Synchronizacja usługi Microsoft Entra Connect: Konfigurowanie filtrowania
Za pomocą filtrowania można kontrolować, które obiekty są wyświetlane w identyfikatorze Entra firmy Microsoft z katalogu lokalnego. Domyślna konfiguracja przyjmuje większość obiektów we wszystkich domenach w skonfigurowanych lasach. Ogólnie rzecz biorąc, jest to zalecana konfiguracja. Użytkownicy korzystający z obciążeń platformy Microsoft 365, takich jak Exchange Online i Skype dla firm, korzystają z pełnej globalnej listy adresów, aby mogli wysyłać wiadomości e-mail i dzwonić do wszystkich użytkowników. W przypadku konfiguracji domyślnej będą mieli takie samo środowisko, jakie mają w przypadku lokalnej implementacji programu Exchange lub Lync.
Uwaga
Program Microsoft Entra Cloud Sync i Microsoft Entra Connect Sync odfiltruj wszystkie obiekty usługi Active Directory, w których atrybut isCriticalSystemObject ma wartość True. Spowoduje to odfiltrowywanie wbudowanych obiektów wysokich uprawnień usługi AD, takich jak Administrator, DomainAdmins, EnterpriseAdmins. To filtrowanie oznacza, że dwie ostatnie grupy nie są domyślnie synchronizowane z identyfikatorem Entra.
Jednak inne obiekty dodane do tej grupy wysokich uprawnień (DomainAdmins, EnterpriseAdmins) nie są odfiltrowane z synchronizacji z chmurą. Jeśli na przykład dodasz lokalnego użytkownika usługi AD do grupy EnterpriseAdmins, ten użytkownik nadal będzie synchronizowany z identyfikatorem Entra firmy Microsoft.
W niektórych przypadkach jednak konieczne jest wprowadzenie pewnych zmian w konfiguracji domyślnej. Oto kilka przykładów:
- Uruchamiasz pilotaż dla platformy Azure lub platformy Microsoft 365 i potrzebujesz tylko podzbioru użytkowników w usłudze Microsoft Entra ID. W małym pilotażu nie ważne jest, aby mieć pełną globalną listę adresów, aby zademonstrować funkcjonalność.
- Masz wiele kont usług i innych kont nieosobowych, których nie chcesz używać w identyfikatorze Entra firmy Microsoft.
- Ze względów zgodności nie usuwasz żadnych kont użytkowników lokalnych. Można je wyłączyć tylko. Jednak w usłudze Microsoft Entra ID chcesz mieć tylko aktywne konta.
W tym artykule opisano sposób konfigurowania różnych metod filtrowania.
Ważne
Firma Microsoft nie obsługuje modyfikowania ani obsługi usługi Microsoft Entra Connect Sync poza akcjami, które zostały formalnie udokumentowane. Każda z tych akcji może spowodować niespójny lub nieobsługiwany stan programu Microsoft Entra Connect Sync. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dla takich wdrożeń.
Podstawy i ważne uwagi
W programie Microsoft Entra Connect Sync można włączyć filtrowanie w dowolnym momencie. Jeśli zaczniesz od domyślnej konfiguracji synchronizacji katalogów, a następnie skonfigurujesz filtrowanie, obiekty, które są odfiltrowane, nie są już synchronizowane z identyfikatorem Entra firmy Microsoft. Ze względu na tę zmianę wszystkie obiekty w identyfikatorze Entra firmy Microsoft, które zostały wcześniej zsynchronizowane, ale następnie filtrowane, są usuwane w identyfikatorze Entra firmy Microsoft.
Przed rozpoczęciem wprowadzania zmian w filtrowaniu upewnij się, że wyłączono wbudowany harmonogram , aby nie eksportować przypadkowo zmian, które nie zostały jeszcze zweryfikowane.
Ponieważ filtrowanie może jednocześnie usunąć wiele obiektów, należy upewnić się, że nowe filtry są poprawne przed rozpoczęciem eksportowania wszelkich zmian do identyfikatora Entra firmy Microsoft. Po wykonaniu kroków konfiguracji zdecydowanie zalecamy wykonanie kroków weryfikacji przed wyeksportowaniem i wprowadzeniem zmian w identyfikatorze Entra firmy Microsoft.
