Compartir a través de


Microsoft Entra Connect Sync: Configuración del filtrado

Con el filtrado puede controlar qué objetos aparecen en Id. de Microsoft Entra desde el directorio local. La configuración predeterminada acepta la mayoría de los objetos en todos los dominios de los bosques configurados. Por lo general, esta configuración es la recomendada. Los usuarios con cargas de trabajo de Microsoft 365, como Exchange Online y Skype Empresarial, se benefician de una lista global de direcciones completa para poder enviar correo electrónico y llamar a todos los integrantes. Con la configuración predeterminada, obtendrían la misma experiencia que con una implementación local de Exchange o Lync.

Nota:

Microsoft Entra Cloud Sync y Microsoft Entra Connect Sync filtran los objetos de Active Directory en los que el atributo isCriticalSystemObject está establecido en True. Esto filtrará los objetos de privilegios elevados de AD integrados, como Administrator, DomainAdmins y EnterpriseAdmins.  Este filtrado significa que los dos últimos grupos NO se sincronizan con Entra ID de forma predeterminada.

Sin embargo, otros objetos que se agregan a estos grupos con privilegios elevados (DomainAdmins, EnterpriseAdmins) no se filtran y se eliminan de la sincronización con la nube. Por ejemplo, si agrega un usuario de AD local al grupo EnterpriseAdmins, este se sincronizará con Microsoft Entra ID.

Aun así, en algunos casos, se necesitan algunos cambios en la configuración predeterminada. Estos son algunos ejemplos:

  • Ejecuta un piloto para Azure o Microsoft 365 y solo quiere un subconjunto de usuarios en Id. Microsoft Entra. En el pequeño proyecto piloto, no es necesaria una lista global de direcciones completa para demostrar la funcionalidad.
  • Tiene numerosas cuentas de servicio y otras de carácter no personal que no quiere en Id. de Microsoft Entra.
  • Por motivos de cumplimiento, no elimina ninguna cuenta de usuario local. Solo las deshabilita. Pero solo quiere encontrar las cuentas activas en Id. de Microsoft Entra.

En este artículo, se trata cómo configurar los distintos métodos de filtrado.

Importante

Microsoft no admite la modificación ni el funcionamiento de Microsoft Entra Connect Sync con acciones distintas a estas que se documentan formalmente. Cualquiera de estas acciones pueden provocar un estado incoherente o incompatible de Microsoft Entra Connect Sync. Como resultado, Microsoft no puede proporcionar soporte técnico para estas implementaciones.

Conceptos básicos y notas importantes

En Microsoft Entra Connect Sync, puede habilitar el filtrado en cualquier momento. Si comienza con una configuración predeterminada de la sincronización de directorios y después configura el filtrado, los objetos que se filtren ya no se sincronizan con Id. de Microsoft Entra. Debido a este cambio, en Id. de Microsoft Entra se eliminan los objetos de Id. de Microsoft Entra que se sincronizaron previamente pero que se filtraron después.

Antes de empezar a realizar cambios en el filtrado, asegúrese de deshabilitar el programador integrado para no exportar por error cambios cuya corrección aún no se ha comprobado.

Como el filtrado puede quitar varios objetos al mismo tiempo, querrá asegurarse de que los nuevos filtros sean correctos antes de exportar los cambios a Id. de Microsoft Entra. Después de completar los pasos de configuración, se recomienda encarecidamente seguir los pasos de comprobación antes de exportar y realizar cambios en Id. de Microsoft Entra.

Para evitar eliminar muchos objetos por error, la característica para evitar eliminaciones por error está activada de forma predeterminada. Si elimina muchos objetos debido al filtrado (de forma predeterminada, 500), debe seguir los pasos descritos en este artículo para permitir que las eliminaciones se reflejen en Id. de Microsoft Entra.

Si utiliza una compilación anterior a la de noviembre de 2015 (1.0.9125), realice un cambio en la configuración de un filtro y utilice la sincronización de hash de contraseñas; una vez terminada la configuración, deberá desencadenar una sincronización completa de todas las contraseñas. Para conocer los pasos para desencadenar una sincronización completa de las contraseñas, consulte Desencadenamiento de una sincronización completa de todas las contraseñas. Si usa la compilación 1.0.9125 o una posterior, la acción de sincronización completa normal también calcula si se deben sincronizar las contraseñas, por lo que no se requiere este paso adicional.

