Microsoft Entra Connect-synkronisering: Konfigurera filtrering
Genom att använda filtrering kan du styra vilka objekt som visas i Microsoft Entra-ID från din lokala katalog. Standardkonfigurationen tar de flesta objekt i alla domäner i de konfigurerade skogarna. I allmänhet är detta den rekommenderade konfigurationen. Användare som använder Microsoft 365-arbetsbelastningar, till exempel Exchange Online och Skype za posao, drar nytta av en fullständig global adresslista så att de kan skicka e-post och ringa alla. Med standardkonfigurationen skulle de ha samma upplevelse som de skulle ha med en lokal implementering av Exchange eller Lync.
Kommentar
Microsoft Entra Cloud Sync och Microsoft Entra Connect Sync filtrerar bort alla Active Directory-objekt där attributet isCriticalSystemObject är inställt på True. Detta filtrerar bort inbyggda AD-objekt med hög behörighet, till exempel Administratör, DomainAdmins, EnterpriseAdmins. Den här filtreringen innebär att de två sista grupperna inte synkroniseras med Entra-ID som standard.
Andra objekt som läggs till i den här gruppen med hög behörighet (DomainAdmins, EnterpriseAdmins) filtreras dock inte bort från synkronisering till molnet. Om du till exempel lägger till en lokal AD-användare i gruppen EnterpriseAdmins synkroniseras den användaren fortfarande med Microsoft Entra-ID.
I vissa fall måste du dock göra vissa ändringar i standardkonfigurationen. Nedan följer några exempel:
- Du kör en pilot för Azure eller Microsoft 365 och vill bara ha en delmängd användare i Microsoft Entra-ID. I den lilla piloten är det inte viktigt att ha en fullständig global adresslista för att demonstrera funktionerna.
- Du har många tjänstkonton och andra icke-personliga konton som du inte vill ha i Microsoft Entra-ID.
- Av efterlevnadsskäl tar du inte bort några användarkonton lokalt. Du inaktiverar dem bara. Men i Microsoft Entra-ID vill du bara att aktiva konton ska finnas.
Den här artikeln beskriver hur du konfigurerar de olika filtreringsmetoderna.
Viktigt!
Microsoft stöder inte ändring eller drift av Microsoft Entra Connect Sync utanför de åtgärder som formellt dokumenteras. Någon av dessa åtgärder kan resultera i ett inkonsekvent eller tillstånd som inte stöds för Microsoft Entra Connect Sync. Därför kan Microsoft inte tillhandahålla teknisk support för sådana distributioner.
Grunderna och viktiga anteckningar
I Microsoft Entra Connect Sync kan du aktivera filtrering när som helst. Om du börjar med en standardkonfiguration av katalogsynkronisering och sedan konfigurerar filtrering synkroniseras inte längre objekten som filtreras bort till Microsoft Entra-ID. På grund av den här ändringen tas alla objekt i Microsoft Entra-ID som tidigare synkroniserats men sedan filtrerats bort i Microsoft Entra-ID.
Innan du börjar göra ändringar i filtreringen måste du inaktivera den inbyggda schemaläggaren så att du inte av misstag exporterar ändringar som du ännu inte har verifierat är korrekta.
Eftersom filtrering kan ta bort många objekt samtidigt vill du se till att de nya filtren är korrekta innan du börjar exportera ändringar i Microsoft Entra-ID. När du har slutfört konfigurationsstegen rekommenderar vi starkt att du följer verifieringsstegen innan du exporterar och gör ändringar i Microsoft Entra-ID.
För att skydda dig från att ta bort många objekt av misstag är funktionen "förhindra oavsiktliga borttagningar" aktiverad som standard. Om du tar bort många objekt på grund av filtrering (500 som standard) måste du följa stegen i den här artikeln så att borttagningarna kan gå igenom till Microsoft Entra-ID.
Om du använder en version före november 2015 (1.0.9125), gör en ändring i en filterkonfiguration och använder synkronisering av lösenordshash måste du utlösa en fullständig synkronisering av alla lösenord när du har slutfört konfigurationen. Anvisningar om hur du utlöser en fullständig synkronisering av lösenord finns i Utlösa en fullständig synkronisering av alla lösenord. Om du använder version 1.0.9125 eller senare beräknar den vanliga fullständiga synkroniseringsåtgärden även om lösenord ska synkroniseras och om det här extra steget inte längre krävs.
