Синхронизация Microsoft Entra Connect: настройка фильтрации

С помощью фильтрации можно контролировать, какие объекты отображаются в идентификаторе Microsoft Entra из локального каталога. Конфигурация по умолчанию включает в себя большинство объектов во всех доменах в настроенных лесах. Эта конфигурация является рекомендуемой в большинстве случаев. Пользователи приложений Microsoft 365 (например, Exchange Online или Skype для бизнеса) могут использовать глобальный список адресов для отправки сообщений электронной почты и осуществления звонков по всем адресам. Использование конфигурации по умолчанию позволяет им работать так же, как и с локальным экземпляром Exchange или Lync.

Примечание.

Microsoft Entra Cloud Sync и Microsoft Entra Connect Sync фильтруют все объекты Active Directory, в которых атрибут isCriticalSystemObject имеет значение True. Это отфильтрует встроенные объекты с высокими привилегиями Active Directory, такие как Администратор, Администраторы Домена, Enterprise Admins.  Эта фильтрация означает, что последние две группы по умолчанию НЕ синхронизируются с Entra ID.

Однако другие объекты, добавленные в группу с высоким уровнем привилегий (DomainAdmins, EnterpriseAdmins), не отфильтрованы от синхронизации с облаком. Например, если добавить локального пользователя AD в группу EnterpriseAdmins, этот пользователь по-прежнему будет синхронизирован с идентификатором Microsoft Entra.

Тем не менее в некоторых случаях в конфигурацию по умолчанию все же нужно внести некоторые изменения. Далее приводятся некоторые примеры.

• Вы запускаете пилотный проект для Azure или Microsoft 365, и требуется только подмножество пользователей в идентификаторе Microsoft Entra. В небольшом пилотном проекте не важно иметь полный глобальный список адресов для демонстрации функциональности.
• У вас есть множество учетных записей служб и других учетных записей, не относящихся к личным, которые не нужны в Microsoft Entra ID.
• В целях обеспечения соответствия нельзя локально удалять учетные записи пользователей, Вы их только отключаете. В Microsoft Entra ID должны присутствовать только активные учетные записи.

В этой статье описано, как настроить различные методы фильтрации.

Внимание

Корпорация Майкрософт не поддерживает изменение или операционную синхронизацию Microsoft Entra Connect за пределами действий, которые официально документированы. Любое из этих действий может привести к несогласованным или неподдерживаемому состоянию синхронизации Microsoft Entra Connect. В результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.

Основные сведения и важные примечания

В Microsoft Entra Connect Sync можно включить фильтрацию в любое время. Если вы начинаете с конфигурации синхронизации каталогов по умолчанию, а затем настраиваете фильтрацию, то отфильтрованные объекты больше не синхронизируются с идентификатором Microsoft Entra. Из-за этого изменения все объекты в идентификаторе Microsoft Entra, которые ранее были синхронизированы, но затем отфильтрованы, удаляются в идентификаторе Microsoft Entra.

Прежде чем начать вносить изменения в фильтрацию, убедитесь, что вы отключите встроенный планировщик или переключите сервер на промежуточный режим, чтобы случайно не экспортировать изменения, которые ещё не проверены.

Так как фильтрация может одновременно удалять множество объектов, необходимо убедиться, что новые фильтры правильны, прежде чем приступить к экспорту любых изменений в идентификатор Microsoft Entra. После выполнения действий по настройке настоятельно рекомендуется выполнить действия проверки перед экспортом и внесением изменений в идентификатор Microsoft Entra.

Функция предотвращения случайного удаления включена по умолчанию, что позволяет предотвратить случайное удаление множества объектов. При удалении многих объектов из-за фильтрации (500 по умолчанию) необходимо выполнить действия, описанные в этой статье, чтобы разрешить удалениям перейти к идентификатору Microsoft Entra.

Если вы используете сборку, выпущенную до ноября 2015 года (1.0.9125), при внесении изменений в конфигурацию фильтра, когда используется синхронизация хэша паролей, необходимо активировать полную синхронизацию всех паролей после завершения настройки. Описание шагов по запуску полной синхронизации паролей см. в разделе Запуск полной синхронизации всех паролей. Если вы используете сборку 1.0.9125 или более поздней версии, при выборе стандартного действия полной синхронизации можно задать, какие пароли следует синхронизировать, что лишает необходимости в дополнительном шаге.