Aby chronić przed przypadkowym usunięciem wielu obiektów, funkcja "zapobiega przypadkowemu usunięciu" jest domyślnie włączona. Jeśli usuniesz wiele obiektów z powodu filtrowania (domyślnie 500), musisz wykonać kroki opisane w tym artykule, aby zezwolić na przechodzenie do identyfikatora Entra firmy Microsoft.
Jeśli używasz kompilacji przed listopadem 2015 r. (1.0.9125), wprowadź zmianę konfiguracji filtru i użyj synchronizacji skrótów haseł, musisz wyzwolić pełną synchronizację wszystkich haseł po zakończeniu konfiguracji. Aby uzyskać instrukcje dotyczące wyzwalania pełnej synchronizacji hasła, zobacz Wyzwalanie pełnej synchronizacji wszystkich haseł. Jeśli korzystasz z kompilacji 1.0.9125 lub nowszej, regularna pełna akcja synchronizacji oblicza również, czy hasła powinny być synchronizowane, a jeśli ten dodatkowy krok nie jest już wymagany.
Jeśli obiekty użytkownika zostały przypadkowo usunięte w identyfikatorze Entra firmy Microsoft z powodu błędu filtrowania, możesz ponownie utworzyć obiekty użytkownika w identyfikatorze Entra firmy Microsoft, usuwając konfiguracje filtrowania. Następnie możesz ponownie zsynchronizować katalogi. Ta akcja przywraca użytkowników z kosza w identyfikatorze Entra firmy Microsoft. Nie można jednak cofnąć usunięcia innych typów obiektów. Jeśli na przykład przypadkowo usuniesz grupę zabezpieczeń i została użyta do listy ACL zasobu, nie można odzyskać grupy i jej list ACL.
Program Microsoft Entra Connect usuwa tylko obiekty, które zostały kiedyś uznane za w zakresie. Jeśli istnieją obiekty w identyfikatorze Entra firmy Microsoft, które zostały utworzone przez inny aparat synchronizacji, a te obiekty nie są w zakresie, dodanie filtrowania nie powoduje ich usunięcia. Jeśli na przykład zaczniesz od serwera DirSync, który utworzył pełną kopię całego katalogu w identyfikatorze Entra firmy Microsoft, a następnie zainstalujesz nowy serwer synchronizacji Microsoft Entra Connect równolegle z włączonym filtrowaniem od początku, program Microsoft Entra Connect nie usuwa dodatkowych obiektów utworzonych przez narzędzie DirSync.
Konfiguracja filtrowania jest zachowywana podczas instalowania lub uaktualniania do nowszej wersji programu Microsoft Entra Connect. Zawsze najlepszym rozwiązaniem jest sprawdzenie, czy konfiguracja nie została przypadkowo zmieniona po uaktualnieniu do nowszej wersji przed uruchomieniem pierwszego cyklu synchronizacji.
Jeśli masz więcej niż jeden las, musisz zastosować konfiguracje filtrowania opisane w tym temacie do każdego lasu (przy założeniu, że chcesz mieć tę samą konfigurację dla wszystkich z nich).
Wyłączanie harmonogramu synchronizacji
Aby wyłączyć wbudowany harmonogram, który wyzwala cykl synchronizacji co 30 minut, wykonaj następujące kroki:
- Otwórz program Windows PowerShell, zaimportuj moduł ADSync i wyłącz harmonogram przy użyciu następujących poleceń
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
- Wprowadź zmiany udokumentowane w tym artykule. Następnie ponownie włącz harmonogram za pomocą następującego polecenia
Set-ADSyncScheduler -SyncCycleEnabled $True
Opcje filtrowania
Do narzędzia do synchronizacji katalogów można zastosować następujące typy konfiguracji filtrowania:
- Oparte na grupach: filtrowanie na podstawie pojedynczej grupy można skonfigurować tylko podczas instalacji początkowej przy użyciu kreatora instalacji.