Om användarobjekt oavsiktligt togs bort i Microsoft Entra-ID på grund av ett filtreringsfel kan du återskapa användarobjekten i Microsoft Entra-ID genom att ta bort dina filtreringskonfigurationer. Sedan kan du synkronisera dina kataloger igen. Den här åtgärden återställer användarna från papperskorgen i Microsoft Entra-ID. Du kan dock inte ta bort andra objekttyper. Om du till exempel oavsiktligt tar bort en säkerhetsgrupp och den har använts för att ACL en resurs, kan gruppen och dess ACL:er inte återställas.
Microsoft Entra Connect tar bara bort objekt som den en gång har ansett vara i omfånget. Om det finns objekt i Microsoft Entra-ID som har skapats av en annan synkroniseringsmotor och dessa objekt inte finns i omfånget, tar inte tillägg av filtrering bort dem. Om du till exempel börjar med en DirSync-server som har skapat en fullständig kopia av hela katalogen i Microsoft Entra-ID och installerar en ny Microsoft Entra Connect Sync-server parallellt med filtrering aktiverat från början, tar Inte Microsoft Entra Connect bort de extra objekt som skapas av DirSync.
Filtreringskonfigurationen behålls när du installerar eller uppgraderar till en nyare version av Microsoft Entra Connect. Det är alltid en bra idé att kontrollera att konfigurationen inte har ändrats oavsiktligt efter en uppgradering till en nyare version innan du kör den första synkroniseringscykeln.
Om du har fler än en skog måste du tillämpa de filtreringskonfigurationer som beskrivs i det här avsnittet på varje skog (förutsatt att du vill ha samma konfiguration för dem alla).
Inaktivera synkroniseringsschemaläggaren
Så här inaktiverar du den inbyggda schemaläggaren som utlöser en synkroniseringscykel var 30:e minut:
- Öppna Windows Powershell, importera ADSync-modulen och inaktivera schemaläggaren med hjälp av följande kommandon
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
- Gör de ändringar som dokumenteras i den här artikeln. Aktivera sedan schemaläggaren igen med följande kommando
Set-ADSyncScheduler -SyncCycleEnabled $True
Filtreringsalternativ
Du kan använda följande filtreringskonfigurationstyper för katalogsynkroniseringsverktyget:
- Gruppbaserad: Filtrering baserat på en enskild grupp kan bara konfigureras vid den första installationen med hjälp av installationsguiden.
- Domänbaserad: Med det här alternativet kan du välja vilka domäner som ska synkroniseras med Microsoft Entra-ID. Du kan också lägga till och ta bort domäner från konfigurationen av synkroniseringsmotorn när du gör ändringar i din lokala infrastruktur när du har installerat Microsoft Entra Connect Sync.
- Organisationsenhet (OU)-baserad: Med det här alternativet kan du välja vilka organisationsenheter som ska synkroniseras med Microsoft Entra-ID. Det här alternativet gäller för alla objekttyper i valda organisationsenheter.
- Attributbaserad: Med det här alternativet kan du filtrera objekt baserat på attributvärden för objekten. Du kan också ha olika filter för olika objekttyper.
Du kan använda flera filtreringsalternativ samtidigt. Du kan till exempel använda OU-baserad filtrering för att endast inkludera objekt i en organisationsenhet. Samtidigt kan du använda attributbaserad filtrering för att filtrera objekten ytterligare. När du använder flera filtreringsmetoder använder filtren ett logiskt "AND" mellan filtren.
Domänbaserad filtrering
Det här avsnittet innehåller stegen för att konfigurera ditt domänfilter. Om du har lagt till eller tagit bort domäner i skogen efter att du har installerat Microsoft Entra Connect måste du också uppdatera filtreringskonfigurationen.
Om du vill ändra domänbaserad filtrering kör du installationsguiden: domän- och organisationsenhetsfiltrering. Installationsguiden automatiserar alla uppgifter som dokumenteras i det här avsnittet.
Organisationsenhetsbaserad filtrering
Om du vill ändra OU-baserad filtrering kör du installationsguiden: domän- och OU-filtrering. Installationsguiden automatiserar alla uppgifter som dokumenteras i det här avsnittet.
Viktigt!
Om du uttryckligen väljer en organisationsenhet för synkronisering lägger Microsoft Entra Connect till DistinguishedName för organisationsenheten i inkluderingslistan för domänens synkroniseringsomfång. Men om du senare byter namn på organisationsenheten i Active Directory ändras OU:ns DistinguishedName och därför kommer Microsoft Entra Connect inte längre att överväga den organisationsenheten i synkroniseringsomfånget. Detta orsakar inte ett omedelbart problem, men vid ett fullständigt importsteg utvärderar Microsoft Entra Connect synkroniseringsomfånget igen och tar bort (dvs. föråldrade) objekt utanför synkroniseringsomfånget, vilket potentiellt kan orsaka en oväntad massborttagning av objekt i Microsoft Entra-ID. Om du vill förhindra det här problemet kör du Microsoft Entra Connect-guiden efter att ha bytt namn på en organisationsenhet och väljer den organisationsenhet som ska tas med igen i synkroniseringsomfånget.
