Condividi tramite


Da: Sincronizzazione di Microsoft Entra Connect: Configurare il filtraggio

Usando il filtro, è possibile controllare gli oggetti visualizzati in Microsoft Entra ID dalla directory locale. La configurazione predefinita considera la maggior parte degli oggetti in tutti i domini delle foreste configurate. In generale, questa è la configurazione consigliata. Gli utenti che usano i carichi di lavoro di Microsoft 365, come Exchange Online e Skype for Business, hanno a disposizione un elenco indirizzi globale completo per inviare messaggi e-mail e chiamare chiunque. Con la configurazione predefinita possono usufruire della stessa esperienza resa disponibile da un'implementazione locale di Exchange o Lync.

Nota

Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync filtrano tutti gli oggetti di Active Directory in cui l'attributo isCriticalSystemObject è impostato su True. Verranno filtrati gli oggetti con privilegi elevati di Active Directory predefiniti, ad esempio Administrator, DomainAdmins, EnterpriseAdmins.  Questo filtraggio indica che gli ultimi due gruppi NON vengono sincronizzati con Entra ID per impostazione predefinita.

Tuttavia, altri oggetti aggiunti a questi gruppi con privilegi elevati (DomainAdmins, EnterpriseAdmins) non vengono filtrati dalla sincronizzazione nel cloud. Ad esempio, se si aggiunge un utente AD locale al gruppo EnterpriseAdmins, tale utente verrà comunque sincronizzato con Microsoft Entra ID.

In alcuni casi è tuttavia necessario apportare alcune modifiche alla configurazione predefinita. Di seguito sono riportati alcuni esempi.

  • Si esegue un progetto pilota per Azure o Microsoft 365 e si desidera solo un subset di utenti in Microsoft Entra ID. In una distribuzione pilota di dimensioni ridotte la disponibilità di un elenco indirizzi globale completo per illustrare la funzionalità non è importante.
  • Si dispone di molti account del servizio e di altri account non personali non desiderati in Microsoft Entra ID.
  • Per motivi di conformità, non si eliminano account utente locali, li si disabilita soltanto, Ma in Microsoft Entra ID si desidera che siano presenti solo gli account attivi.

Questo articolo illustra come configurare i diversi metodi di filtro.

Importante

Microsoft non supporta la modifica o l'uso del servizio di sincronizzazione di Microsoft Entra Connect ad eccezione delle azioni formalmente documentate. Ognuna di queste azioni potrebbe provocare uno stato incoerente o non supportato di Microsoft Entra Connect Sync. Microsoft pertanto non offre il supporto tecnico per distribuzioni di questo tipo.

Nozioni di base e note importanti

In Microsoft Entra Connect Sync è possibile abilitare il filtro in qualsiasi momento. Se si inizia con una configurazione predefinita del servizio di sincronizzazione della directory e successivamente si configura il filtro, gli oggetti esclusi non verranno più sincronizzati con Microsoft Entra ID. A causa di questa modifica, tutti gli oggetti in Microsoft Entra ID sincronizzati in precedenza, ma sono stati quindi filtrati vengono eliminati in Microsoft Entra ID.

Prima di iniziare ad apportare modifiche al filtro, accertarsi di disabilitare il pianificatore integrato, in modo da non esportare accidentalmente modifiche di cui non si è ancora verificata la correttezza.

Poiché il filtro può rimuovere molti oggetti contemporaneamente, prima di iniziare a esportare le modifiche in Microsoft Entra ID è opportuno verificare che i nuovi filtri siano corretti. Dopo aver completato i passaggi di configurazione, è consigliabile seguire i passaggi di verifica prima di esportare e apportare modifiche in Microsoft Entra ID.

Per evitare che si elimino numerosi oggetti per errore, la funzionalità che impedisce eliminazioni accidentali è attiva per impostazione predefinita. Se si eliminano molti oggetti a causa del filtro (500, per impostazione predefinita), è necessario seguire i passaggi di questo articolo per consentire alle eliminazioni di giungere a Microsoft Entra ID.

Se si usa una build precedente a quella di novembre 2015 (1.0.9125), si apporta una modifica a una configurazione di filtro e si usa il servizio di sincronizzazione dell'hash delle password, è necessario attivare una sincronizzazione completa di tutte le password al termine della configurazione. Per informazioni su come attivare una sincronizzazione completa di tutte le password, vedere Attivare una sincronizzazione completa di tutte le password. Se si usa la build 1.0.9125 o versione successiva, la normale azione di sincronizzazione completa consente anche di stabilire se le password devono essere sincronizzate e se questo passaggio aggiuntivo non è più necessario.