Если пользовательские объекты были непреднамеренно удалены в идентификаторе Microsoft Entra ID из-за ошибки фильтрации, можно повторно создать объекты пользователя в идентификаторе Microsoft Entra, удалив конфигурации фильтрации. Затем можно снова синхронизировать каталоги. Это действие восстанавливает пользователей из корзины в Microsoft Entra ID. Однако удаление объектов других типов отменить нельзя. Например, если вы случайно удалите группу безопасности, использованную для управления доступом к ресурсу (ACL), нельзя будет восстановить ни группу, ни её списки управления доступом.

Microsoft Entra Connect удаляет только те объекты, которые когда-то считались находящимися в области действия. Если есть объекты в идентификаторе Microsoft Entra, созданные другим механизмом синхронизации, и эти объекты не находятся в области, добавление фильтрации не удаляет их. Например, если начать работу с сервером облачной синхронизации Microsoft Entra, который создал полную копию всего каталога в Microsoft Entra ID, и вы устанавливаете новый сервер синхронизации Microsoft Entra Connect параллельно с фильтрацией, включенной с самого начала, Microsoft Entra Connect не удаляет дополнительные объекты, созданные облачной синхронизацией.

Конфигурация фильтрации сохраняется при установке или обновлении до более новой версии Microsoft Entra Connect. Перед выполнением первого цикла синхронизации мы настоятельно рекомендуем убедиться, что ваша конфигурация не была случайно изменена после обновления до новой версии.

При наличии нескольких лесов параметры фильтрации, описанные в этой статье, нужно применить к каждому из них (если у всех лесов должна быть одинаковая конфигурация).

Отключение планировщика синхронизации

Чтобы отключить встроенный планировщик, запускающий цикл синхронизации каждые 30 минут, выполните следующие действия.

1. Откройте Windows PowerShell, импортируйте модуль ADSync и отключите планировщик с помощью следующих команд.

Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

2. Внесите изменения в фильтр области и проверьте результаты, как описано в этой статье.
3. Когда вы будете готовы, повторно включите планировщик синхронизации с помощью следующей команды.

Set-ADSyncScheduler -SyncCycleEnabled $True

Параметры фильтрации

В средстве синхронизации каталога можно настроить использование следующих типов конфигурации фильтрации:

• По группам. Фильтрацию по одной группе можно настроить только при изначальной установке с помощью соответствующего мастера.
• На основе домена: с помощью этого параметра можно выбрать, какие домены синхронизируются с идентификатором Microsoft Entra. Вы также можете добавлять и удалять домены из конфигурации подсистемы синхронизации при внесении изменений в локальную инфраструктуру после установки Microsoft Entra Connect Sync.
• Подразделение (OU) — на основе этого параметра можно выбрать, какие подразделения синхронизируются с идентификатором Microsoft Entra. Этот вариант распространяется на все типы объектов в выбранных ОЕ.
• По атрибутам. Этот параметр позволяет фильтровать объекты по значениям атрибутов. Кроме того, для объектов различных типов можно использовать разные фильтры.

Можно также одновременно использовать несколько параметров фильтрации. Например, можно использовать фильтрацию на основе ОЕ, чтобы включить объекты только в одной организационной единице. В то же время вы можете использовать фильтрацию по атрибутам для дальнейшей фильтрации объектов. При использовании нескольких методов фильтрации между фильтрами ставится логический оператор AND.

Фильтрация по доменам

В этом разделе описана процедура настройки фильтра по доменам. Если вы добавили или удалили домены в лесу после установки Microsoft Entra Connect, необходимо также обновить конфигурацию фильтрации.

Чтобы изменить фильтрацию по доменам, запустите мастер установки: Фильтрация по доменам и организационным единицам. Мастер установки автоматизирует все описанные здесь задачи.

Фильтрация по подразделениям

Чтобы изменить фильтрацию на основе OU, запустите мастер установки: Фильтрация доменов и OU. Мастер установки автоматизирует все описанные здесь задачи.

Внимание

Если вы явно выберете организационную единицу (OU) для синхронизации, Microsoft Entra Connect добавит уникальное имя (DistinguishedName) этой организационной единицы в список включения в область охвата синхронизации домена. Однако, если впоследствии вы переименуете эту организационную единицу в Active Directory, изменится имя DistinguishedName этой организационной единицы, и Microsoft Entra Connect больше не будет учитывать эту организационную единицу в области синхронизации. Это не приведет к немедленной проблеме, но при полном шаге импорта Microsoft Entra Connect будет повторно оценить область синхронизации и удалить (то есть устаревшие) любые объекты из области синхронизации, что может привести к неожиданному массовому удалению объектов в идентификаторе Microsoft Entra ID. Чтобы предотвратить эту проблему, после переименования подразделения запустите мастер Microsoft Entra Connect и повторно выберите подразделение для повторного включения в область синхронизации.