- Oparte na domenie: za pomocą tej opcji można wybrać domeny, które są synchronizowane z identyfikatorem Entra firmy Microsoft. Możesz również dodawać i usuwać domeny z konfiguracji aparatu synchronizacji po wprowadzeniu zmian w infrastrukturze lokalnej po zainstalowaniu programu Microsoft Entra Connect Sync.
- Jednostka organizacyjna (OU) oparta na: przy użyciu tej opcji można wybrać, które jednostki organizacyjne są synchronizowane z identyfikatorem Entra firmy Microsoft. Ta opcja dotyczy wszystkich typów obiektów w wybranych jednostkach organizacyjnych.
- Oparte na atrybutach: za pomocą tej opcji można filtrować obiekty na podstawie wartości atrybutów w obiektach. Można również mieć różne filtry dla różnych typów obiektów.
W tym samym czasie można użyć wielu opcji filtrowania. Na przykład można użyć filtrowania opartego na jednostkach organizacyjnych, aby uwzględnić tylko obiekty w jednej jednostki organizacyjnej. Jednocześnie można użyć filtrowania opartego na atrybutach w celu dalszego filtrowania obiektów. W przypadku używania wielu metod filtrowania filtry używają logicznego "AND" między filtrami.
Filtrowanie oparte na domenie
Ta sekcja zawiera kroki konfigurowania filtru domeny. Jeśli domeny zostały dodane lub usunięte w lesie po zainstalowaniu programu Microsoft Entra Connect, musisz również zaktualizować konfigurację filtrowania.
Aby zmienić filtrowanie oparte na domenie, uruchom kreatora instalacji: domenę i filtrowanie jednostek organizacyjnych. Kreator instalacji automatyzuje wszystkie zadania opisane w tym temacie.
Filtrowanie oparte na jednostkach organizacyjnych
Aby zmienić filtrowanie oparte na jednostkach organizacyjnych, uruchom kreatora instalacji: domenę i filtrowanie jednostki organizacyjnej. Kreator instalacji automatyzuje wszystkie zadania opisane w tym temacie.
Ważne
Jeśli jawnie wybierzesz jednostkę organizacyjną na potrzeby synchronizacji, program Microsoft Entra Connect doda nazwę Wyróżniającą tej jednostki organizacyjnej na liście dołączania dla zakresu synchronizacji domeny. Jeśli jednak później zmienisz nazwę tej jednostki organizacyjnej w usłudze Active Directory, nazwa wyróżniająca jednostki organizacyjnej zostanie zmieniona, a w związku z tym program Microsoft Entra Connect nie będzie już uwzględniać tej jednostki organizacyjnej w zakresie synchronizacji. Nie spowoduje to natychmiastowego problemu, ale po pełnym kroku importowania program Microsoft Entra Connect ponownie zwalczy zakres synchronizacji i usunie (tj. przestarzałe) wszystkie obiekty poza zakresem synchronizacji, co może potencjalnie spowodować nieoczekiwane masowe usunięcie obiektów w identyfikatorze Entra firmy Microsoft. Aby zapobiec temu problemowi, po zmianie nazwy jednostki organizacyjnej uruchom Kreatora programu Microsoft Entra Connect i ponownie wybierz jednostkę organizacyjną, która ma zostać ponownie uwzględniona w zakresie synchronizacji.
Filtrowanie oparte na atrybutach
Upewnij się, że używasz kompilacji z listopada 2015 r. (1.0.9125) lub nowszej, aby wykonać te kroki.
Ważne
Firma Microsoft zaleca, aby nie modyfikować domyślnych reguł utworzonych przez program Microsoft Entra Connect. Jeśli chcesz zmodyfikować regułę, sklonuj ją i wyłącz oryginalną regułę. Wprowadź wszelkie zmiany w sklonowanej regule. Należy pamiętać, że w ten sposób (wyłączenie oryginalnej reguły) pominięto wszelkie poprawki błędów lub funkcje włączone za pomocą tej reguły.
Filtrowanie oparte na atrybutach to najbardziej elastyczny sposób filtrowania obiektów. Możesz użyć możliwości aprowizacji deklaratywnej, aby kontrolować prawie każdy aspekt, gdy obiekt jest synchronizowany z identyfikatorem Entra firmy Microsoft.