Si los objetos de usuario se eliminaron involuntariamente en Id. de Microsoft Entra por un error de filtrado, puede volver a crearlos en Id. de Microsoft Entra al quitar las configuraciones de filtrado. A continuación, podrá volver a sincronizar los directorios. Esta acción restaura los usuarios de la papelera de reciclaje en Id. de Microsoft Entra. Sin embargo, no se pueden recuperar otros tipos de objeto. Por ejemplo, si elimina por error un grupo de seguridad que se usara para incluir un recurso en una ACL, no podrá recuperar ni el grupo ni sus ACL.

Id. de Microsoft Entra solo elimina objetos que alguna vez haya considerado dentro del ámbito. Si hay objetos en Id. de Microsoft Entra que se crearon con otro motor de sincronización y estos objetos no están en el ámbito, no se quitarán al agregar el filtrado. Por ejemplo, si comienza con un servidor DirSync que creó una copia completa de todo el directorio en Id. de Microsoft Entra e instala un nuevo servidor de Microsoft Entra Connect Sync en paralelo con el filtrado habilitado desde el principio,Id. de Microsoft Entra no quita los objetos adicionales creados por DirSync.

La configuración de filtrado se conserva cuando instale o actualice a una versión más reciente de Microsoft Entra Connect. Es siempre un procedimiento recomendado comprobar que la configuración no se haya cambiado por error después de una actualización a una nueva versión antes de ejecutar el primer ciclo de sincronización.

Si tiene más de un bosque, debe aplicar las configuraciones de filtrado que se describen en este tema a cada bosque (suponiendo que quiera la misma configuración para todos).

Deshabilitación del programador de sincronización

Para deshabilitar el programador integrado que desencadena un ciclo de sincronización cada 30 horas, siga estos pasos:

  1. Abra Windows PowerShell, importe el módulo ADSync y deshabilite el programador mediante los siguientes comandos
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Realice los cambios que se documentan en este artículo. A continuación, vuelva a habilitar el programador con el siguiente comando.
Set-ADSyncScheduler -SyncCycleEnabled $True

Opciones de filtrado

Puede aplicar los siguientes tipos de configuración de filtrado a la herramienta de sincronización de directorios:

  • Por grupo: el filtrado por grupo único solo se puede configurar durante la instalación inicial con el Asistente para instalación.
  • Por dominio: mediante esta opción, puede seleccionar los dominios que se sincronizan con Id. de Microsoft Entra. También puede agregar y quitar dominios de la configuración del motor de sincronización al realizar cambios en la infraestructura local después de instalar Microsoft Entra Connect Sync.
  • Por unidad organizativa (UO): mediante esta opción, puede seleccionar las unidades organizativas que se sincronizarán con Id. de Microsoft Entra. Esta opción está en todos los tipos de objeto de las unidades organizativas seleccionadas.
  • Por atributo: esta opción permite filtrar objetos en función de los valores de sus atributos. También puede tener filtros diferentes para distintos tipos de objetos.

Puede usar varias opciones de filtrado al mismo tiempo. Por ejemplo, puede usar el filtrado por unidad organizativa para incluir solo los objetos de una unidad organizativa. Al mismo tiempo, puede usar el filtrado por atributo para filtrar los objetos aún más. Cuando se usan varios métodos de filtrado, los filtros utilizan el operador lógico "AND" entre los filtros.

Filtrado basado en dominios

En esta sección se proporcionan los pasos para configurar el filtro de dominios. Si agregó o quitó dominios del bosque después de instalar Microsoft Entra Connect, también tiene que actualizar la configuración del filtrado.

Para cambiar el filtrado basado en dominio, ejecute el Asistente para la instalación: Filtrado de dominios y unidades organizativas. El Asistente para instalación automatiza todas las tareas que se documentan en este tema.

Filtrado por unidad organizativa

Para cambiar el filtrado basado en unidad organizativa, ejecute el Asistente para la instalación: Filtrado de dominios y unidades organizativas. El Asistente para instalación automatiza todas las tareas que se documentan en este tema.

