Partilhar via

Configurar a filtragem

  • Artigo

Atualizado: 22 de julho de 2015

Importante

Este tópico será arquivado em breve.
Há um novo produto chamado "Azure Ative Directory Ligação" que substitui AADSync e DirSync.
O Azure AD Connect inclui os componentes e as funcionalidades já disponibilizadas como o Dirsync e o AAD Sync.
Em algum momento no futuro, o apoio a Dirsync e AAD Sync terminará.
Estas ferramentas já não estão a ser atualizadas individualmente com melhorias de funcionalidades, e todas as melhorias futuras serão incluídas em atualizações para Azure AD Ligação.

Para obter informações mais recentes sobre Azure Ative Directory Ligação, consulte integrar as suas identidades no local com Azure Ative Directory

Pode ativar a filtragem AADSync a qualquer momento. Se já executou as configurações predefinidas da sincronização do diretório e, em seguida, configurado a filtragem, os objetos que são filtrados já não são sincronizados para Azure AD. Como resultado, quaisquer objetos em Azure AD que foram previamente sincronizados mas que foram depois filtrados são eliminados em Azure AD. Se os objetos forem apagados inadvertidamente devido a um erro de filtragem, pode recriar os objetos em Azure AD removendo as configurações de filtragem e, em seguida, sincronizar novamente os seus diretórios.

Importante

A Microsoft não suporta modificação ou funcionamento do AADSync fora dessas ações formalmente documentadas. Qualquer uma destas ações pode resultar num estado inconsistente ou não apoiado da AASync e, consequentemente, a Microsoft não pode fornecer suporte técnico para tais implementações.

Com exceção da filtragem baseada em atributos de saída, as configurações serão mantidas quando instalar ou atualizar para uma versão mais recente de AADSync. É sempre uma boa prática verificar se a configuração não foi alterada inadvertidamente após uma atualização para uma versão mais recente antes de executar o primeiro ciclo de sincronização.

Opções de filtragem

Aviso

Neste artigo, a Fonte AD é usada como nome para o seu conector de serviço Domínio do Ative Directory. Se tiver várias florestas, terá um Conector por floresta e a configuração deve ser repetida para cada floresta.

Os seguintes três tipos de configuração de filtragem podem ser aplicados na ferramenta de sincronização do Diretório:

  • Baseado em domínio : Pode utilizar este tipo de filtragem para gerir as propriedades do Conector SourceAD em AADSync. Este tipo permite-lhe selecionar quais domínios podem sincronizar para Azure AD.

  • Configure a filtragem baseada em unidade organizacional : Pode utilizar este tipo de filtragem para gerir as propriedades do Conector SourceAD em AADSync. Este tipo de filtragem permite-lhe selecionar quais as OUs que podem sincronizar para Azure AD.

  • Baseado em atributos : Pode utilizar este método de filtragem para especificar filtros baseados em atributos. Isto permite-lhe controlar quais objetos devem ser sincronizados na nuvem.

Filtragem baseada em domínios configurado

Esta secção fornece-lhe os passos necessários para configurar o filtro de domínio.

Nota

Se modificar o filtro de domínio, também precisa de atualizar os perfis de execução.

Para definir o filtro de domínio, execute os seguintes passos:

  1. Inicie sessão no computador que está a executar AADSync utilizando uma conta que é membro do grupo de segurança ADSyncAdmins.

  2. No Início, toque ou clique no Serviço de Sincronização para abrir o Service Manager de Sincronização.

    Synchronization Service

  3. Para abrir a vista dos conectores, clique em Conectores no menu Ferramentas .

  4. Na lista de Conectores, selecione o conector que tem Domínio do Ative Directory Serviço como Tipo.

  5. Para abrir o diálogo Propriedades , clique em Propriedades no menu Ações .

  6. Clique em Configurar Divisórias do Diretório.

  7. Na lista de partições de diretório Select , verifique se apenas as divisórias que pretende sincronizar são selecionadas.

    Aviso

    Para remover um domínio do processo de sincronização, limpe a caixa de verificação do domínio.

  8. Para fechar o diálogo Propriedades , clique em OK.

Se tiver atualizado o filtro de domínio, também tem de atualizar os seguintes perfis de execução:

  • Importação Completa

  • Sincronização Completa

  • Importação Delta

  • Sincronização Delta

  • Exportar

Se retirou uma divisória da lista de divisórias do diretório, tem de se certificar de que todas as etapas de perfil de execução que se referem a esta partição também são removidas.

Para remover um passo de um perfil de execução, execute os seguintes passos:

  1. Na lista de Conectores, selecione o conector que tem Domínio do Ative Directory Serviço como Tipo.

  2. Para abrir os Perfis de Execução configurados para dialogar, clique em Configurar Perfis de Execução no menu Ações .

  3. Na lista de perfis de execução do Conector , selecione o perfil de execução que pretende configurar

  4. Para cada passo na lista de detalhes do passo, execute os seguintes passos:

    1. Se necessário, clique no passo para expandir os detalhes do passo.

    2. Se o valor do atributo De partição for um GUID, clique em Eliminar Passo.

  5. Para fechar os Perfis de Execução configurados para dialogar, clique em OK.

Se tiver adicionado uma partição à lista de divisórias de diretório, tem de se certificar de que está disponível um passo de perfil de execução para essa partição em cada um dos perfis de execução da lista acima.