Filtrowanie przychodzące z usługi Active Directory można zastosować do metaverse i filtrowanie ruchu wychodzącego z metaverse do identyfikatora Entra firmy Microsoft. Zalecamy zastosowanie filtrowania przychodzącego, ponieważ jest to najłatwiejsze do utrzymania. Filtrowanie wychodzące należy używać tylko wtedy, gdy jest wymagane do sprzężenia obiektów z więcej niż jednego lasu, zanim będzie można przeprowadzić ocenę.
Filtrowanie przychodzące
Filtrowanie przychodzące używa konfiguracji domyślnej, w której obiekty przechodzące do identyfikatora Entra firmy Microsoft muszą mieć atrybut metaverse cloudFiltered nie ustawioną na wartość do zsynchronizowania. Jeśli wartość tego atrybutu jest ustawiona na True, obiekt nie jest zsynchronizowany. Nie należy ustawiać wartości False zgodnie z projektem. Aby upewnić się, że inne reguły mają możliwość współtworzenia wartości, ten atrybut ma mieć tylko wartości True lub NULL (nieobecne).
Należy pamiętać, że usługa Microsoft Entra Connect została zaprojektowana w celu oczyszczania obiektów, które zostały przez nią aprowizowane w usłudze Microsoft Entra ID. Jeśli system nie aprowizował obiektu w usłudze Microsoft Entra ID w przeszłości, ale pobiera obiekt usługi Microsoft Entra podczas kroku importowania, poprawnie zakłada, że ten obiekt został utworzony w usłudze Microsoft Entra ID przez inny system. Program Microsoft Entra Connect nie czyści tych typów obiektów Entra firmy Microsoft, nawet jeśli atrybut cloudFiltered
metaverse ma wartość True.
W przypadku filtrowania przychodzącego należy użyć mocy zakresu , aby określić, które obiekty mają być synchronizowane lub nie są synchronizowane. W tym miejscu wprowadzasz korekty, aby dopasować się do własnych wymagań organizacji. Moduł zakresu zawiera grupę i klauzulę określającą, kiedy reguła synchronizacji znajduje się w zakresie. Grupa zawiera jedną lub wiele klauzul. Istnieje logiczny "AND" między wieloma klauzulami i logicznym "OR" między wieloma grupami.
Przyjrzyjmy się przykładowi:
Powinno to być odczytywane jako (dział = DZIAŁ IT) LUB (dział = Sales AND c = US).
W poniższych przykładach i krokach użyjesz obiektu użytkownika jako przykładu, ale można go użyć dla wszystkich typów obiektów.
W poniższych przykładach wartość pierwszeństwa zaczyna się od 50. Może to być dowolna liczba, która nie jest używana, ale powinna być niższa niż 100.
Filtrowanie ujemne: "nie synchronizuj tych"
W poniższym przykładzie odfiltrujesz (nie synchronizujesz) wszystkich użytkowników, dla których rozszerzenieAttribute15 ma wartość NoSync.
- Zaloguj się do serwera z uruchomioną usługą Microsoft Entra Connect Sync przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .
- Uruchom Edytor reguł synchronizacji z menu Start .
- Upewnij się, że wybrano opcję Ruch przychodzący , a następnie kliknij pozycję Dodaj nową regułę.
- Nadaj regule nazwę opisową, taką jak "In from AD — User DoNotSyncFilter". Wybierz prawidłowy las, wybierz pozycję Użytkownik jako typ obiektu CS, a następnie wybierz pozycję Osoba jako typ obiektu MV. W obszarze Typ łącza wybierz pozycję Dołącz. W polu Pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 50), a następnie kliknij przycisk Dalej.
- W filtrze określania zakresu kliknij pozycję Dodaj grupę, a następnie kliknij pozycję Dodaj klauzulę. W obszarze Atrybut wybierz pozycję ExtensionAttribute15. Upewnij się, że operator ma ustawioną wartość EQUAL i wpisz wartość NoSync w polu Wartość . Kliknij przycisk Dalej.
- Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk Dalej.
- Kliknij pozycję Dodaj przekształcenie, wybierz wartość FlowType jako Stałą, a następnie wybierz pozycję cloudFiltered jako atrybut docelowy. W polu tekstowym Źródło wpisz true. Kliknij przycisk Dodaj , aby zapisać regułę.