Importante

Si selecciona explícitamente una unidad organizativa para la sincronización, Microsoft Entra Connect agregará el elemento DistinguishedName de esa unidad organizativa en la lista de inclusión del ámbito de sincronización del dominio. Sin embargo, si posteriormente cambia el nombre de esa unidad organizativa en Active Directory, se cambiará también el elemento DistinguishedName de la unidad organizativa y, por lo tanto, Microsoft Entra Connect ya no tendrá en cuenta esa unidad organizativa en el ámbito de sincronización. Esto no provocará un problema inmediato, pero, tras un paso de importación completo, Microsoft Entra Connect volverá a evaluar el ámbito de sincronización y eliminará (es decir, dejará obsoletos) los objetos que se encuentren fuera del ámbito de sincronización, lo que podría provocar una eliminación masiva inesperada de objetos en Microsoft Entra ID. Para evitar este problema, después de cambiar el nombre de una unidad organizativa, ejecute el Asistente para Microsoft Entra Connect y vuelva a seleccionar la unidad organizativa que debe incluirse de nuevo en el ámbito de sincronización.

Filtrado basado en atributos

Asegúrese de usar la compilación de noviembre de 2015 (1.0.9125) o una posterior para que estos pasos funcionen.

Importante

Microsoft recomienda no modificar las reglas predeterminadas creadas por Microsoft Entra Connect. Si desea modificar la regla, clónela y deshabilite la regla original. Realice cualquier cambio en la regla clonada. Tenga en cuenta que al hacerlo (mediante la deshabilitación de la regla original) se perderá cualquier corrección de errores o características habilitadas mediante esa regla.

El filtrado por atributo es la manera más flexible de filtrar objetos. Puede usar la capacidad del aprovisionamiento declarativo para controlar prácticamente todos los aspectos de la sincronización de un objeto con Id. de Microsoft Entra.

Puede aplicar filtrado entrante desde Active Directory hacia el metaverso, y saliente, desde el metaverso hacia Id. de Microsoft Entra. Se recomienda aplicar filtrado entrante, ya que es el más fácil de mantener. El filtrado saliente solo debe usarse si es necesario para unir objetos de más de un bosque para realizar la evaluación.

Filtrado entrante

El filtrado entrante utiliza la configuración predeterminada en la que los objetos que se dirigen a Id. de Microsoft Entra no deben tener el atributo de metaverso cloudFiltered establecido en un valor que se vaya a sincronizar. Si el valor de este atributo está establecido en True, el objeto no se sincroniza. No debería estar establecido en False, por diseño. Para asegurarse de que otras reglas tengan la capacidad de aportar un valor, este atributo solo debería tener los valores True o NULL (ausente).

Tenga en cuenta que Microsoft Entra Connect está diseñado para limpiar los objetos que era responsable de aprovisionar en Id. de Microsoft Entra. Si el sistema no ha aprovisionado el objeto en Id. de Microsoft Entra en el pasado, pero obtiene el objeto de Microsoft Entra durante un paso de importación, supone correctamente que otro sistema creó este objeto en Id. de Microsoft Entra. Microsoft Entra Connect no limpia estos tipos de objetos de Microsoft Entra, incluso cuando el atributo de metaverso cloudFiltered está establecido en True.

En el filtrado entrante se utilizará el ámbito para determinar qué objetos se sincronizan y cuáles no. Aquí realizará ajustes para satisfacer los requisitos de su organización. El módulo de ámbito cuenta con un grupo y una cláusula para determinar cuándo una regla de sincronización está dentro de él. Un grupo contiene una o varias cláusulas. Existe un operador lógico AND entre varias cláusulas y un operador lógico OR entre varios grupos.

Veamos un ejemplo:
Una captura de pantalla en la que se muestra un ejemplo de cómo agregar filtros de ámbito.
Se debe leer como (departamento = TI) O BIEN (departamento = Ventas Y c = Estados Unidos) .

En los ejemplos y los pasos siguientes, usaremos el objeto de usuario como ejemplo, pero esto sirve para todo tipo de objetos.

En los ejemplos siguientes, el valor de precedencia empieza por 50. Puede ser cualquier número no usado, pero debe ser menor que 100.