Para adicionar um passo a um perfil de execução, execute os seguintes passos:

  1. Na lista de Conectores, selecione o conector que tem Domínio do Ative Directory Serviço como Tipo.

  2. Para abrir os Perfis de Execução configurados para dialogar, clique em Configurar Perfis de Execução no menu Ações .

  3. Na lista de perfis de execução do Conector , selecione o perfil de execução que pretende configurar

  4. Para abrir o diálogo de perfil de execução de configuração , clique em New Step.

  5. Na página Configure Step , na lista de tipos de passo, selecione o tipo de passo e, em seguida, clique em Seguinte.

  6. Na página de Configuração do Conector , na lista de partição , selecione o nome da partição que adicionou ao filtro de domínio.

  7. Para fechar o diálogo Configure Run Profile , clique em Terminar.

  8. Para fechar os Perfis de Execução configurados para dialogar, clique em OK.

Filtragem organizacional-baseada em unidades de configure

Para configurar a filtragem baseada em unidade organizacional

  1. Inicie sessão no computador que está a executar AADSync utilizando uma conta que é membro do grupo de segurança ADSyncAdmins.

  2. No Início, toque ou clique no Serviço de Sincronização para abrir o Service Manager de Sincronização.

    Synchronization Service

  3. Na sincronização Service Manager, clique em Conectores e, em seguida, clique duas vezes em SourceAD.

  4. Clique em Configurar Partições do Diretório, selecione o domínio que pretende configurar e, em seguida, clique em Recipientes.

  5. Quando solicitado, insira as suas credenciais de domínio para a floresta Ative Directory no local.

    Nota

    Quando apresentada com a caixa de diálogo de credenciais, será apresentada a conta utilizada para importar e exportar para DS AD. Se não souber a palavra-passe da conta pode introduzir outra conta a utilizar. A conta que utiliza deve ter lido permissões para o domínio que está atualmente a ser configurado.

  6. Na caixa de diálogo Select Containers , limpe as OUs que não pretende sincronizar com o diretório de nuvem e, em seguida, clique em OK.

  7. Clique em OK na página SourceAD Properties

  8. Executar uma importação completa e uma sincronização delta completando os seguintes passos:

    1. Na lista de conectores, selecione SourceAD

    2. Para abrir o diálogo Run Connector , selecione Executar a partir do menu Ações .

    3. Na lista de perfis run, selecione Full Import e, em seguida, aguarde que o perfil de execução esteja concluído.

    4. Para abrir o diálogo Run Connector , selecione Executar a partir do menu Ações .

    5. Na lista de perfis run, selecione Delta Synchronization e, em seguida, aguarde que o perfil de execução esteja concluído.

Configurar a filtragem baseada em atributos

Existem várias formas de configurar a filtragem com base em atributos. Recomenda-se a configuração na entrada a partir de AD, uma vez que estas definições de configuração serão mantidas mesmo após uma atualização para uma versão mais recente. A configuração no saída para a AAD é suportada, mas estas definições não serão mantidas após uma atualização para uma versão mais recente e só devem ser utilizadas quando for necessário olhar para o objeto combinado no metaverso para determinar a filtragem.

Filtragem de entrada

A filtragem baseada em entrada está a alavancar a configuração padrão em que os objetos que vão para a AAD devem ter o atributo metaverso cloudFiltered não definido para um valor e o ponto de acesso metaversoObjectType definido para "Utilizador" ou "Contacto".

A nuvem de atributoFiltered deve ser definida como True quando o objeto não deve ser sincronizado para Azure AD e mantido vazio em outros casos. Este método é usado quando podemos olhar para um objeto e dizer que não queremos sincronizar um objeto (filtragem negativa).

Neste exemplo, filtraremos todos os utilizadores onde a extensãoAttribute15 tem o valor NoSync.

  1. Inicie sessão no computador que está a executar AADSync utilizando uma conta que é membro do grupo de segurança ADSyncAdmins.

  2. Open Synchronization Rules Editor encontrando-o no Menu Iniciar.

  3. Certifique-se de que a Entrada está selecionada e clique em Adicionar Nova Regra.

  4. Dê à regra um nome descritivo, como In de AD – User DoNotSyncFilter, selecione a floresta correta, o Utilizador como o tipo de objeto CS e a Pessoa como o tipo de objeto MV. No Tipo de Ligação selecione Juntar e em precedência escrever um valor atualmente não utilizado por outra Regra de Sincronização, por exemplo, 50. Clique em Seguinte.

