Sincronizzazione di Microsoft Entra Connect: configurare il filtraggio

Usando il filtro, è possibile controllare gli oggetti visualizzati in Microsoft Entra ID dalla directory locale. La configurazione predefinita considera la maggior parte degli oggetti in tutti i domini delle foreste configurate. In generale, questa è la configurazione consigliata. Gli utenti che usano i carichi di lavoro di Microsoft 365, come Exchange Online e Skype for Business, hanno a disposizione un elenco indirizzi globale completo per inviare messaggi e-mail e chiamare chiunque. Con la configurazione predefinita possono usufruire della stessa esperienza resa disponibile da un'implementazione locale di Exchange o Lync.

Nota

Microsoft Entra Cloud Sync e Microsoft Entra Connect Sync filtrano tutti gli oggetti di Active Directory in cui l'attributo isCriticalSystemObject è impostato su True. Verranno filtrati gli oggetti con privilegi elevati di Active Directory predefiniti, ad esempio Administrator, DomainAdmins, EnterpriseAdmins.  Questo filtraggio indica che gli ultimi due gruppi NON vengono sincronizzati con Entra ID per impostazione predefinita.

Tuttavia, altri oggetti aggiunti a questi gruppi con privilegi elevati (DomainAdmins, EnterpriseAdmins) non vengono filtrati dalla sincronizzazione nel cloud. Ad esempio, se si aggiunge un utente AD locale al gruppo EnterpriseAdmins, tale utente verrà comunque sincronizzato con Microsoft Entra ID.

In alcuni casi è tuttavia necessario apportare alcune modifiche alla configurazione predefinita. Di seguito sono riportati alcuni esempi.

• Si esegue un progetto pilota per Azure o Microsoft 365 e si desidera solo un subset di utenti in Microsoft Entra ID. In una distribuzione pilota di dimensioni ridotte la disponibilità di un elenco indirizzi globale completo per illustrare la funzionalità non è importante.
• Si dispone di molti account del servizio e di altri account non personali non desiderati in Microsoft Entra ID.
• Per motivi di conformità, non si eliminano account utente locali, Li disabiliti soltanto. Ma in Microsoft Entra ID si desidera che siano presenti solo gli account attivi.

Questo articolo illustra come configurare i diversi metodi di filtro.

Importante

Microsoft non supporta la modifica o l'uso del servizio di sincronizzazione di Microsoft Entra Connect ad eccezione delle azioni formalmente documentate. Ognuna di queste azioni potrebbe provocare uno stato incoerente o non supportato di Microsoft Entra Connect Sync. Microsoft pertanto non offre il supporto tecnico per distribuzioni di questo tipo.

Nozioni di base e note importanti

In Microsoft Entra Connect Sync è possibile abilitare il filtro in qualsiasi momento. Se si inizia con una configurazione predefinita del servizio di sincronizzazione della directory e successivamente si configura il filtro, gli oggetti esclusi non verranno più sincronizzati con Microsoft Entra ID. A causa di questa modifica, tutti gli oggetti in Microsoft Entra ID sincronizzati in precedenza, ma sono stati quindi filtrati vengono eliminati in Microsoft Entra ID.

Prima di iniziare a apportare modifiche al filtraggio, assicurarsi di disabilitare l'utilità di pianificazione predefinita o passare il server in modalità di staging, in modo da non esportare accidentalmente le modifiche che non sono ancora state verificate come corrette.

Poiché il filtro può rimuovere molti oggetti contemporaneamente, prima di iniziare a esportare le modifiche in Microsoft Entra ID è opportuno verificare che i nuovi filtri siano corretti. Dopo aver completato i passaggi di configurazione, è consigliabile seguire i passaggi di verifica prima di esportare e apportare modifiche in Microsoft Entra ID.

Per evitare che si elimino numerosi oggetti per errore, la funzionalità che impedisce eliminazioni accidentali è attiva per impostazione predefinita. Se si eliminano molti oggetti a causa del filtro (500, per impostazione predefinita), è necessario seguire i passaggi di questo articolo per consentire alle eliminazioni di giungere a Microsoft Entra ID.

Se si usa una build precedente a quella di novembre 2015 (1.0.9125), si apporta una modifica a una configurazione di filtro e si usa il servizio di sincronizzazione dell'hash delle password, è necessario attivare una sincronizzazione completa di tutte le password al termine della configurazione. Per informazioni su come attivare una sincronizzazione completa di tutte le password, vedere Attivare una sincronizzazione completa di tutte le password. Se si usa la build 1.0.9125 o versione successiva, la normale azione di sincronizzazione completa consente anche di stabilire se le password devono essere sincronizzate e se questo passaggio aggiuntivo non è più necessario.