Фильтрация по атрибутам

Прежде чем выполнить следующие действия, убедитесь, что вы используете сборку, выпущенную в ноябре 2015 г. (1.0.9125), или более поздней версии.

Внимание

Корпорация Майкрософт рекомендует не изменять правила по умолчанию, созданные Microsoft Entra Connect. Если вы хотите изменить правило, клонируйте его и отключите исходное правило. Внесите любые изменения в клонированное правило. Обратите внимание, что при этом (отключении исходного правила) вы пропустите все исправления ошибок или функции, включенные с помощью этого правила.

Фильтрация на основе атрибутов — самый гибкий способ отфильтровать объекты. Вы можете использовать возможность декларативной подготовки для управления почти каждым аспектом синхронизации объекта с идентификатором Microsoft Entra.

Вы можете применить входящий фильтр из Active Directory к метавселенной и исходящей фильтрации из метавселенной к идентификатору Microsoft Entra. Мы рекомендуем применять фильтрацию по входящим, так как это самый легкий в обслуживании метод. Вы должны использовать исходящую фильтрацию, только если это необходимо для присоединения объектов из нескольких лесов перед тем как можно будет провести оценку.

Фильтрация входящих объектов

Входящий фильтр использует конфигурацию по умолчанию, в которой объекты, отправляемые в Microsoft Entra ID, должны иметь атрибут метасферы cloudFiltered, значение которого не должно быть установлено для синхронизации. Если для атрибута задано значение True, то объект не синхронизируется. Для этого параметра не следует устанавливать значение False. Чтобы можно было передавать значение с помощью других правил, у этого атрибута должно быть значение True или NULL (значение отсутствует).

Обратите внимание, что в Microsoft Entra Connect предусмотрена очистка объектов, за предоставление которых она отвечала в Microsoft Entra ID. Если система ранее не подготовила объект в Microsoft Entra ID и получает объект Microsoft Entra на этапе импорта, она правильно предполагает, что объект был создан в Microsoft Entra ID другой системой. Microsoft Entra Connect не очищает эти типы объектов Microsoft Entra, даже если атрибут cloudFiltered метавселенной имеет значение True.

В входящей фильтрации вы используете возможности области, чтобы определить, какие объекты синхронизировать, а какие нет. Эта процедура предназначена для внесения изменений в соответствии с требованиями вашей организации. Модуль области имеет группу и предложение для определения, когда правило синхронизации находится в рамках области. В группе содержится одно или несколько предложений. Если предложений несколько, в качестве их разделителя используется логический оператор AND, а при наличии нескольких групп — оператор OR.

Вот пример.

Его следует рассматривать так: (department = IT) OR (department = Sales AND c = US).

В следующих образцах кода и шагах в качестве примера используется объект-пользователь, но их можно использовать для объектов любого типа.

В следующих примерах значение приоритета начинается с 50. Это может быть любое не используемое число, но оно должно быть меньше 100.

Отрицательная фильтрация (выбор объектов, которые не следует синхронизировать)

В примере ниже отфильтруем (но не синхронизируем) всех пользователей для атрибута extensionAttribute15 с заданным значением NoSync.

1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
2. В меню Пуск запустите редактор правил синхронизации.
3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).
4. Задайте для правила описательное имя, например In from AD – User DoNotSyncFilter. Выберите правильный лес, выберите Пользователь в качестве Типа объекта CS и Person в качестве Типа объекта MV. В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 50), и нажмите кнопку Далее.
   
5. В Scoping filter (Фильтр области действия) щелкните Добавить группу и Добавить условие. В поле Атрибут выберите ExtensionAttribute15. В качестве оператора выберите EQUAL и в поле Значение введите NoSync. Нажмите кнопку Далее.
   
6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
7. Щелкните Add Transformation (Добавить преобразование), для параметра FlowType (Тип потока) выберите значение Константа, а для параметра Целевой атрибут — значение cloudFiltered. В текстовом поле Источник введите значение True. Щелкните Добавить , чтобы сохранить правило.
   
8. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Продолжите знакомство с разделом Применение и проверка изменений.

Положительная фильтрация (выбор объектов, которые нужно синхронизировать)

Настройка положительной фильтрации может оказаться более сложной задачей, так как нужно учесть объекты, для которых необходимость синхронизации не очевидна, например конференц-залы. Необходимо также переопределить фильтр по умолчанию в стандартном правиле In from AD - User Join. При создании пользовательского фильтра не следует включать критически важные системные объекты, объекты конфликтов репликации, специальные почтовые ящики и учетные записи служб Microsoft Entra Connect.