Filtrado negativo: "no sincronizar estos"

En el siguiente ejemplo, filtraremos (no sincronizaremos) todos los usuarios en los que extensionAttribute15 tenga el valor NoSync.

  1. Inicie sesión en el servidor donde se ejecuta Microsoft Entra Connect Sync con una cuenta que pertenezca al grupo de seguridad ADSyncAdmins.
  2. Inicie el Synchronization Rules Editor (Editor de reglas de sincronización) del menú Inicio.
  3. Asegúrese de que Entrante esté seleccionado y haga clic en Agregar nueva regla.
  4. Asigne a la regla un nombre descriptivo, como "Entrante desde AD – Usuario FiltroNoSincronizar". Seleccione el bosque correcto: Usuario para CS object type (Tipo de objeto de sistema conectado) y Persona para MV object type (Tipo de objeto de metaverso). En Tipo de vínculo, seleccione Unir. En Precedencia, escriba un valor que no use actualmente ninguna otra regla de sincronización (por ejemplo, 50) y haga clic en Siguiente.
    Descripción de entrante 1
  5. En Scoping filter (Filtro de ámbito), haga clic en Agregar grupo y en Agregar cláusula. En Atributo, seleccione ExtensionAttribute15. Asegúrese de que el Operador esté configurado en EQUAL y escriba el valor NoSync en el cuadro Valor. Haga clic en Next.
    Ámbito de entrante 2
  6. Deje las reglas de unión vacías y, después, haga clic en Siguiente.
  7. Haga clic en Add Transformation (Agregar transformación), establezca FlowType en Constante y Atributo de destino en cloudFiltered. En el cuadro de texto Origen, escriba True. Haga clic en Agregar para guardar la regla.
    Transformación de entrante 3
  8. Para completar la configuración, debe ejecutar una sincronización completa. Continúe leyendo la sección Aplicación y comprobación de los cambios.

Filtrado positivo: "solo sincronizar estos"

Expresar el filtrado positivo puede ser más complicado, ya que también se deben considerar también objetos que no sea obvio que se vayan a sincronizar, como las salas de conferencias. También va a invalidar el filtro predeterminado de la regla original In from AD - User Join (Dentro desde AD: unión de usuario). Cuando cree un filtro personalizado, asegúrese de no incluir objetos críticos del sistema, objetos de conflictos de replicación, buzones especiales y las cuentas de servicio de Microsoft Entra Connect.

La opción de filtrado positivo requiere dos reglas de sincronización: una regla (o más) con el ámbito correcto de los objetos que se van a sincronizar y una regla catch-all que filtra y elimina los objetos restantes que no se deben sincronizar.

En el ejemplo siguiente, solo sincronizaremos los objetos de usuario en los que el atributo departamento tenga el valor Ventas.

  1. Inicie sesión en el servidor donde se ejecuta Microsoft Entra Connect Sync con una cuenta que pertenezca al grupo de seguridad ADSyncAdmins.
  2. Inicie el Synchronization Rules Editor (Editor de reglas de sincronización) del menú Inicio.
  3. Asegúrese de que Entrante esté seleccionado y haga clic en Agregar nueva regla.
  4. Asigne a la regla un nombre descriptivo, como "Entrante desde AD – Usuario Ventas sincronizar". Seleccione el bosque correcto: Usuario para CS object type (Tipo de objeto de sistema conectado) y Persona para MV object type (Tipo de objeto de metaverso). En Tipo de vínculo, seleccione Unir. En Precedencia, escriba un valor que no use actualmente ninguna otra regla de sincronización (por ejemplo, 51) y haga clic en Siguiente.
    Descripción de entrante 4
  5. En Scoping filter (Filtro de ámbito), haga clic en Agregar grupo y en Agregar cláusula. En Atributo, seleccione department. Asegúrese de que el Operador esté configurado en EQUAL y escriba el valor Sales en el cuadro Valor. Haga clic en Next.
    Ámbito de entrante 5
  6. Deje las reglas de unión vacías y, después, haga clic en Siguiente.
  7. Haga clic en Add Transformation (Agregar transformación), establezca FlowType en Constante y Atributo de destino en cloudFiltered. En el cuadro Origen, escriba False. Haga clic en Agregar para guardar la regla.
    Transformación de entrante 6
    Este es un caso especial en el que estableceremos cloudFiltered explícitamente en False.
  8. Ahora tenemos que crear la regla de sincronización de comodín. Asigne a la regla un nombre descriptivo, como "Entrante desde AD – Usuario Filtro de comodín". Seleccione el bosque correcto: Usuario para CS object type (Tipo de objeto de sistema conectado) y Persona para MV object type (Tipo de objeto de metaverso). En Tipo de vínculo, seleccione Unir. En Precedencia, escriba un valor que no use actualmente ninguna otra regla de sincronización (por ejemplo, 99). Ha seleccionado un valor de precedencia mayor (menor prioridad) que la regla de sincronización anterior. Pero también ha dejado algo de espacio para poder agregar más reglas de filtrado de sincronización más tarde, cuando quiera empezar a sincronizar departamentos adicionales. Haga clic en Next.
    Descripción de entrante 7
  9. Deje Scoping filter (Filtro de ámbito) vacío y haga clic en Siguiente. Un filtro vacío indica que la regla se aplica a todos los objetos.
  10. Deje las reglas de unión vacías y, después, haga clic en Siguiente.
  11. Haga clic en Add Transformation (Agregar transformación), establezca FlowType en Constante y Atributo de destino en cloudFiltered. En el cuadro Origen, escriba True. Haga clic en Agregar para guardar la regla.
    Transformación de entrante 3
  12. Para completar la configuración, debe ejecutar una sincronización completa. Continúe leyendo la sección Aplicación y comprobación de los cambios.