Se in Microsoft Entra ID sono stati eliminati inavvertitamente oggetti utente a causa di un errore di filtro, è possibile ricrearli in Microsoft Entra ID rimuovendo le configurazioni di filtro. e successivamente sincronizzare nuovamente le directory. Questa azione ripristina gli utenti dal Cestino in Microsoft Entra ID. Non è tuttavia possibile annullare l'eliminazione di altri tipi di oggetto. Se ad esempio si elimina accidentalmente un gruppo di sicurezza usato per inserire una risorsa in un elenco di controllo di accesso, il gruppo e gli elenchi di controllo di accesso relativi non possono essere ripristinati.

Microsoft Entra Connect elimina solo gli oggetti considerati come presenti nell'ambito. Se in Microsoft Entra ID sono presenti oggetti creati da un altro motore di sincronizzazione, ma non compresi nell'ambito, l'aggiunta del filtro non ne determina la rimozione. Ad esempio, se si inizia con un server di sincronizzazione cloud Microsoft Entra che ha creato una copia completa dell'intera directory in Microsoft Entra ID e si installa un nuovo server di sincronizzazione Microsoft Entra Connect in parallelo con il filtro abilitato fin dall'inizio, Microsoft Entra Connect non rimuove gli oggetti aggiuntivi creati dalla sincronizzazione cloud.

Quando si installa o si esegue l'aggiornamento a una versione più recente di Microsoft Entra Connect, vengono conservate le configurazioni del filtro. Prima di eseguire il primo ciclo di sincronizzazione, è consigliabile verificare sempre che la configurazione non sia stata modificata inavvertitamente dopo un aggiornamento a una versione più recente.

Se si dispone di più di una foresta, è necessario applicare a ognuna le configurazioni di filtro descritte in questo argomento, presupponendo che si desideri la stessa configurazione per ogni foresta.

Disabilitare l'utilità di pianificazione della sincronizzazione

Per disabilitare l'utilità di pianificazione predefinita che attiva un ciclo di sincronizzazione ogni 30 ore, seguire questi passaggi:

1. Aprire Windows PowerShell, importare il modulo ADSync e disabilitare l'utilità di pianificazione usando i comandi seguenti.

Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

2. Apportare le modifiche al filtro di ambito e verificare i risultati come documentato in questo articolo.
3. Quando sei pronto, riabilita l'utilità di pianificazione della sincronizzazione con il comando seguente.

Set-ADSyncScheduler -SyncCycleEnabled $True

Opzioni di filtro

Allo strumento di sincronizzazione della directory è possibile applicare i tipi di configurazione di filtro seguenti:

• Basato su gruppo: il filtro basato su un singolo gruppo può essere configurato solo durante l'installazione iniziale usando l'installazione guidata.
• Basato su domini: consente di selezionare i domini da sincronizzare con Microsoft Entra ID. È anche possibile aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato Microsoft Entra Connect Sync.
• Basato su unità organizzative: consente di selezionare le unità organizzative da sincronizzare con Microsoft Entra ID. Questa opzione è disponibile in tutti i tipi di oggetto nelle unità organizzative selezionate.
• Basato su attributi: consente di filtrare gli oggetti in base ai valori di attributo relativi. È anche possibile avere filtri diversi a seconda del tipo di oggetto.

È possibile usare più opzioni di filtro contemporaneamente. È possibile ad esempio usare il filtro basato su unità organizzative per includere gli oggetti solo in un'unità organizzativa. Allo stesso tempo, è possibile usare il filtro basato su attributi per filtrare ulteriormente gli oggetti. Quando si usano più metodi di filtro, viene usato un operatore AND logico tra i filtri.

Filtro basato su dominio

Questa sezione illustra i passaggi necessari per configurare il filtro basato su dominio. Se sono stati aggiunti o rimossi domini nella foresta dopo l'installazione di Microsoft Entra Connect, è necessario aggiornare anche la configurazione del filtro.

