить два действия, запустите второе после завершения первого (в столбце Состояние выбранного соединителя должно быть указано Неактивно).

После запуска синхронизации будут экспортированы все изменения. Прежде чем вносить изменения в идентификатор Microsoft Entra, необходимо убедиться, что все эти изменения верны.

  1. Откройте командную строку и перейдите в каталог %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Запустите csexport "Name of Connector" %temp%\export.xml /f:x.
    Имя соединителя можно найти в службе синхронизации. Он имеет имя, похожее на "contoso.com — идентификатор Microsoft Entra ID" для идентификатора Microsoft Entra.
  3. Запустите CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Теперь у вас в папке %temp% есть файл export.csv, который можно просмотреть в Microsoft Excel. Этот файл содержит все изменения, которые будут экспортированы.
  5. Внесите необходимые изменения в данные и конфигурацию, а затем выполните описанные выше действия (импорт, синхронизация и проверка) повторно, чтобы привести изменения, которые предстоит экспортировать, в нужный вид.

Когда вы удовлетворены, экспортируйте изменения в идентификатор Microsoft Entra.

  1. Выберите Соединители. В списке соединителей выберите соединитель Microsoft Entra. В разделе Действия выберите Запуск.
  2. В разделе Run profiles (Профили выполнения) выберите Экспорт.
  3. Если в результате изменения конфигурации будет удалено слишком много объектов, вы увидите ошибку во время экспорта, если их количество превышает пороговое значение (по умолчанию — 500). В случае возникновения ошибки необходимо временно отключить функцию предотвращения случайного удаления.

Теперь можно снова включить планировщик.

  1. В меню Пуск запустите планировщик задач.
  2. Прямо в каталоге Библиотека планировщика заданий найдите задачу с именем Azure AD Sync Scheduler (Планировщик синхронизации Azure AD Sync), щелкните ее правой кнопкой мыши и выберите пункт Включить.

Фильтрация на основе группы

Вы можете настроить фильтрацию на основе групп при первом установке Microsoft Entra Connect с помощью настраиваемой установки. Она предназначена для пилотного развертывания, в котором должно синхронизироваться только небольшое количество объектов. После отключения фильтрацию на основе группы невозможно будет включить заново. Не поддерживается использование фильтрации на основе группы в настраиваемой конфигурации. Эту функцию можно настроить только с помощью мастера установки. После завершения пилотного проекта следует использовать какой-либо другой метод фильтрации, описанный в этой статье. Если вы используете фильтрацию по подразделениям в сочетании с фильтрацией по группам, следует включить подразделения, содержащие группы и их участников.

При синхронизации нескольких лесов AD можно настроить фильтрацию по группам, указав отдельные группы для каждого соединителя AD. Если нужно синхронизировать пользователя в одном лесу AD и у этого пользователя есть несколько соответствующих объектов в других лесах AD, необходимо убедиться, что на объект пользователя и все соответствующие объекты распространяется фильтрация на основе групп. Примеры приведены ниже.

  • У пользователя в одном лесу имеется соответствующий объект FSP (внешний субъект безопасности) в другом лесу. На оба объекта должна распространяться фильтрация на основе групп. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

  • У вас есть пользователь в одном лесу с соответствующей учетной записью ресурса (например, связанным почтовым ящиком) в другом лесу. Кроме того, вы настроили Microsoft Entra Connect, чтобы связать пользователя с учетной записью ресурса. На оба объекта должна распространяться фильтрация на основе групп. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

  • У пользователя в одном лесу имеется соответствующий почтовый контакт в другом лесу. Кроме того, вы настроили Microsoft Entra Connect, чтобы связать пользователя с почтовым контактом. На оба объекта должна распространяться фильтрация на основе групп. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

Следующие шаги