Se in Microsoft Entra ID sono stati eliminati inavvertitamente oggetti utente a causa di un errore di filtro, è possibile ricrearli in Microsoft Entra ID rimuovendo le configurazioni di filtro. e successivamente sincronizzare nuovamente le directory. Questa azione ripristina gli utenti dal Cestino in Microsoft Entra ID. Non è tuttavia possibile annullare l'eliminazione di altri tipi di oggetto. Se ad esempio si elimina accidentalmente un gruppo di sicurezza usato per inserire una risorsa in un elenco di controllo di accesso, il gruppo e gli elenchi di controllo di accesso relativi non possono essere ripristinati.

Microsoft Entra Connect elimina solo gli oggetti considerati come presenti nell'ambito. Se in Microsoft Entra ID sono presenti oggetti creati da un altro motore di sincronizzazione, ma non compresi nell'ambito, l'aggiunta del filtro non ne determina la rimozione. Se ad esempio si inizia con un server DirSync che ha creato una copia completa dell'intera directory in Microsoft Entra e si installa un nuovo server Microsoft Entra Connect Sync contemporaneamente al filtro abilitato all'inizio, Microsoft Entra Connect non rimuove gli oggetti aggiuntivi creati da DirSync.

Quando si installa o si esegue l'aggiornamento a una versione più recente di Microsoft Entra Connect, vengono conservate le configurazioni del filtro. Prima di eseguire il primo ciclo di sincronizzazione, è consigliabile verificare sempre che la configurazione non sia stata modificata inavvertitamente dopo un aggiornamento a una versione più recente.

Se si dispone di più di una foresta, è necessario applicare a ognuna le configurazioni di filtro descritte in questo argomento, presupponendo che si desideri la stessa configurazione per ogni foresta.

Disabilitare l'utilità di pianificazione della sincronizzazione

Per disabilitare l'utilità di pianificazione predefinita che attiva un ciclo di sincronizzazione ogni 30 ore, seguire questi passaggi:

  1. Aprire Windows PowerShell, importare il modulo ADSync e disabilitare l'utilità di pianificazione usando i comandi seguenti
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Apportare le modifiche descritte in questo articolo. Riabilitare successivamente l'utilità di pianificazione con il comando seguente
Set-ADSyncScheduler -SyncCycleEnabled $True

Opzioni di filtro

Allo strumento di sincronizzazione della directory è possibile applicare i tipi di configurazione di filtro seguenti:

  • Basato su gruppo: il filtro basato su un singolo gruppo può essere configurato solo durante l'installazione iniziale usando l'installazione guidata.
  • Basato su domini: consente di selezionare i domini da sincronizzare con Microsoft Entra ID. È anche possibile aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato Microsoft Entra Connect Sync.
  • Basato su unità organizzative: consente di selezionare le unità organizzative da sincronizzare con Microsoft Entra ID. Questa opzione è disponibile in tutti i tipi di oggetto nelle unità organizzative selezionate.
  • Basato su attributi: consente di filtrare gli oggetti in base ai valori di attributo relativi. È anche possibile avere filtri diversi a seconda del tipo di oggetto.

È possibile usare più opzioni di filtro contemporaneamente. È possibile ad esempio usare il filtro basato su unità organizzative per includere gli oggetti solo in un'unità organizzativa. Allo stesso tempo, è possibile usare il filtro basato su attributi per filtrare ulteriormente gli oggetti. Quando si usano più metodi di filtro, viene usato un operatore AND logico tra i filtri.

Filtro basato su dominio

Questa sezione illustra i passaggi necessari per configurare il filtro basato su dominio. Se sono stati aggiunti o rimossi domini nella foresta dopo l'installazione di Microsoft Entra Connect, è necessario aggiornare anche la configurazione del filtro.