Для положительной фильтрации требуется два правила синхронизации: одно правило синхронизации (или несколько) с правильной областью объектов для синхронизации, и правило синхронизации catch-all, которое отфильтровывает все остальные объекты, которые не должны синхронизироваться.

В примере ниже синхронизируем только объекты-пользователи, у которых для атрибута department задано значение Sales.

1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
2. В меню Пуск запустите редактор правил синхронизации.
3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).
4. Задайте для правила описательное имя, например In from AD – User Sales sync. Выберите правильный лес, выберите Пользователь в качестве CS object type и Человек в качестве MV object type. В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 51), и нажмите кнопку Далее.
   
5. В поле Scoping filter (Фильтр области действия) щелкните Добавить группу и щелкните Добавить условие. В разделе Атрибут выберите department. Убедитесь, что оператор установлен на EQUAL, и введите значение Sales в поле Значение. Нажмите кнопку Далее.
   
6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
7. Щелкните Add Transformation (Добавить преобразование), выберите Constant (Константа) в качестве FlowType (Тип потока), а в качестве Целевой атрибут выберите cloudFiltered. В поле Источник введите значение False. Щелкните Добавить , чтобы сохранить правило.
   
   Это особый случай, когда явно требуется задать для параметра cloudFiltered значение False.
8. Теперь мы должны создать универсальное правило синхронизации. Задайте правилу описательное имя, например In from AD — User Catch-all filter. Выберите правильный лес, и выберите Пользователь в качестве CS object type (Тип объекта CS), и Person в качестве MV object type (Тип объекта MV). В поле Тип связи выберите Join (Присоединение). В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 99). Вы выбрали значение приоритета, которое выше (т.е. с более низким приоритетом), чем у предыдущего правила синхронизации. но вы также оставили некоторое пространство, чтобы в дальнейшем можно было добавить дополнительные правила фильтрации для синхронизации, когда вы захотите начать синхронизировать дополнительные отделы. Нажмите кнопку Далее.
   
9. Оставьте поле Scoping filter (Фильтр области) пустым и нажмите кнопку Далее. Если поле фильтра пустое, правило применяется ко всем объектам.
10. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.
11. Щелкните Add Transformation (Добавить преобразование), выберите значение Константа в качестве параметра FlowType (Тип потока) и cloudFiltered для параметра Целевой атрибут. В поле Источник введите значение True. Щелкните Добавить , чтобы сохранить правило.
    
12. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Продолжите знакомство с разделом применение и проверка изменений.

При необходимости вы можете создать дополнительные правила первого типа, включив в синхронизацию больше объектов.

Фильтрация исходящего трафика

В некоторых случаях фильтрацию необходимо выполнять только после объединения объектов в метавселенной. Например, может потребоваться рассмотреть атрибут mail из леса ресурсов и атрибут userPrincipalName из леса учетных записей, чтобы определить, должен ли объект быть синхронизирован. В таких случаях нужно создать фильтрацию по исходящему правилу.

В примере ниже мы изменим фильтрацию так, чтобы синхронизировались только пользователи, значения атрибутов mail и userPrincipalName которых заканчиваются на @contoso.com.

1. Войдите на сервер, на котором выполняется синхронизация Microsoft Entra Connect с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins .
2. В меню Пуск запустите редактор правил синхронизации.
3. В разделе Rules Type (Тип правил) выберите Outbound (Исходящие).
4. В зависимости от версии Connect, которую вы используете, найдите правило с именем Out to Microsoft Entra ID – User Join или Out to Microsoft Entra ID - User Join SOAInAD и нажмите Изменить.
5. Во всплывающем окне нажмите кнопку Да , чтобы создать копию правила.
6. На странице Описание измените приоритет, установив неиспользуемое значение, например 50.
7. В левой части навигационной панели щелкните Scoping filter, а затем щелкните Добавить условие. В разделе Атрибут выберите mail. В разделе Оператор выберите ENDSWITH. В разделе Значение введите @contoso.com и нажмите кнопку Добавить условие. В разделе Атрибут выберите userPrincipalName. В Операторе выберите ENDSWITH. В разделе Значение введите @contoso.com.
8. Нажмите кнопку Сохранить.
9. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Продолжите знакомство с разделом Применение и проверка изменений.

Примените и проверьте изменения

После внесения изменений в конфигурацию их необходимо применить к объектам, которые уже есть в системе. Кроме того, могут быть объекты, которые отсутствуют в модуле синхронизации, но их нужно обработать. Для этого модулю синхронизации нужно еще раз выполнить чтение из исходной системы, чтобы проверить ее содержимое.