Attributbaserad filtrering
Kontrollera att du använder november 2015 (1.0.9125) eller senare version för att de här stegen ska fungera.
Viktigt!
Microsoft rekommenderar att du inte ändrar standardreglerna som skapats av Microsoft Entra Connect. Om du vill ändra regeln klonar du den och inaktiverar den ursprungliga regeln. Gör ändringar i den klonade regeln. Observera att genom att göra det (inaktivera den ursprungliga regeln) kommer du att missa eventuella felkorrigeringar eller funktioner som aktiveras via den regeln.
Attributbaserad filtrering är det mest flexibla sättet att filtrera objekt. Du kan använda deklarativ etablering för att styra nästan alla aspekter av när ett objekt synkroniseras med Microsoft Entra-ID.
Du kan använda inkommande filtrering från Active Directory till metaversum och utgående filtrering från metaversum till Microsoft Entra-ID. Vi rekommenderar att du tillämpar inkommande filtrering eftersom det är det enklaste att underhålla. Du bör bara använda utgående filtrering om det krävs för att koppla objekt från mer än en skog innan utvärderingen kan genomföras.
Inkommande filtrering
Inkommande filtrering använder standardkonfigurationen, där objekt som går till Microsoft Entra-ID måste ha metaversattributet cloudFiltered inte inställt på ett värde som ska synkroniseras. Om det här attributets värde är inställt på Sant synkroniseras inte objektet. Den bör inte anges till Falskt, avsiktligt. För att se till att andra regler har möjlighet att bidra med ett värde ska det här attributet bara ha värdena True eller NULL (frånvarande).
Observera att Microsoft Entra Connect har utformats för att rensa de objekt som den ansvarade för att etablera i Microsoft Entra ID. Om systemet inte har etablerat objektet i Microsoft Entra ID tidigare, men det hämtar Microsoft Entra-objektet under ett importsteg, förutsätter det korrekt att objektet skapades i Microsoft Entra ID av något annat system. Microsoft Entra Connect rensar inte dessa typer av Microsoft Entra-objekt, inte ens när metaverse-attributet cloudFiltered
är inställt på Sant.
I inkommande filtrering använder du kraften i omfånget för att avgöra vilka objekt som ska synkroniseras eller inte synkroniseras. Det är här du gör justeringar för att passa din egen organisations krav. Omfångsmodulen har en grupp och en -sats för att avgöra när en synkroniseringsregel finns i omfånget. En grupp innehåller en eller flera satser. Det finns ett logiskt "AND" mellan flera satser och ett logiskt "OR" mellan flera grupper.
Låt oss titta på ett exempel:
Detta bör läsas som (avdelning = IT) ELLER (avdelning = Försäljning OCH c = USA).
I följande exempel och steg använder du användarobjektet som exempel, men du kan använda det för alla objekttyper.
I följande exempel börjar prioritetsvärdet med 50. Detta kan vara ett tal som inte används, men bör vara lägre än 100.
Negativ filtrering: "synkronisera inte dessa"
I följande exempel filtrerar du bort (synkroniserar inte) alla användare där extensionAttribute15 har värdet NoSync.
- Logga in på servern som kör Microsoft Entra Connect Sync med hjälp av ett konto som är medlem i säkerhetsgruppen ADSyncAdmins .
- Starta Redigeraren för synkroniseringsregler från Start-menyn .
- Kontrollera att Inkommande är markerat och klicka på Lägg till ny regel.
- Ge regeln ett beskrivande namn, till exempel "In from AD – User DoNotSyncFilter". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet skriver du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 50) och klickar sedan på Nästa.
- I Omfångsfilter klickar du på Lägg till grupp och klickar på Lägg till sats. I Attribut väljer du ExtensionAttribute15. Kontrollera att Operatorn är inställd på EQUAL och skriv värdet NoSync i rutan Värde . Klicka på Nästa.
- Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
- Klicka på Lägg till transformering, välj FlowType som Konstant och välj cloudFiltered som målattribut. I textrutan Källa skriver du Sant. Spara regeln genom att klicka på Lägg till .
- För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringar.
