Konfigurace filtrování

Aktualizováno: 22. července 2015

Důležité

Toto téma bude brzy archivováno.
Existuje nový produkt s názvem "Azure Active Directory Připojení", který nahrazuje AADSync a DirSync.
Azure AD Connect zahrnuje komponenty a funkce dříve vydávané jako Dirsync a AAD Sync.
V určitém okamžiku v budoucnu skončí podpora nástroje Dirsync a AAD Sync.
Tyto nástroje se už neaktualizují jednotlivě s vylepšeními funkcí a všechna budoucí vylepšení budou zahrnuta v aktualizacích Azure AD Připojení.

Nejnovější informace o Azure Active Directory Připojení najdete v tématu Integrace místních identit s Azure Active Directory

Filtrování v AADSync můžete kdykoli povolit. Pokud jste už spustili výchozí konfigurace synchronizace adresářů a pak jste nakonfigurovali filtrování, objekty, které jsou odfiltrované, se už nesynchronují do Azure AD. V důsledku toho se všechny objekty v Azure AD, které byly dříve synchronizované, ale pak filtrované, odstraní v Azure AD. Pokud byly objekty neúmyslně odstraněny z důvodu chyby filtrování, můžete objekty v Azure AD znovu vytvořit odebráním konfigurací filtrování a opětovnou synchronizací adresářů.

Důležité

Společnost Microsoft nepodporuje úpravy ani provoz AADSync mimo tyto akce formálně zdokumentované. Jakákoli z těchto akcí může vést k nekonzistentnímu nebo nepodporovanému stavu AASync a v důsledku toho nemůže Microsoft poskytnout technickou podporu pro taková nasazení.

S výjimkou odchozího filtrování atributů se konfigurace zachovají při instalaci nebo upgradu na novější verzi AADSync. Před spuštěním prvního cyklu synchronizace je vždy osvědčeným postupem ověřit, že se konfigurace nechtěně nezměnila po upgradu na novější verzi.

Možnosti filtrování

Upozornění

V tomto článku se zdrojová služba AD používá jako název vašeho konektoru služby Doména služby Active Directory Service Connector. Pokud máte více doménových struktur, budete mít jeden konektor na doménovou strukturu a konfigurace se musí opakovat pro každou doménovou strukturu.

Pro nástroj Synchronizace adresářů je možné použít následující tři typy konfigurace filtrování:

• Na základě domény: Tento typ filtrování můžete použít ke správě vlastností konektoru SourceAD v AADSync. Tento typ umožňuje vybrat, které domény se můžou synchronizovat do Azure AD.

• Konfigurace filtrování založeného na organizační jednotce: Tento typ filtrování můžete použít ke správě vlastností konektoru SourceAD v AADSync. Tento typ filtrování umožňuje vybrat, které organizační jednotky mají povoleno synchronizovat s Azure AD.

• Atribut založený : Tuto metodu filtrování můžete použít k určení filtrů založených na atributech. To vám umožní řídit, které objekty by se měly synchronizovat do cloudu.

Konfigurace filtrování na základě domény

Tato část obsahuje kroky, které je potřeba provést při konfiguraci filtru domény.

Poznámka

Pokud jste upravili filtr domény, musíte také aktualizovat profily spuštění.

Pokud chcete nastavit filtr domény, proveďte následující kroky:

1. Přihlaste se k počítači, na kterém běží AADSync, pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.

2. Na obrazovce Start klepněte nebo klikněte na Synchronizační službu a otevřete Service Manager synchronizace.

   

3. Chcete-li otevřít zobrazení konektorů, klikněte v nabídce Nástroje na položku Konektory.

4. V seznamu Konektory vyberte konektor, který má jako typslužbu Doména služby Active Directory Service.

5. Chcete-li otevřít dialogové okno Vlastnosti, klepněte v nabídce Akce na příkaz Vlastnosti.

6. Klikněte na Konfigurovat oddíly adresáře.

7. V seznamu Vybrat oddíly adresáře ověřte, že jsou vybrány pouze oddíly, které chcete synchronizovat.

   Upozornění

   Pokud chcete odebrat doménu z procesu synchronizace, zrušte zaškrtnutí políčka domény.