Si es necesario, puede crear más reglas del primer tipo en las que se incluyan más objetos para la sincronización.

Filtrado saliente

En algunos casos es necesario realizar el filtrado después de que los objetos se hayan unido en metaverso. Por ejemplo, para determinar si debe sincronizarse un objeto, podría ser necesario observar el atributo mail del bosque de recursos y el atributo userPrincipalName del bosque de cuentas. En estos casos, se crea el filtrado en la regla de salida.

En este ejemplo, se cambia el filtrado de manera que se sincronicen solo los usuarios cuyos mail y userPrincipalName terminen en @contoso.com:

  1. Inicie sesión en el servidor donde se ejecuta Microsoft Entra Connect Sync con una cuenta que pertenezca al grupo de seguridad ADSyncAdmins.
  2. Inicie el Synchronization Rules Editor (Editor de reglas de sincronización) del menú Inicio.
  3. En Rules Type (Tipo de reglas), haga clic en Saliente.
  4. Según la versión de Connect que utilice, busque la regla llamada Salida a Id. de Microsoft Entra: unión de usuarios o la regla Salida a Id. de Microsoft Entra: unión de usuarios SOAInAD y haga clic en Editar.
  5. En el elemento emergente, responda para crear una copia de la regla.
  6. En la página Descripción, cambie la Precedencia a un valor sin usar, como 50.
  7. Haga clic en Scoping filter (Filtro de ámbito) en el panel de navegación izquierdo y haga clic en Agregar cláusula. En Atributo, seleccione mail. En Operador, seleccione ENDSWITH. En Valor, escriba contoso.com y haga clic en Agregar cláusula. En Atributo, seleccione userPrincipalName. En Operador, seleccione ENDSWITH. En Valor, escriba @contoso.com.
  8. Haga clic en Save(Guardar).
  9. Para completar la configuración, debe ejecutar una sincronización completa. Continúe leyendo la sección Aplicación y comprobación de los cambios.

Aplicación y comprobación de los cambios

Una vez realizados los cambios de configuración, debe aplicarlos a los objetos ya presentes en el sistema. También es posible que se deban procesar objetos que no estén en el motor de sincronización (y que el motor de sincronización necesite volver a leer el sistema de origen para comprobar el contenido).

Si cambió la configuración mediante el filtrado por dominio o unidad organizativa, deberá realizar una Importación completa seguida de una Sincronización diferencial.

Si cambió la configuración mediante el filtrado por atributo, deberá llevar a cabo una Sincronización completa.