- Aby ukończyć konfigurację, należy uruchomić pełną synchronizację. Kontynuuj czytanie sekcji Zastosuj i zweryfikuj zmiany.
Filtrowanie dodatnie: "synchronizuj tylko te"
Wyrażanie pozytywnego filtrowania może być trudniejsze, ponieważ należy również rozważyć obiekty, które nie są oczywiste do zsynchronizowania, takie jak sale konferencyjne. Zastąpisz również domyślny filtr w regule gotowej do użycia z usługi AD — dołączanie użytkowników. Podczas tworzenia filtru niestandardowego pamiętaj, aby nie uwzględniać krytycznych obiektów systemowych, obiektów konfliktów replikacji, specjalnych skrzynek pocztowych i kont usług dla programu Microsoft Entra Connect.
Opcja filtrowania dodatniego wymaga dwóch reguł synchronizacji: jednej reguły synchronizacji (lub więcej) z poprawnym zakresem obiektów do synchronizacji oraz regułą synchronizacji catch-all, która filtruje wszystkie pozostałe obiekty, które nie powinny być synchronizowane.
W poniższym przykładzie synchronizujesz tylko obiekty użytkownika, w których atrybut działu ma wartość Sales.
- Zaloguj się do serwera z uruchomioną usługą Microsoft Entra Connect Sync przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .
- Uruchom Edytor reguł synchronizacji z menu Start .
- Upewnij się, że wybrano opcję Ruch przychodzący , a następnie kliknij pozycję Dodaj nową regułę.
- Nadaj regule nazwę opisową, taką jak "W usłudze AD — synchronizacja sprzedaży użytkowników". Wybierz prawidłowy las, wybierz pozycję Użytkownik jako typ obiektu CS, a następnie wybierz pozycję Osoba jako typ obiektu MV. W obszarze Typ łącza wybierz pozycję Dołącz. W polu Pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 51), a następnie kliknij przycisk Dalej.
- W filtrze określania zakresu kliknij pozycję Dodaj grupę, a następnie kliknij pozycję Dodaj klauzulę. W obszarze Atrybut wybierz pozycję dział. Upewnij się, że operator ma wartość EQUAL i wpisz wartość Sales w polu Wartość . Kliknij przycisk Dalej.
- Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk Dalej.
- Kliknij pozycję Dodaj przekształcenie, wybierz pozycję Stała jako typ przepływu, a następnie wybierz właściwość cloudFiltered jako atrybut docelowy. W polu Źródło wpisz False. Kliknij przycisk Dodaj , aby zapisać regułę.
Jest to szczególny przypadek, w którym jawnie ustawiono wartość cloudFiltered na False. - Teraz musimy utworzyć regułę synchronizacji catch-all. Nadaj regule nazwę opisową, taką jak "W z usługi AD — filtr catch-all użytkownika". Wybierz prawidłowy las, wybierz pozycję Użytkownik jako typ obiektu CS, a następnie wybierz pozycję Osoba jako typ obiektu MV. W obszarze Typ łącza wybierz pozycję Dołącz. W polu Pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 99). Wybrano wartość pierwszeństwa wyższą (niższą pierwszeństwo) niż poprzednia reguła synchronizacji. Pozostawiono również trochę miejsca, dzięki czemu można dodać więcej reguł synchronizacji filtrowania później, gdy chcesz rozpocząć synchronizowanie dodatkowych działów. Kliknij przycisk Dalej.
- Pozostaw pusty filtr określania zakresu, a następnie kliknij przycisk Dalej. Pusty filtr wskazuje, że reguła ma być stosowana do wszystkich obiektów.
- Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk Dalej.
- Kliknij pozycję Dodaj przekształcenie, wybierz pozycję Stała jako typ przepływu, a następnie wybierz pozycję cloudFiltered jako atrybut docelowy. W polu Źródło wpisz True. Kliknij przycisk Dodaj , aby zapisać regułę.
- Aby ukończyć konfigurację, należy uruchomić pełną synchronizację. Kontynuuj czytanie sekcji Zastosuj i zweryfikuj zmiany.