Если вы изменили конфигурацию с помощью фильтрации домена или подразделения, необходимо выполнить полный импорт, а затем разностную синхронизацию.

Если вы изменили конфигурацию с помощью атрибута фильтрации, необходимо выполнить полную синхронизацию.

Рекомендуется убедиться, что сервер находится в Staging режиме и запустить цикл начальной синхронизации, который будет выполнять полный импорт и полную синхронизацию на всех соединителях с помощью PowerShell команды Start-ADSyncSyncCycle -PolicyType Initial.

Чтобы вручную запустить профиль выполнения, выполните следующие действия.

1. Запустите службу синхронизации из меню Пуск.
2. Выберите Соединители. В списке соединителей выберите элемент, конфигурация которого ранее была изменена. В разделе Действия выберите Запуск.
   
3. В разделе Run profiles (Профили выполнения) выберите операцию, о которой шла речь в предыдущем разделе. Если необходимо выполнить два действия, запустите второе после завершения первого (в столбце Состояние выбранного соединителя должно быть указано Неактивно).

После синхронизации все изменения будут подготовлены для экспорта. Прежде чем вносить изменения в идентификатор Microsoft Entra, необходимо убедиться, что все эти изменения верны.

1. Откройте командную строку и перейдите в %ProgramFiles%\Microsoft Azure AD Sync\bin.
2. Запустите csexport "Name of Connector" %temp%\export.xml /f:x.
   Имя соединителя можно найти в службе синхронизации. Он имеет имя, похожее на "contoso.com — Microsoft Entra ID" для Microsoft Entra ID.
3. Запустите CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. Теперь у вас в папке %temp% есть файл export.csv, который можно просмотреть в Microsoft Excel. Этот файл содержит все изменения, которые будут экспортированы.
5. Внесите необходимые изменения в данные и конфигурацию, а затем выполните описанные выше действия (импорт, синхронизация и проверка) повторно, чтобы привести изменения, которые предстоит экспортировать, в нужный вид.

Когда вы удовлетворены, экспортируйте изменения в идентификатор Microsoft Entra.

1. Выберите Соединители. В списке соединителей выберите соединитель Microsoft Entra. В разделе Действия выберите Запуск.
2. В Run profiles выберите Экспорт.
3. Если в результате изменения конфигурации будет удалено слишком много объектов, вы увидите ошибку во время экспорта, если их количество превышает пороговое значение (по умолчанию — 500). В случае возникновения ошибки необходимо временно отключить функцию предотвращения случайного удаления.

Теперь пришло время повторно включить планировщик синхронизации.

Фильтрация на основе группы

Вы можете настроить фильтрацию на основе групп при первой установке Microsoft Entra Connect с помощью настраиваемой установки. Она предназначена для пилотного развертывания, в котором должно синхронизироваться только небольшое количество объектов. После отключения фильтрацию на основе группы невозможно будет включить заново. Не поддерживается использование фильтрации на основе группы в настраиваемой конфигурации. Эту функцию можно настроить только с помощью мастера установки. После завершения пилотного проекта следует использовать какой-либо другой метод фильтрации, описанный в этой статье. Если вы используете фильтрацию по подразделениям в сочетании с фильтрацией по группам, следует включить подразделения, в которых находятся группы и их участники.

При синхронизации нескольких лесов AD можно настроить фильтрацию по группам, указав отдельные группы для каждого соединителя AD. Если нужно синхронизировать пользователя в одном лесу AD и у этого пользователя есть несколько соответствующих объектов в других лесах AD, необходимо убедиться, что на объект пользователя и все соответствующие объекты распространяется фильтрация на основе групп. Примеры приведены ниже.

• У пользователя в одном лесу имеется соответствующий объект FSP (внешний субъект безопасности) в другом лесу. Оба объекта должны находиться в рамках групповой фильтрации. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

• У вас есть пользователь в одном лесу с соответствующей учетной записью ресурса (например, связанным почтовым ящиком) в другом лесу. Кроме того, вы настроили Microsoft Entra Connect, чтобы связать пользователя с учетной записью ресурса. На оба объекта должна распространяться фильтрация, основанная на группах. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

• У пользователя в одном лесу имеется соответствующий почтовый контакт в другом лесу. Кроме того, вы настроили Microsoft Entra Connect, чтобы связать пользователя с почтовым контактом. Оба объекта должны находиться в пределах фильтрации, основанной на группах. В противном случае пользователь не будет синхронизирован с идентификатором Microsoft Entra.

Следующие шаги

• Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.
• Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.