  5. No filtro de scoping clique em Adicionar Grupo, clique em Adicionar Cláusula e no atributo selecione ExtensionTribute15. Certifique-se de que o Operador está definido para IGUAL e digite o valor NoSync na caixa Valor. Clique em Seguinte.

  6. Deixe as regras de 'Unir' vazias e clique em Seguinte.

  7. Clique em Adicionar Transformação, selecione o FlowType para Constant, selecione o Atributo Destino cloudFiltered e na caixa de texto 'Fonte', digite em Verdadeiro. Clique em Adicionar para guardar a regra.

  8. Execute uma sincronização completa: no separador Conectores, clique com o botão direito SourceAD, clique em Executar, clique na Sincronização Completa e, em seguida, clique em OK.

A fonte de atributoObjectType irá providenciar um Utilizador ou Contacto à AAD se este atributo tiver o valor Utilizador ou Contacto respectivamente. Ao criar uma Regra de Sincronização com uma precedência maior do que as que estão fora da caixa, podemos anular o comportamento padrão. Este método dá-nos também a oportunidade de exprimir regras positivas e negativas.

Neste exemplo, apenas sincronizaremos os utilizadores onde o atributo do departamento é "Vendas" ou está vazio.

  1. Inicie sessão no computador que está a executar AADSync utilizando uma conta que é membro do grupo de segurança ADSyncAdmins.

  2. Open Synchronization Rules Editor encontrando-o no Menu Iniciar.

  3. Certifique-se de que a Entrada está selecionada e clique em Adicionar Nova Regra.

  4. Dê à regra um nome descritivo, como In de AD – User DoNotSyncFilter, selecione a floresta correta, o Utilizador como o tipo de objeto CS e a Pessoa como o tipo de objeto MV. No Tipo de Ligação selecione Juntar e em precedência escrever um valor atualmente não utilizado por outra Regra de Sincronização, por exemplo, 60. Clique em Seguinte.

  5. Deixe o filtro de descodão e junte as regras vazias e clique em Seguida duas vezes.

  6. Clique em Adicionar Transformação, selecione o FlowType para a expressão e selecione o Atributo Alvo para sourceObjectType. Na Fonte, digite a seguinte expressão:

    IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))

  7. Clique em Adicionar para guardar a regra

  8. Execute uma sincronização completa: no separador Conectores, clique com o botão direito SourceAD, clique em Executar, clique na Sincronização Completa e, em seguida, clique em OK. Aqui está um resultado como isto seria:

    cloudFiltered

    Aviso

    Note que estamos a usar uma mistura de CloudFiltered e sourceObjectType para determinar que objetos queremos sincronizar com a AAD.

Com o uso de expressões temos opções de filtragem muito poderosas. Na expressão acima, note que fornecemos o NUL literal quando o departamento não está presente e quando o departamento era Vendas. Isto indica que este atributo não contribuiu com um valor e as regras fora da caixa serão avaliadas. Queremos isto para que possam determinar se é um Utilizador ou Contacto que devemos criar no AAD.

Filtragem baseada em saída

Em alguns casos, é necessário fazer a filtragem apenas depois de os objetos se terem juntado no metaverso. Poderia, por exemplo, ser necessário olhar para o atributo de correio da floresta de recursos e o atributo userPrincipalName da floresta de conta para determinar se um objeto deve ser sincronizado. Nestes casos, criaremos a filtragem da regra de saída.

Nota

Este método requer uma alteração das regras de sincronização fora de caixa. A alteração do âmbito de aplicação de uma Regra de Sincronização é suportada, mas a alteração pode não ser preservada após a atualização para uma versão mais recente do AADSync. Se utilizar a filtragem baseada em saída, tome nota das alterações a fazer e depois de uma atualização certifique-se de que a filtragem ainda existe e recandidata-se se necessário.

Neste exemplo, vamos alterar a filtragem para que apenas os utilizadores onde tanto o correio como o userPrincipalName terminam com @contoso.com serão sincronizados.

  1. Inicie sessão no computador que está a executar AADSync utilizando uma conta que é membro do grupo de segurança ADSyncAdmins.

  2. Open Synchronization Rules Editor encontrando-o no Menu Iniciar.

  3. Em Termos de Tipos de Regras clique em Outbound.

  4. Encontre a regra nomeada para fora para AAD – User Join. Clique em Editar.

  5. Clique no filtro de deteção na navegação da mão esquerda. Clique na cláusula Adicionar e no Atributo selecione e-mail, no Operador selecione ENDSWITH e no Tipo valor @contoso.com. Clique na cláusula Adicionar e em Attribiute selecione userPrincipalName, in Operator select ENDSWITH, and in Value type @contoso.com.

  6. Clique em Guardar.

  7. Execute uma sincronização completa: no separador Conectores, clique com o botão direito SourceAD, clique em Executar, clique na Sincronização Completa e, em seguida, clique em OK.

Sincronização de palavra-passe com filtragem

Consulte também

Conceitos

Azure Ative Directory Sync