チャブーンです。
この件ですが、残念ですがユーザーIDの文字列を計算したうえでのEntra ID Connectのフィルタリングを行うことは、通常はできません。ですが、もっと簡単な方法、つまり「グループによるフィルタリング」での対応で事実上可能です。そのやり方については、したのページの情報「グループに基づく同期フィルタリング」をご覧になってください。
でも、この(同期のための)グループに入っていないと意味がない、手動でグループに追加していくのはつらい、という話しはあるかと思います。それはPowerShellで自動スクリプトを作成し、定期的にドメインコントローラー上で実行する(タスクスケジューラーで簡単に設定できます)ことで、事実上問題はなくなるでしょう。以下のようなスクリプトを用意すれば、大丈夫かと思います。
# 以下はすべてのOUのユーザーが対象になります。
# EIDSyncというセキュリティグループをあらかじめ作り、このグループのユーザーを同期するようEntra ID Connectを構成しておきます。
# ユーザー名の最初の2文字が数字で、そのうえ数字の評価が25以下かつEIDSyncグループでないユーザーを選出します。
$AddMembers = Get-ADUser -filter * -properties memberOf | Where-Object {$_.saMAccountName -match "^[0-9]{2}"} | Where-Object {([int](($_.saMAccountName).substring(0,2)) -le 25) -and ($_.memberOf -notcontains ((Get-ADGroup EIDSync).distinguishedName))}
# 選出したユーザーをEIDSyncグループに追加します。
Add-ADGroupMember EIDSync $AddMembers