Per modificare il filtraggio basato su domini, eseguire l'installazione guidata: filtraggio di domini e unità organizzative. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Filtro basato su unità organizzative

Per modificare il filtraggio basato su unità organizzative, eseguire l'installazione guidata: filtraggio di domini e unità organizzative. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Importante

Se si seleziona in modo esplicito un'unità organizzativa per la sincronizzazione, Microsoft Entra Connect aggiungerà il DistinguishedName di tale unità organizzativa nell'elenco di inclusione per l'ambito di sincronizzazione del dominio. Tuttavia, se in un secondo momento si rinomina tale unità organizzativa in Active Directory, il DistinguishedName dell'unità organizzativa viene modificato e di conseguenza Microsoft Entra Connect non considererà più tale unità organizzativa nell'ambito di sincronizzazione. Questo non causerà un problema immediato, ma in un passaggio di importazione completo, Microsoft Entra Connect rivaluta l'ambito di sincronizzazione ed eliminerà (ovvero obsoleto) qualsiasi oggetto fuori ambito di sincronizzazione, che può potenzialmente causare un'eliminazione di massa imprevista di oggetti in Microsoft Entra ID. Per evitare questo problema, dopo la ridenominazione di un'unità organizzativa, eseguire la procedura guidata di Microsoft Entra Connect e selezionare nuovamente l'unità organizzativa da includere di nuovo nell'ambito di sincronizzazione.

Filtro basato su attributo

Per il funzionamento corretto di questi passaggi, verificare di usare la build di novembre 2015 (1.0.9125) o versione successiva.

Importante

Microsoft consiglia di non modificare le regole predefinite create da Microsoft Entra Connect. Se si vuole modificare la regola, clonarla e disabilitare la regola originale. Apportare le modifiche necessarie alla regola clonata. Si noti che in questo modo (disabilitando la regola originale) si perderanno alcune correzioni di bug o funzionalità abilitate tramite quella regola.

Il filtro basato su attributi è il modo più flessibile per filtrare gli oggetti. È possibile usare il potere del provisioning dichiarativo per controllare quasi tutti gli aspetti di quando un oggetto viene sincronizzato con Microsoft Entra ID.

È possibile applicare il filtro in ingresso da Active Directory al metaverse e il filtro in uscita dal metaverse a Microsoft Entra ID. È consigliabile applicare il filtro in ingresso perché è più semplice da gestire, mentre il filtro in uscita deve essere usato solo se è necessario per unire oggetti da più di una foresta prima che venga eseguita la valutazione.

Filtri in ingresso

I filtri in ingresso usano la configurazione predefinita in base alla quale per gli oggetti diretti a Microsoft Entra ID l'attributo metaverse cloudFiltered non deve essere impostato su un valore da sincronizzare. Se il valore di questo attributo è impostato su True, l'oggetto non è sincronizzato. Per progettazione, il valore non deve essere impostato su False. Per verificare che altre regole possano fornire un valore, questo attributo dovrebbe avere solo i valori True o NULL (assente).

Si noti che Microsoft Entra Connect è progettato per pulire gli oggetti di cui è stato responsabile del provisioning in Microsoft Entra ID. Se il sistema non ha effettuato il provisioning dell'oggetto in Microsoft Entra ID in passato, ma ottiene l'oggetto Microsoft Entra durante un passaggio di importazione, presuppone correttamente che questo oggetto sia stato creato in Microsoft Entra ID da un altro sistema. Microsoft Entra Connect non pulisce questi tipi di oggetti Microsoft Entra, anche quando l'attributo metaverse cloudFiltered è impostato su True.

Nell'applicazione del filtro in ingresso, si sfrutta la potenza dell'ambito per determinare quali oggetti sincronizzare o non sincronizzare. dove si apportano le modifiche necessarie per rispettare i requisiti dell'organizzazione. Nel modulo di ambito sono disponibili un gruppo e una clausola per determinare quando una regola di sincronizzazione è nell'ambito. Un gruppo contiene una o più clausole. Tra più clausole viene inserito un operatore AND logico e tra più gruppi un operatore OR logico.

Ecco un esempio:

Deve essere letto come (department = IT) OR (department = Sales AND c = US).

Negli esempi e nei passaggi seguenti viene usato l'oggetto utente come esempio, ma l'uso può essere esteso a tutti i tipi di oggetto.

Negli esempi seguenti il valore di precedenza inizia con 50. Può trattarsi di un numero qualsiasi non in uso, ma deve essere minore di 100.

Filtro negativo (non sincronizzare gli elementi indicati)

Nell'esempio seguente vengono filtrati (non sincronizzati) tutti gli utenti per cui il valore di extensionAttribute15 è NoSync.

1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fai clic su Aggiungi nuova regola.
4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User DoNotSyncFilter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 50, e quindi fare clic su Next (Avanti).
   
5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute, selezionare ExtensionAttribute15. Verificare che il valore del campo Operator (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare NoSync nella casella Value (Valore). Fare clic su Avanti.
   