Positiv filtrering: "synkronisera endast dessa"
Det kan vara svårare att uttrycka positiv filtrering eftersom du också måste överväga objekt som inte är uppenbara för att synkroniseras, till exempel konferensrum. Du kommer också att åsidosätta standardfiltret i den färdiga regeln In från AD – Användaranslutning. När du skapar ditt anpassade filter ska du inte inkludera kritiska systemobjekt, replikeringskonfliktobjekt, särskilda postlådor och tjänstkontona för Microsoft Entra Connect.
Det positiva filtreringsalternativet kräver två synkroniseringsregler: en synkroniseringsregel (eller mer) med rätt omfång för objekt som ska synkroniseras och en synkroniseringsregel som filtrerar bort eventuella återstående objekt som inte ska synkroniseras.
I följande exempel synkroniserar du bara användarobjekt där avdelningsattributet har värdet Försäljning.
- Logga in på servern som kör Microsoft Entra Connect Sync med hjälp av ett konto som är medlem i säkerhetsgruppen ADSyncAdmins .
- Starta Redigeraren för synkroniseringsregler från Start-menyn .
- Kontrollera att Inkommande är markerat och klicka på Lägg till ny regel.
- Ge regeln ett beskrivande namn, till exempel "In from AD – User Sales sync". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet skriver du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 51) och klickar sedan på Nästa.
- I Omfångsfilter klickar du på Lägg till grupp och klickar på Lägg till sats. I Attribut väljer du avdelning. Kontrollera att Operatorn är inställd på EQUAL och skriv värdet Försäljning i rutan Värde . Klicka på Nästa.
- Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
- Klicka på Lägg till transformering, välj Konstant som FlowType och välj cloudFiltered som målattribut. I rutan Källa skriver du Falskt. Spara regeln genom att klicka på Lägg till .
Det här är ett specialfall där du uttryckligen anger cloudFiltered till False. - Nu måste vi skapa synkroniseringsregeln catch-all. Ge regeln ett beskrivande namn, till exempel "In from AD – User Catch-all filter". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet skriver du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 99). Du har valt ett prioritetsvärde som är högre (lägre prioritet) än den tidigare synkroniseringsregeln. Men du har också lämnat lite utrymme så att du kan lägga till fler synkroniseringsregler för filtrering senare när du vill börja synkronisera ytterligare avdelningar. Klicka på Nästa.
- Lämna omfångsfiltret tomt och klicka på Nästa. Ett tomt filter anger att regeln ska tillämpas på alla objekt.
- Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
- Klicka på Lägg till transformering, välj Konstant som FlowType och välj cloudFiltered som målattribut. I rutan Källa skriver du Sant. Spara regeln genom att klicka på Lägg till .
- För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringar.
Om du behöver kan du skapa fler regler av den första typen där du inkluderar fler objekt i synkroniseringen.
Utgående filtrering
I vissa fall är det nödvändigt att göra filtreringen först när objekten har anslutits i metaversum. Det kan till exempel vara nödvändigt att titta på e-postattributet från resursskogen och attributet userPrincipalName från kontoskogen för att avgöra om ett objekt ska synkroniseras. I dessa fall skapar du filtreringen för den utgående regeln.
I det här exemplet ändrar du filtreringen så att endast användare som har både sin e-post och userPrincipalName som slutar i @contoso.com synkroniseras:
- Logga in på servern som kör Microsoft Entra Connect Sync med hjälp av ett konto som är medlem i säkerhetsgruppen ADSyncAdmins .
- Starta Redigeraren för synkroniseringsregler från Start-menyn .
- Under Regeltyp klickar du på Utgående.
- Beroende på vilken version av Connect du använder hittar du antingen regeln med namnet Out to Microsoft Entra ID – User Join or Out to Microsoft Entra ID – User Join SOAInAD och klickar på Redigera.
- I popup-fönstret svarar du Ja för att skapa en kopia av regeln.
- På sidan Beskrivning ändrar du Prioritet till ett oanvänt värde, till exempel 50.
- Klicka på Omfångsfilter i det vänstra navigeringsfältet och klicka sedan på Lägg till sats. I Attribut väljer du e-post. I Operator väljer du ENDSWITH. I Värde skriver du @contoso.com och klickar sedan på Lägg till sats. I Attribut väljer du userPrincipalName. I Operator väljer du ENDSWITH. I Värde skriver du @contoso.com.
- Klicka på Spara.
- För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringar.
Tillämpa och verifiera ändringar
När du har gjort konfigurationsändringarna måste du tillämpa dem på de objekt som redan finns i systemet. Det kan också vara så att objekten som för närvarande inte finns i synkroniseringsmotorn ska bearbetas (och synkroniseringsmotorn måste läsa källsystemet igen för att verifiera innehållet).