Per modificare il filtraggio basato su domini, eseguire l'installazione guidata: filtraggio di domini e unità organizzative. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Filtro basato su unità organizzative

Per modificare il filtraggio basato su unità organizzative, eseguire l'installazione guidata: filtraggio di domini e unità organizzative. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Importante

Se si seleziona in modo esplicito un'unità organizzativa per la sincronizzazione, Microsoft Entra Connect aggiungerà il DistinguishedName di tale unità organizzativa nell'elenco di inclusione per l'ambito di sincronizzazione del dominio. Tuttavia, se in un secondo momento si rinomina tale unità organizzativa in Active Directory, il DistinguishedName dell'unità organizzativa viene modificato e di conseguenza Microsoft Entra Connect non considererà più tale unità organizzativa nell'ambito di sincronizzazione. Questo non causerà un problema immediato, ma in un passaggio di importazione completo, Microsoft Entra Connect rivaluta l'ambito di sincronizzazione ed eliminerà (ovvero obsoleto) qualsiasi oggetto fuori ambito di sincronizzazione, che può potenzialmente causare un'eliminazione di massa imprevista di oggetti in Microsoft Entra ID. Per evitare questo problema, dopo la ridenominazione di un'unità organizzativa, eseguire la procedura guidata di Microsoft Entra Connect e selezionare nuovamente l'unità organizzativa da includere di nuovo nell'ambito di sincronizzazione.

Filtro basato su attributo

Per il funzionamento corretto di questi passaggi, verificare di usare la build di novembre 2015 (1.0.9125) o versione successiva.

Importante

Microsoft consiglia di non modificare le regole predefinite create da Microsoft Entra Connect. Se si vuole modificare la regola, clonarla e disabilitare la regola originale. Apportare le modifiche necessarie alla regola clonata. Si noti che in questo modo (disabilitando la regola originale) si perderanno alcune correzioni di bug o funzionalità abilitate tramite quella regola.

Il filtro basato su attributi è il modo più flessibile per filtrare gli oggetti. È possibile usare la funzionalità di provisioning dichiarativo per controllare quasi tutti gli aspetti dei casi in cui un oggetto viene sincronizzato con Microsoft Entra ID.

È possibile applicare il filtro in ingresso da Active Directory al metaverse e il filtro in uscita dal metaverse a Microsoft Entra ID. È consigliabile applicare il filtro in ingresso perché è più semplice da gestire, mentre il filtro in uscita deve essere usato solo se è necessario per unire oggetti da più di una foresta prima che venga eseguita la valutazione.

Filtri in ingresso

I filtri in ingresso usano la configurazione predefinita in base alla quale per gli oggetti diretti a Microsoft Entra ID l'attributo metaverse cloudFiltered non deve essere impostato su un valore da sincronizzare. Se il valore di questo attributo è impostato su True, l'oggetto non è sincronizzato. Per progettazione, il valore non deve essere impostato su False. Per verificare che altre regole possano fornire un valore, questo attributo dovrebbe avere solo i valori True o NULL (assente).

Si noti che Microsoft Entra Connect è progettato per pulire gli oggetti responsabili del provisioning in Microsoft Entra ID. Se il sistema non ha effettuato il provisioning dell'oggetto in Microsoft Entra ID in passato, ma ottiene l'oggetto Microsoft Entra durante un passaggio di importazione, presuppone correttamente che questo oggetto sia stato creato in Microsoft Entra ID da un altro sistema. Microsoft Entra Connect non pulisce questi tipi di oggetti Microsoft Entra, anche quando l'attributo metaverse cloudFiltered è impostato su True.

Per determinare gli oggetti da sincronizzare o da non sincronizzare, durante l'applicazione del filtro in ingresso si usa l'ambito dove si apportano le modifiche necessarie per rispettare i requisiti dell'organizzazione. Nel modulo di ambito sono disponibili un gruppo e una clausola per determinare quando una regola di sincronizzazione è nell'ambito. Un gruppo contiene una o più clausole. Tra più clausole viene inserito un operatore AND logico e tra più gruppi un operatore OR logico.

Ecco un esempio:
Screenshot che mostra un esempio di aggiunta di filtri di ambito.
Deve essere letto come (department = IT) OR (department = Sales AND c = US).

Negli esempi e nei passaggi seguenti viene usato l'oggetto utente come esempio, ma l'uso può essere esteso a tutti i tipi di oggetto.

Negli esempi seguenti il valore di precedenza inizia con 50. Può trattarsi di un numero qualsiasi non in uso, ma deve essere minore di 100.

Filtro negativo (non sincronizzare gli elementi indicati)

Nell'esempio seguente vengono filtrati (non sincronizzati) tutti gli utenti per cui il valore di extensionAttribute15 è NoSync.