6. Lasciare vuote le regole Join e quindi fare clic su Next.
7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella di testo Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
   
8. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Filtro positivo (sincronizzare solo gli elementi indicati)

La creazione di un filtro positivo può essere più complessa perché è necessario considerare anche gli oggetti la cui sincronizzazione non è scontata, ad esempio le sale riunioni. Inoltre, eseguirai l'override del filtro predefinito nella regola In from AD - User Join. Quando si crea il filtro personalizzato, non includere oggetti di sistema critici, oggetti di conflitti di replica, cassette postali speciali e account di servizio di Microsoft Entra Connect.

L'opzione di filtro positivo richiede due regole di sincronizzazione: una regola di sincronizzazione (o più) con l'ambito corretto degli oggetti da sincronizzare e una regola di sincronizzazione catch-all che filtra gli oggetti rimanenti che non dovrebbero essere sincronizzati.

Nell'esempio seguente vengono sincronizzati solo gli oggetti per i quali l'attributo department ha il valore Sales.

1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fai clic su Aggiungi nuova regola.
4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Sales sync". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 51, e quindi fare clic su Next (Avanti).
   
5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute (Attributo) selezionare department. Verifica che Operatore sia impostato su EQUAL, e digita il valore Sales nella casella Value. Fare clic su Avanti.
   
6. Lasciare vuote le regole Join e quindi fare clic su Next.
7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare False. Fare clic su Add (Aggiungi) per salvare la regola.
   
   Questo è un caso particolare in cui cloudFiltered viene impostato in modo esplicito su False.
8. Ora è necessario creare la regola di sincronizzazione catch-all. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Catch-all filter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 99. È stato selezionato un valore di precedenza più alto (precedenza inferiore) rispetto alla regola di sincronizzazione precedente, ma è stato lasciato anche spazio per aggiungere in seguito più regole di sincronizzazione del filtro quando si vuole avviare la sincronizzazione di altri reparti. Fare clic su Avanti.
   
9. Lasciare vuoto Scoping filter e fare clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti.
10. Lasciare vuote le regole Join e quindi fare clic su Next.
11. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
    
12. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Se necessario, è possibile creare più regole del primo tipo per includere altri oggetti nella sincronizzazione.

Filtri in uscita

In alcuni casi è necessario applicare il filtro solo dopo aver unito gli oggetti al metaverse. Per determinare se è necessario sincronizzare un oggetto, potrebbe ad esempio essere opportuno cercare l'attributo mail nella foresta di risorse e l'attributo userPrincipalName nella foresta di account. In questi casi, crei il filtro nella regola in uscita.

In questo esempio si modifica il filtro in modo che vengano sincronizzati solo gli utenti per cui entrambi gli attributi mail e userPrincipalName terminano in @contoso.com:

1. Accedere al server che esegue Microsoft Entra Connect Sync usando un account membro del gruppo di sicurezza ADSyncAdmins.
2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
3. Sotto Tipo di regola, fare clic su In uscita.
4. A seconda della versione di Connect in uso, trova la regola denominata Out to Microsoft Entra ID - Join degli utenti o Out to Microsoft Entra ID - Join degli utenti SOAInAD e seleziona Modifica.
5. Nel popup selezionare Yes (Sì) per creare una copia della regola.
6. Nella pagina Description (Descrizione) modificare il campo Precedence (Precedenza) su un valore non usato, ad esempio 50.
7. Fare clic su Scoping filter (Filtro ambito) nel menu di navigazione a sinistra e quindi fare clic su Aggiungi clausola. In Attributi, selezionare mail. In Operator (Operatore) selezionare ENDSWITH (TERMINACON). In Valoredigitare @contoso.com, quindi fare clic su Aggiungi clausola. In Attribute (Attributo) selezionare userPrincipalName. In Operator, selezionare ENDSWITH. In Valore digitare @contoso.com.
8. Fare clic su Salva.
9. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.

Applicare e verificare le modifiche

Dopo aver apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti nel sistema. È possibile anche che gli oggetti non presenti attualmente nel motore di sincronizzazione debbano essere elaborati e che il motore di sincronizzazione debba leggere di nuovo il sistema di origine per verificarne il contenuto.

Se la configurazione è stata modificata utilizzando il filtro dominio o unità organizzativa, è necessario eseguire un'importazione completa , seguita da una sincronizzazione delta .

Se hai modificato la configurazione utilizzando il filtro attributo , allora devi eseguire una Sincronizzazione Completa.