Jeśli zajdzie taka potrzeba, możesz utworzyć więcej reguł pierwszego typu, w którym do synchronizacji dołączysz więcej obiektów.
Filtrowanie ruchu wychodzącego
W niektórych przypadkach konieczne jest filtrowanie tylko po sprzężeniu obiektów w metaverse. Na przykład może być konieczne przyjrzenie się atrybutowi poczty z lasu zasobów i atrybutowi userPrincipalName z lasu konta, aby określić, czy obiekt powinien być zsynchronizowany. W takich przypadkach utworzysz filtrowanie dla reguły ruchu wychodzącego.
W tym przykładzie zmienisz filtrowanie tak, aby synchronizowano tylko użytkowników, którzy mają zarówno adres e-mail, jak i userPrincipalName kończące się @contoso.com na:
- Zaloguj się do serwera z uruchomioną usługą Microsoft Entra Connect Sync przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .
- Uruchom Edytor reguł synchronizacji z menu Start .
- W obszarze Typ reguł kliknij pozycję Wychodzący.
- W zależności od używanej wersji programu Connect znajdź regułę o nazwie Out to Microsoft Entra ID — User Join (Dołącz użytkownika) lub Out to Microsoft Entra ID — User Join SOAInAD (Dołącz do użytkownika SOAInAD) i kliknij przycisk Edytuj.
- W wyskakującym okienku odpowiedz Tak , aby utworzyć kopię reguły.
- Na stronie Opis zmień pierwszeństwo na nieużywaną wartość, na przykład 50.
- Kliknij pozycję Filtr określania zakresu w obszarze nawigacji po lewej stronie, a następnie kliknij pozycję Dodaj klauzulę. W obszarze Atrybut wybierz pozycję Poczta. W obszarze Operator wybierz pozycję ENDSWITH. W polu Wartość wpisz @contoso.com, a następnie kliknij pozycję Dodaj klauzulę. W obszarze Atrybut wybierz pozycję userPrincipalName. W obszarze Operator wybierz pozycję ENDSWITH. W polu Wartość wpisz @contoso.com.
- Kliknij przycisk Zapisz.
- Aby ukończyć konfigurację, należy uruchomić pełną synchronizację. Kontynuuj czytanie sekcji Zastosuj i zweryfikuj zmiany.
Stosowanie i weryfikowanie zmian
Po wprowadzeniu zmian konfiguracji należy zastosować je do obiektów, które są już obecne w systemie. Może się również okazać, że obiekty, które nie są obecnie w a aparatze synchronizacji, powinny być przetwarzane (a aparat synchronizacji musi ponownie odczytać system źródłowy, aby zweryfikować jego zawartość).
Jeśli konfiguracja została zmieniona przy użyciu filtrowania domeny lub jednostki organizacyjnej, należy wykonać pełny import, a następnie synchronizację różnicową.
Jeśli konfiguracja została zmieniona przy użyciu filtrowania atrybutów, należy przeprowadzić pełną synchronizację.
Wykonaj poniższe kroki:
- Uruchom usługę synchronizacji z menu Start .
- Wybierz Łączniki. Na liście Łączniki wybierz łącznik, w którym wcześniej wprowadzono zmianę konfiguracji. W obszarze Akcje wybierz pozycję Uruchom.
- W obszarze Profile uruchamiania wybierz operację, która została wymieniona w poprzedniej sekcji. Jeśli musisz uruchomić dwie akcje, uruchom drugą po zakończeniu pierwszego. (Kolumna State jest bezczynna dla wybranego łącznika).
Po synchronizacji wszystkie zmiany zostaną przygotowane do wyeksportowania. Przed wprowadzeniem zmian w identyfikatorze Entra firmy Microsoft chcesz sprawdzić, czy wszystkie te zmiany są poprawne.
- Uruchom wiersz polecenia i przejdź do
%ProgramFiles%\Microsoft Azure AD Sync\bin
strony . - Uruchom program
csexport "Name of Connector" %temp%\export.xml /f:x
.