  1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User DoNotSyncFilter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 50, e quindi fare clic su Next (Avanti).
    Descrizione in ingresso 1
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute (Attributo) selezionare ExtensionAttribute15. Verificare che il valore del campo Operator (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare NoSync nella casella Value (Valore). Fare clic su Avanti.
    Ambito in ingresso 2
  6. Lasciare vuote le regole Join e quindi fare clic su Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella di testo Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
    Trasformazione in ingresso 3
  8. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Filtro positivo (sincronizzare solo gli elementi indicati)

La creazione di un filtro positivo può essere più complessa perché è necessario considerare anche gli oggetti la cui sincronizzazione non è scontata, ad esempio le sale riunioni. Verrà anche eseguito l'override del filtro predefinito nella regola In from AD - User Join predefinita. Quando si crea il filtro personalizzato, non includere oggetti di sistema critici, oggetti di conflitti di replica, cassette postali speciali e account di servizio di Microsoft Entra Connect.

L'opzione di filtro positivo richiede due regole di sincronizzazione: una regola di sincronizzazione (o più) con l'ambito corretto degli oggetti da sincronizzare e una regola di sincronizzazione catch-all che filtra gli oggetti rimanenti che non dovrebbero essere sincronizzati.

Nell'esempio seguente vengono sincronizzati solo gli oggetti per i quali l'attributo department ha il valore Sales.

  1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Sales sync". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 51, e quindi fare clic su Next (Avanti).
    Destinazione in ingresso 4
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute (Attributo) selezionare department. Verificare che il valore del campo Operato (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare Sales nella casella Value (Valore). Fare clic su Avanti.
    Ambito in ingresso 5
  6. Lasciare vuote le regole Join e quindi fare clic su Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare False. Fare clic su Add (Aggiungi) per salvare la regola.
    Trasformazione in ingresso 6
    Questo è un caso particolare in cui cloudFiltered viene impostato in modo esplicito su False.
  8. Ora è necessario creare la regola di sincronizzazione catch-all. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Catch-all filter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 99. È stato selezionato un valore di precedenza più alto (precedenza inferiore) rispetto alla regola di sincronizzazione precedente, ma è stato lasciato anche spazio per aggiungere in seguito più regole di sincronizzazione del filtro quando si vuole avviare la sincronizzazione di altri reparti. Fare clic su Avanti.
    Descrizione in ingresso 7
  9. Lasciare vuoto Scoping filter e fare clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti.
  10. Lasciare vuote le regole Join e quindi fare clic su Next.
  11. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
    Trasformazione in ingresso 3
  12. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Se necessario, è possibile creare più regole del primo tipo per includere altri oggetti nella sincronizzazione.

Filtri in uscita

In alcuni casi è necessario applicare il filtro solo dopo aver unito gli oggetti al metaverse. Per determinare se è necessario sincronizzare un oggetto, potrebbe ad esempio essere opportuno cercare l'attributo mail nella foresta di risorse e l'attributo userPrincipalName nella foresta di account. In questi casi, vengono creati i filtri nella regola in uscita.

In questo esempio si modifica il filtro in modo che vengano sincronizzati solo gli utenti per cui entrambi gli attributi mail e userPrincipalName terminano in @contoso.com:

  1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. In Rules Type (Tipo di regola) fare clic su Outbound (In uscita).
  4. A seconda della versione di Connect in uso, trovare la regola denominata Verso Microsoft Entra ID - Aggiunta di utenti o Verso Microsoft Entra ID - Aggiunta di utenti SOAInAD e fare clic su Modifica.
  5. Nel popup selezionare Yes (Sì) per creare una copia della regola.
  6. Nella pagina Description (Descrizione) modificare il campo Precedence (Precedenza) su un valore non usato, ad esempio 50.
  7. Fare clic su Scoping filter (Filtro ambito) nel riquadro di spostamento a sinistra e quindi fare clic su Add clause (Aggiungi clausola). In Attribute (Attributo) selezionare mail. In Operator (Operatore) selezionare ENDSWITH (TERMINACON). In Valoredigitare @contoso.com, quindi fare clic su Aggiungi clausola. In Attribute (Attributo) selezionare userPrincipalName. In Operator (Operatore) selezionare ENDSWITH (TERMINACON). In Valoredigitare @contoso.com.
  8. Fare clic su Salva.
  9. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Applicare e verificare le modifiche

Dopo aver apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti nel sistema. È possibile anche che gli oggetti non presenti attualmente nel motore di sincronizzazione debbano essere elaborati e che il motore di sincronizzazione debba leggere di nuovo il sistema di origine per verificarne il contenuto.

Se la configurazione è stata modificata usando il filtro basato su dominio o su unità organizzativa, è necessario eseguire un'operazione Full import (Importazione completa), seguita da un'operazione Delta synchronization (Sincronizzazione delta).