Om du har ändrat konfigurationen med hjälp av filtrering av domäner eller organisationsenheter måste du göra en fullständig import följt av Delta-synkronisering.
Om du har ändrat konfigurationen med hjälp av attributfiltrering måste du göra en fullständig synkronisering.
Använd följande steg:
- Starta synkroniseringstjänsten från Start-menyn .
- Välj kopplingar. I listan Anslutningsappar väljer du anslutningsappen där du gjorde en konfigurationsändring tidigare. I Åtgärder väljer du Kör.
- I Kör profiler väljer du den åtgärd som nämndes i föregående avsnitt. Om du behöver köra två åtgärder kör du den andra när den första har slutförts. (Den Tillståndskolumnen är Inaktiv för den valda anslutningsappen.)
Efter synkroniseringen mellanlagras alla ändringar som ska exporteras. Innan du faktiskt gör ändringarna i Microsoft Entra-ID:t vill du kontrollera att alla dessa ändringar är korrekta.
- Starta en kommandotolk och gå till
%ProgramFiles%\Microsoft Azure AD Sync\bin
. - Kör
csexport "Name of Connector" %temp%\export.xml /f:x
.
Namnet på anslutningsappen finns i synkroniseringstjänsten. Det har ett namn som liknar "contoso.com – Microsoft Entra ID" för Microsoft Entra ID. - Kör
CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
. - Nu har du en fil i %temp% med namnet export.csv som kan undersökas i Microsoft Excel. Den här filen innehåller alla ändringar som ska exporteras.
- Gör nödvändiga ändringar i data eller konfiguration och kör de här stegen igen (Importera, Synkronisera och Verifiera) tills de ändringar som ska exporteras är vad du förväntar dig.
När du är nöjd exporterar du ändringarna till Microsoft Entra-ID.
- Välj kopplingar. I listan Anslutningsappar väljer du Microsoft Entra Connector. I Åtgärder väljer du Kör.
- I Kör profiler väljer du Exportera.
- Om konfigurationsändringarna tar bort många objekt visas ett fel i exporten när talet är högre än det konfigurerade tröskelvärdet (som standard 500). Om du ser det här felet måste du tillfälligt inaktivera funktionen "förhindra oavsiktliga borttagningar".
Nu är det dags att aktivera schemaläggaren igen.
- Starta Schemaläggaren från Start-menyn .
- Direkt under Schemaläggarbiblioteket letar du upp uppgiften med namnet Azure AD Sync Scheduler, högerklickar och väljer Aktivera.
Gruppbaserad filtrering
Du kan konfigurera gruppbaserad filtrering första gången du installerar Microsoft Entra Connect med hjälp av anpassad installation. Den är avsedd för en pilotdistribution där du bara vill att en liten uppsättning objekt ska synkroniseras. När du inaktiverar gruppbaserad filtrering kan den inte aktiveras igen. Det går inte att använda gruppbaserad filtrering i en anpassad konfiguration. Det stöds bara för att konfigurera den här funktionen med hjälp av installationsguiden. När du har slutfört pilottestet använder du något av de andra filtreringsalternativen i det här avsnittet. När du använder OU-baserad filtrering tillsammans med gruppbaserad filtrering måste de organisationsenhetsgrupper där gruppen och dess medlemmar finns inkluderas.
När du synkroniserar flera AD-skogar kan du konfigurera gruppbaserad filtrering genom att ange en annan grupp för varje AD-anslutning. Om du vill synkronisera en användare i en AD-skog och samma användare har ett eller flera motsvarande objekt i andra AD-skogar måste du se till att användarobjektet och alla dess motsvarande objekt ligger inom gruppbaserat filtreringsomfång. Exempel:
Du har en användare i en skog som har ett motsvarande FSP-objekt (sekundärt säkerhetsobjekt) i en annan skog. Båda objekten måste ligga inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren med Microsoft Entra-ID.
Du har en användare i en skog som har ett motsvarande resurskonto (till exempel länkad postlåda) i en annan skog. Dessutom har du konfigurerat Microsoft Entra Connect för att länka användaren till resurskontot. Båda objekten måste ligga inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren med Microsoft Entra-ID.
Du har en användare i en skog som har en motsvarande e-postkontakt i en annan skog. Dessutom har du konfigurerat Microsoft Entra Connect för att länka användaren till e-postkontakten. Båda objekten måste ligga inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren med Microsoft Entra-ID.
Nästa steg
- Läs mer om Microsoft Entra Connect Sync-konfiguration .
- Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.