Nazwa łącznika jest w usłudze synchronizacji. Ma ona nazwę podobną do "contoso.com — Microsoft Entra ID" dla identyfikatora Entra firmy Microsoft. - Uruchom program
CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
. - Masz teraz plik w %temp% o nazwie export.csv, który można zbadać w programie Microsoft Excel. Ten plik zawiera wszystkie zmiany, które mają zostać wyeksportowane.
- Wprowadź niezbędne zmiany w danych lub konfiguracji i ponownie uruchom te kroki (Import, Sync i Verify), dopóki zmiany, które wkrótce zostaną wyeksportowane, będą takie, jak oczekiwano.
Jeśli masz pewność, wyeksportuj zmiany do identyfikatora Entra firmy Microsoft.
- Wybierz Łączniki. Na liście Łączniki wybierz łącznik Microsoft Entra Connector. W obszarze Akcje wybierz pozycję Uruchom.
- W obszarze Profile uruchamiania wybierz pozycję Eksportuj.
- Jeśli konfiguracja ulegnie zmianie, usuń wiele obiektów, zobaczysz błąd w eksporcie, gdy liczba jest większa niż skonfigurowany próg (domyślnie 500). Jeśli widzisz ten błąd, musisz tymczasowo wyłączyć funkcję "zapobieganie przypadkowym usunięciom".
Teraz nadszedł czas, aby ponownie włączyć harmonogram.
- Uruchom harmonogram zadań z menu Start .
- Bezpośrednio w obszarze Biblioteka harmonogramu zadań znajdź zadanie o nazwie Harmonogram synchronizacji usługi Azure AD, kliknij prawym przyciskiem myszy i wybierz pozycję Włącz.
Filtrowanie oparte na grupach
Filtrowanie oparte na grupach można skonfigurować podczas pierwszej instalacji programu Microsoft Entra Connect przy użyciu instalacji niestandardowej. Jest przeznaczony do wdrożenia pilotażowego, w którym ma być synchronizowany tylko niewielki zestaw obiektów. Po wyłączeniu filtrowania opartego na grupach nie można go ponownie włączyć. Nie jest obsługiwane używanie filtrowania opartego na grupach w konfiguracji niestandardowej. Ta funkcja jest obsługiwana tylko przy użyciu kreatora instalacji. Po ukończeniu pilotażu użyj jednej z pozostałych opcji filtrowania w tym temacie. W przypadku korzystania z filtrowania opartego na jednostkach organizacyjnych w połączeniu z filtrowaniem opartym na grupach należy uwzględnić jednostki organizacyjne, w których znajduje się grupa i jej składowe.
Podczas synchronizowania wielu lasów usługi AD można skonfigurować filtrowanie oparte na grupach, określając inną grupę dla każdego łącznika usługi AD. Jeśli chcesz zsynchronizować użytkownika w jednym lesie usługi AD, a ten sam użytkownik ma co najmniej jeden odpowiedni obiekt w innych lasach usługi AD, upewnij się, że obiekt użytkownika i wszystkie odpowiadające mu obiekty znajdują się w zakresie filtrowania opartego na grupach. Przykłady:
Masz użytkownika w jednym lesie, który ma odpowiedni obiekt FSP (Foreign Security Principal) w innym lesie. Oba obiekty muszą znajdować się w zakresie filtrowania opartego na grupach. W przeciwnym razie użytkownik nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft.
Masz użytkownika w jednym lesie, który ma odpowiednie konto zasobu (np. połączoną skrzynkę pocztową) w innym lesie. Ponadto skonfigurowano program Microsoft Entra Connect w celu połączenia użytkownika z kontem zasobu. Oba obiekty muszą znajdować się w zakresie filtrowania opartego na grupach. W przeciwnym razie użytkownik nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft.
Masz użytkownika w jednym lesie, który ma odpowiedni kontakt poczty w innym lesie. Ponadto skonfigurowano program Microsoft Entra Connect w celu połączenia użytkownika z kontaktem e-mail. Oba obiekty muszą znajdować się w zakresie filtrowania opartego na grupach. W przeciwnym razie użytkownik nie zostanie zsynchronizowany z identyfikatorem Entra firmy Microsoft.
Następne kroki
- Dowiedz się więcej o konfiguracji programu Microsoft Entra Connect Sync .
- Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.