Siga estos pasos:

  1. Inicie el servicio de sincronización desde el menú Inicio.
  2. Seleccione Conectores. En la lista Conectores, elija el conector en el que realizó un cambio de configuración antes. En Acciones, seleccione Ejecutar.
    Ejecución de conector
  3. En Run profiles(Perfiles de ejecución), seleccione la operación mencionada en la sección anterior. Si tiene que ejecutar dos acciones, ejecute la segunda una vez haya terminado la primera. (La columna State (Estado) es Inactivo para el conector seleccionado).

Después de la sincronización, todos los cambios se almacenan provisionalmente para exportarlos. Antes de realizar los cambios en Id. de Microsoft Entra, querrá comprobar que todos sean correctos.

  1. Inicie un símbolo del sistema y vaya a %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Ejecute csexport "Name of Connector" %temp%\export.xml /f:x.
    El nombre del conector puede encontrarse en el servicio de sincronización. Tiene un nombre similar a "contoso.com – Microsoft Entra ID" para Id. de Microsoft Entra.
  3. Ejecute CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Ahora tiene un archivo en %temp% denominado export.csv que se puede examinar en Microsoft Excel. Este archivo contiene todos los cambios que se van a exportar.
  5. Realice los cambios necesarios en los datos o la configuración y ejecute estos pasos de nuevo (importación y sincronización y comprobación) hasta que los cambios que se vayan a exportar sean los previstos.

Cuando esté satisfecho, exporte los cambios a Id. de Microsoft Entra.

  1. Seleccione Conectores. En la lista Connectors, seleccione Microsoft Entra Connector. En Acciones, seleccione Ejecutar.
  2. En Run profiles (Perfiles de ejecución), seleccione Exportar.
  3. Si los cambios de configuración van a eliminar muchos objetos, verá un error al exportar si el número es mayor que el umbral configurado (de forma predeterminada, 500). Si aparece este error, deberá deshabilitar temporalmente la característica para evitar eliminaciones por error.

Ahora es el momento de volver a habilitar el programador.

  1. Abra el Programador de tareas en el menú Inicio.
  2. Directamente en Biblioteca del Programador de tareas, busque la tarea Programador de sincronización de Azure AD, haga clic con el botón derecho en ella y seleccione Habilitar.

Filtrado basado en grupo

Puede configurar el filtrado por grupo la primera vez que instale Microsoft Entra Connect con la instalación personalizada. Se ha diseñado para una implementación piloto donde se vaya a sincronizar solo un pequeño conjunto de objetos. Cuando deshabilite el filtrado por grupo, no lo podrá volver a habilitar. El filtrado por grupo no es compatible con la configuración personalizada. Solo se admite para configurar esta característica con el Asistente para instalación. Cuando haya completado la prueba piloto, utilice una de las opciones de filtrado de este tema. Si se usa el filtrado por UO junto con el filtrado basado en grupo, se deben incluir las unidades organizativas donde se encuentran el grupo y sus miembros.

Al sincronizar varios bosques de AD, puede configurar el filtrado basado en grupos mediante la especificación de un grupo diferente para cada conector de AD. Si desea sincronizar un usuario en un bosque de AD y el mismo usuario tiene uno o varios objetos en otros bosques de AD, debe asegurarse de que el objeto de usuario y todos sus objetos correspondientes se encuentran en el ámbito de filtrado basado en grupos. Por ejemplo:

  • Tiene un usuario en un bosque que tiene un objeto de FSP (entidad de seguridad externa) correspondiente en otro bosque. Ambos objetos deben estar dentro del ámbito de filtrado basado en grupos. De lo contrario, el usuario no se sincronizará con Id. de Microsoft Entra.

  • Tiene un usuario en un bosque que, a su vez, tiene una cuenta de recurso correspondiente (como un buzón vinculado) en otro bosque. Además, ha configurado Microsoft Entra Connect para vincular el usuario con la cuenta del recurso. Ambos objetos deben estar dentro del ámbito de filtrado basado en grupos. De lo contrario, el usuario no se sincronizará con Id. de Microsoft Entra.

  • Tiene un usuario en un bosque que tiene un contacto de correo correspondiente en otro bosque. Además, ha configurado Microsoft Entra Connect para vincular el usuario con el contacto de correo. Ambos objetos deben estar dentro del ámbito de filtrado basado en grupos. De lo contrario, el usuario no se sincronizará con Id. de Microsoft Entra.

Pasos siguientes