Se la configurazione è stata modificata usando il filtro basato su attributi, è necessario eseguire un'operazione Full synchronization (Sincronizzazione completa).

Effettua i passaggi seguenti:

  1. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.
  2. Seleziona Connettori. Nell'elenco Connectors (Connettori) selezionare il connettore in cui in precedenza è stata apportata una modifica alla configurazione. In Actions (Azioni) selezionare Run (Esegui).
    Esecuzione del connettore
  3. In Run profiles (Profili di esecuzione) selezionare l'operazione indicata nella sezione precedente. Se è necessario eseguire due azioni, eseguire la seconda dopo il completamento della prima. Il valore della colonna State (Stato) è impostato su Idle (Inattivo) per il connettore selezionato.

Dopo la sincronizzazione, tutte le modifiche vengono inserite temporaneamente per essere esportate. Prima di apportare effettivamente le modifiche in Microsoft Entra ID, è opportuno verificare che siano tutte corrette.

  1. Avviare un prompt dei comandi e passare a %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Eseguire csexport "Name of Connector" %temp%\export.xml /f:x.
    Il nome del connettore si trova nel servizio di sincronizzazione. Ha un nome simile a "contoso.com – Microsoft Entra ID" per Microsoft Entra ID.
  3. Eseguire CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. A questo punto si avrà un file denominato export.csv in %temp%, che può essere esaminato in Microsoft Excel. Questo file contiene tutte le modifiche in fase di esportazione.
  5. Apportare le modifiche necessarie ai dati o alla configurazione ed eseguire di nuovo questi passaggi (importazione, sincronizzazione e verifica) finché le modifiche che verranno esportate non saranno quelle previste.

Quando si è soddisfatti, esportare le modifiche in Microsoft Entra ID.

  1. Seleziona Connettori. Nell'elenco Connettori selezionare Microsoft Entra Connector. In Actions (Azioni) selezionare Run (Esegui).
  2. In Run profiles (Profili di esecuzione) selezionare Export (Esporta).
  3. Se le modifiche della configurazione comportano l'eliminazione di molti oggetti, viene visualizzato un errore nell'esportazione se il numero è superiore alla soglia configurata (500 per impostazione predefinita). Se viene visualizzato questo errore, è necessario disabilitare temporaneamente la funzionalità che impedisce eliminazioni accidentali.

A questo punto è possibile abilitare di nuovo l'utilità di pianificazione.

  1. Avviare Utilità di pianificazione dal menu Start.
  2. In Libreria Utilità di pianificazione trovare l'attività denominata Azure AD Sync Scheduler, fare clic con il pulsante destro del mouse e scegliere Abilita.

Filtri basati sui gruppi

È possibile configurare il filtro basato su gruppi la prima volta che si installa Microsoft Entra Connect tramite l'installazione personalizzata. Tale filtro è progettato per una distribuzione pilota in cui si desidera solo un piccolo gruppo di oggetti da sincronizzare. Dopo essere stato disabilitato, il filtro basato su gruppi non può essere abilitato nuovamente. L'uso del filtro basato su gruppi non è supportato in una configurazione personalizzata, ma è supportato solo per configurare questa funzionalità tramite l'installazione guidata. Dopo aver completato il progetto pilota, usare solo una delle altre opzioni di filtro descritte in questo argomento. Se si usa un filtro basato su unità organizzative insieme al filtro basato su gruppi, è necessario includere le unità organizzative in cui si trovano il gruppo e i relativi membri.

Quando si sincronizzano più foreste di AD, è possibile configurare i filtri basati sui gruppi specificando un gruppo diverso per ogni istanza di AD Connector. Per sincronizzare un utente in una foresta di AD e lo stesso utente dispone di uno o più oggetti corrispondenti nelle altre foreste di AD, è necessario assicurarsi che l'oggetto utente e tutti gli oggetti corrispondenti siano inclusi nell'ambito de filtro basati sui gruppi. Ad esempio:

  • un utente di una foresta dispone di un oggetto entità di protezione esterna corrispondente in un'altra foresta. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

  • Un utente in una foresta ha un account della risorsa corrispondente, ad esempio una cassetta postale collegata, in un'altra foresta. Per di più Microsoft Entra Connect è stato configurato per collegare l'utente all'account della risorsa. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

  • Un utente in una foresta dispone di un contatto di posta corrispondente in un'altra foresta. Per di più Microsoft Entra Connect è stato configurato per collegare l'utente al contatto e-mail. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

Passaggi successivi