8. Dialogové okno Vlastnosti zavřete kliknutím na tlačítko OK.

Pokud jste aktualizovali filtr domény, musíte také aktualizovat následující profily spuštění:

• Full Import

• Úplná synchronizace

• Rozdílový import

• Rozdílová synchronizace

• Export

Pokud jste odebrali oddíl ze seznamu oddílů adresáře, musíte se ujistit, že se odeberou také všechny kroky profilu spuštění, které odkazují na tento oddíl.

Pokud chcete odebrat krok z profilu spuštění, proveďte následující kroky:

1. V seznamu Konektory vyberte konektor, který má jako typslužbu Doména služby Active Directory Service.

2. Chcete-li otevřít dialogové okno Konfigurovat profily spuštění pro, klepněte v nabídce Akce na tlačítko Konfigurovat profily spuštění.

3. V seznamu profilů spuštění konektoru vyberte profil spuštění, který chcete nakonfigurovat.

4. Pro každý krok v seznamu podrobností kroku proveďte následující kroky:

   1. V případě potřeby kliknutím na krok rozbalte podrobnosti o kroku.

   2. Pokud je hodnotou atributu Oddíl identifikátor GUID, klikněte na tlačítko Odstranit krok.

5. Chcete-li zavřít dialogové okno Konfigurovat profily spuštění , klepněte na tlačítko OK.

Pokud jste do seznamu oddílů adresáře přidali oddíl, musíte se ujistit, že je krok profilu spuštění pro tento oddíl dostupný pro každý z profilů spuštění v seznamu výše.

Pokud chcete přidat krok do profilu spuštění, proveďte následující kroky:

1. V seznamu Konektory vyberte konektor, který má jako typslužbu Doména služby Active Directory Service.

2. Chcete-li otevřít dialogové okno Konfigurovat profily spuštění pro, klepněte v nabídce Akce na tlačítko Konfigurovat profily spuštění.

3. V seznamu profilů spuštění konektoru vyberte profil spuštění, který chcete nakonfigurovat.

4. Chcete-li otevřít dialogové okno Konfigurovat profil spuštění , klepněte na tlačítko Nový krok.

5. Na stránce Konfigurovat krok v seznamu typů kroků vyberte typ kroku a klepněte na tlačítko Další.

6. Na stránce Konfigurace konektoru v seznamu oddílů vyberte název oddílu, který jste přidali do filtru domény.

7. Chcete-li zavřít dialogové okno Konfigurovat profil spuštění , klepněte na tlačítko Dokončit.

8. Chcete-li zavřít dialogové okno Konfigurovat profily spuštění , klepněte na tlačítko OK.

Konfigurace filtrování založeného na organizační jednotce

Konfigurace filtrování založeného na organizační jednotce

1. Přihlaste se k počítači, na kterém běží AADSync, pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.

2. Na obrazovce Start klepněte nebo klikněte na Synchronizační službu a otevřete Service Manager synchronizace.

   

3. V Service Manager synchronizace klikněte na Konektory a potom poklikejte na SourceAD.

4. Klikněte na Konfigurovat oddíly adresáře, vyberte doménu, kterou chcete konfigurovat, a potom klikněte na Kontejnery.

5. Po zobrazení výzvy zadejte přihlašovací údaje k doméně místní Active Directory doménové struktuře.

   Poznámka

   Po zobrazení dialogového okna s přihlašovacími údaji se zobrazí účet použitý k importu a exportu do služby AD DS. Pokud neznáte heslo k účtu, můžete zadat jiný účet, který chcete použít. Účet, který používáte, musí mít oprávnění ke čtení domény, která se právě konfiguruje.

6. V dialogovém okně Vybrat kontejnery zrušte zaškrtnutí organizačních jednotek, které nechcete synchronizovat s cloudovým adresářem, a klikněte na tlačítko OK.