Come procedura consigliata, assicurarsi che il server sia in modalità di gestione temporanea e avviare un ciclo di sincronizzazione iniziale che eseguirà un'importazione completa e una sincronizzazione completa in tutti i connettori usando il comando di PowerShell Start-ADSyncSyncCycle -PolicyType Initial.

Per avviare manualmente un profilo di esecuzione, eseguire i seguenti passaggi:

1. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.
2. Seleziona Connettori. Nell'elenco Connectors (Connettori) selezionare il connettore in cui in precedenza è stata apportata una modifica alla configurazione. In Actions (Azioni) selezionare Run (Esegui).
   
3. In Run profiles (Profili di esecuzione) selezionare l'operazione indicata nella sezione precedente. Se è necessario eseguire due azioni, eseguire la seconda dopo il completamento della prima. Il valore della colonna State (Stato) è impostato su Idle (Inattivo) per il connettore selezionato.

Dopo la sincronizzazione, tutte le modifiche vengono preparate per essere esportate. Prima di apportare effettivamente le modifiche in Microsoft Entra ID, è opportuno verificare che siano tutte corrette.

1. Avvia un prompt dei comandi e accedi a %ProgramFiles%\Microsoft Azure AD Sync\bin.
2. Eseguire csexport "Name of Connector" %temp%\export.xml /f:x.
   Il nome del connettore si trova nel servizio di sincronizzazione. Ha un nome simile a "contoso.com – Microsoft Entra ID" per Microsoft Entra ID.
3. Esegui CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. A questo punto si avrà un file denominato export.csv in %temp%, che può essere esaminato in Microsoft Excel. Questo file contiene tutte le modifiche in fase di esportazione.
5. Apportare le modifiche necessarie ai dati o alla configurazione ed eseguire di nuovo questi passaggi (importazione, sincronizzazione e verifica) finché le modifiche che verranno esportate non saranno quelle previste.

Quando si è soddisfatti, esportare le modifiche in Microsoft Entra ID.

1. Seleziona Connettori. Nell'elenco Connettori selezionare Microsoft Entra Connector. In Actions (Azioni) selezionare Run (Esegui).
2. In Run profiles (Profili di esecuzione) selezionare Export (Esporta).
3. Se le modifiche della configurazione comportano l'eliminazione di molti oggetti, viene visualizzato un errore nell'esportazione se il numero è superiore alla soglia configurata (500 per impostazione predefinita). Se viene visualizzato questo errore, è necessario disabilitare temporaneamente la funzionalità che impedisce eliminazioni accidentali.

È ora possibile riabilitare l'utilità di pianificazione della sincronizzazione.

Filtri basati sui gruppi

È possibile configurare il filtro basato su gruppi la prima volta che si installa Microsoft Entra Connect tramite l'installazione personalizzata. È pensato per una distribuzione pilota in cui si desidera sincronizzare solo un piccolo gruppo di oggetti. Dopo essere stato disabilitato, il filtro basato su gruppi non può essere abilitato nuovamente. L'uso del filtro basato su gruppi non è supportato in una configurazione personalizzata, È supportata solo la configurazione di questa funzione tramite l'installazione guidata. Dopo aver completato il progetto pilota, usare solo una delle altre opzioni di filtro descritte in questo argomento. Se si usa un filtro basato su unità organizzative insieme al filtro basato su gruppi, è necessario includere le unità organizzative in cui si trovano il gruppo e i relativi membri.

Quando si sincronizzano più foreste di AD, è possibile configurare il filtraggio basato sui gruppi specificando un gruppo diverso per ogni connettore AD. Per sincronizzare un utente in una foresta di AD e lo stesso utente dispone di uno o più oggetti corrispondenti nelle altre foreste di AD, è necessario assicurarsi che l'oggetto utente e tutti gli oggetti corrispondenti siano inclusi nell'ambito de filtro basati sui gruppi. Ad esempio:

• Hai un utente in una foresta che ha un oggetto FSP (Foreign Security Principal) corrispondente in un'altra foresta. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

• Hai un utente in una foresta che ha un account della risorsa corrispondente, ad esempio una cassetta postale collegata, in un'altra foresta. Inoltre, Microsoft Entra Connect è stato configurato per collegare l'utente all'account della risorsa. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

• Un utente in una foresta dispone di un contatto di posta corrispondente in un'altra foresta. Per di più Microsoft Entra Connect è stato configurato per collegare l'utente al contatto e-mail. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato in Microsoft Entra ID.

Passaggi successivi

• Ulteriori informazioni sulla configurazione di Microsoft Entra Connect Sync.
• Ulteriori informazioni sull'integrazione di identità locali con Microsoft Entra ID.