7. Klikněte na ok na stránce Vlastnosti zdroje AD .

8. Spusťte úplný import a rozdílovou synchronizaci provedením následujících kroků:

   1. V seznamu konektorů vyberte SourceAD

   2. Pokud chcete otevřít dialogové okno Spustit konektor , vyberte Spustit z nabídky Akce .

   3. V seznamu Profily spuštění vyberte Úplný import a počkejte na dokončení profilu spuštění.

   4. Pokud chcete otevřít dialogové okno Spustit konektor , vyberte Spustit z nabídky Akce .

   5. V seznamu Profily spuštění vyberte Rozdílová synchronizace a pak počkejte, až se profil spuštění dokončí.

Konfigurace filtrování na základě atributů

Filtrování na základě atributů můžete nakonfigurovat několika způsoby. Konfigurace příchozích dat ze služby AD se doporučuje, protože tato nastavení konfigurace se budou uchovávat i po upgradu na novější verzi. Konfigurace odchozích přenosů do AAD se podporuje, ale tato nastavení se po upgradu na novější verzi neuchová a měla by se použít jenom v případě, že je potřeba se podívat na sloučený objekt v metaverze k určení filtrování.

Příchozí filtrování

Filtrování na základě příchozích dat využívá výchozí konfiguraci, kde objekty směřující do AAD musí mít atribut metaverse cloudFiltered nenastavený na hodnotu a atribut metaverse sourceObjectType nastavený na "User" nebo "Contact".

Atribut cloudFiltered by měl být nastaven na hodnotu True, pokud by objekt neměl být synchronizován s Azure AD a v jiných případech je prázdný. Tato metoda se používá, když se můžeme podívat na objekt a říci, že nechceme synchronizovat objekt (negativní filtrování).

V tomto příkladu vyfiltrujeme všechny uživatele, u kterých má extensionAttribute15 hodnotu NoSync.

1. Přihlaste se k počítači, na kterém běží AADSync, pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.

2. Otevřete Editor synchronizačních pravidel tak, že ho najdete v nabídce Start.

3. Ujistěte se, že je vybraná možnost Příchozí a klikněte na Přidat nové pravidlo.

4. Zadejte popisný název pravidla, například In z AD – User DoNotSyncFilter, vyberte správnou doménovou strukturu, uživatel jako typ objektu CS a osoba jako typ objektu MV. V části Typ propojení vyberte Připojit a v prioritě zadejte hodnotu, kterou aktuálně nepoužívá jiné synchronizační pravidlo, například 50. Klikněte na Další.

5. Ve filtru oborů klepněte na tlačítko Přidat skupinu, klepněte na tlačítko Přidat klauzuli a v atributu vyberte ExtensionAttribute15. Ujistěte se, že je operátor nastavený na EQUAL a do pole Hodnota zadejte hodnotu NoSync . Klikněte na Next (Další).

6. Ponechte pravidla připojení prázdná a klikněte na Tlačítko Další.

7. Klikněte na Přidat transformaci, vyberte FlowType to Constant, vyberte Target Attribute cloudFiltered a do textového pole Zdroj zadejte True. Kliknutím na Přidat pravidlo uložte.

8. Proveďte úplnou synchronizaci: na kartě Konektory klepněte pravým tlačítkem myši na SourceAD, klepněte na tlačítko Spustit, klepněte na tlačítko Úplná synchronizace a klepněte na tlačítko OK.

Atribut sourceObjectType zřídí uživatele nebo kontakt pro AAD, pokud má tento atribut hodnotu User nebo Contact. Vytvořením synchronizačního pravidla s vyšší prioritou, než je výchozí, můžeme přepsat výchozí chování. Tato metoda nám také dává příležitost vyjádřit kladná i záporná pravidla.

V tomto příkladu budeme synchronizovat pouze uživatele, u kterých je atribut oddělení "Sales" (Prodej) nebo je prázdný.

1. Přihlaste se k počítači, na kterém běží AADSync, pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.

2. Otevřete Editor synchronizačních pravidel tak, že ho najdete v nabídce Start.

3. Ujistěte se, že je vybraná možnost Příchozí a klikněte na Přidat nové pravidlo.

4. Zadejte popisný název pravidla, například In z AD – User DoNotSyncFilter, vyberte správnou doménovou strukturu, uživatel jako typ objektu CS a osoba jako typ objektu MV. V části Typ odkazu vyberte Připojit a v prioritě zadejte hodnotu, kterou aktuálně nepoužívá jiné synchronizační pravidlo, například 60. Klikněte na Next (Další).

5. Ponechte filtr oborů a pravidla spojení prázdná a klikněte dvakrát na Tlačítko Další .

6. Klepněte na tlačítko Přidat transformaci, vyberte FlowType do výrazu a vyberte target attribute to sourceObjectType. Do pole Zdroj zadejte následující výraz:

   IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
   

7. Kliknutím na Přidat pravidlo uložíte.

8. Proveďte úplnou synchronizaci: na kartě Konektory klepněte pravým tlačítkem myši na SourceAD, klepněte na tlačítko Spustit, klepněte na tlačítko Úplná synchronizace a klepněte na tlačítko OK. Tady je výsledek, jak by to vypadalo:

   

   Upozornění

   Všimněte si, že k určení objektů, které chcete synchronizovat s AAD, používáme kombinaci cloudFiltered a sourceObjectType .

Při použití výrazů máme velmi výkonné možnosti filtrování. Ve výše uvedeném výrazu si všimněte, že jsme zadali literál NULL , pokud oddělení není k dispozici a kdy oddělení bylo Sales. To znamená, že tento atribut nepřispěl k hodnotě a budou vyhodnocena předdefinovaná pravidla. Chceme, aby mohli určit, jestli se jedná o uživatele nebo kontakt, který bychom měli vytvořit v AAD.

Odchozí filtrování na základě

V některých případech je nutné provést filtrování až po připojení objektů v metaverse. Může se například vyžadovat, abyste se podívali na atribut pošty z doménové struktury prostředků a atribut userPrincipalName z doménové struktury účtu, abyste zjistili, jestli se má objekt synchronizovat. V těchto případech vytvoříme filtrování pravidla odchozích přenosů.

Poznámka

Tato metoda vyžaduje změnu v předefinovaných synchronizačních pravidlech. Změna rozsahu synchronizačního pravidla se podporuje, ale po upgradu na novější verzi AADSync se tato změna nemusí zachovat. Pokud používáte filtrování na základě odchozích přenosů, poznamenejte si změny, které se mají provést, a po upgradu zkontrolujte, jestli je filtrování stále tam a v případě potřeby je znovu použít.

V tomto příkladu změníme filtrování tak, aby se synchronizovali jenom uživatelé, kteří končí na adrese @contoso.come-mail i userPrincipalName.

1. Přihlaste se k počítači, na kterém běží AADSync, pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.

2. Otevřete Editor synchronizačních pravidel tak, že ho najdete v nabídce Start.

3. V části Typy pravidel klikněte na Odchozí.

4. Vyhledejte pravidlo s názvem Out to AAD – User Join. Klikněte na Upravit.

5. Klikněte na filtr oborů na levém navigačním panelu. Klepněte na tlačítko Přidat klauzuli a v atributu vyberte poštu, v operátoru vyberte ENDSWITH a v typ hodnota @contoso.com. Klikněte na Přidat klauzuli a v Attribiute vyberte userPrincipalName, v operátoru vyberte ENDSWITH a v typu hodnota @contoso.com.

6. Klikněte na Uložit.

7. Proveďte úplnou synchronizaci: na kartě Konektory klepněte pravým tlačítkem myši na SourceAD, klepněte na tlačítko Spustit, klepněte na tlačítko Úplná synchronizace a klepněte na tlačítko OK.

Synchronizace hesel s filtrováním

Viz také

Koncepty

synchronizace Azure Active Directory