共用方式為

Microsoft Entra Connect 同步:設定篩選

  • 發行項

使用篩選功能可讓您控制內部部署目錄中的哪些物件應該出現在 Microsoft Entra ID 中。 預設組態會擷取所設定樹系中所有網域內的大部分物件。 一般會建議使用者使用這個組態。 完整的全域通訊清單對於使用 Exchange Online 和商務用 Skype 等 Microsoft 365 工作負載的使用者來說十分方便,因為如此一來,他們就可以傳送電子郵件和呼叫每個人。 使用預設設定時,所獲得的體驗與使用 Exchange 或 Lync 的內部部署實作相同。

注意

Microsoft Entra Cloud Sync 和 Microsoft Entra Connect Sync 會篩選掉任何 Active Directory 物件,其中 isCriticalSystemObject 屬性設定為 True。 這會篩選掉內建 AD 高權限物件,例如 Administrator、DomainAdmins、EnterpriseAdmins。  此篩選表示最後兩個群組預設不會同步至 Entra ID。

不過,新增至這些高權限的群組 (DomainAdmins、EnterpriseAdmins) 的其他物件,並不會在同步至雲端時被篩選。 例如,如果您將本機 AD 使用者新增至 EnterpriseAdmins 群組,該使用者仍會同步至 Microsoft Entra ID。

但是,您有時必須對預設組態進行一些變更。 以下列出一些範例:

  • 您正在進行 Azure 或 Microsoft 365 的試點,並且只希望 Microsoft Entra ID 中有一部分使用者參與。 在進行小規模試驗時,並不需要用到完整的全域通訊清單來展示功能。
  • Microsoft Entra ID 中有很多您不需要的服務帳戶和其他非個人帳戶。
  • 為了符合法規,您不能刪除任何內部部署的使用者帳戶。 你只能停用它們。 但您只想要顯示 Microsoft Entra ID 內的使用中帳戶。

本文介紹如何設定不同的篩選方法。

重要

Microsoft 不支援在正式記載的動作以外修改和操作 Microsoft Entra Connect 同步。 任何這類動作都可能會導致 Microsoft Entra Connect 同步的不一致或不受支援的狀態。如此一來,Microsoft 無法為這類部署提供技術支援。

基本概念和重要事項

在 Microsoft Entra Connect 同步處理中,您隨時都能啟用篩選功能。 如果您一開始是使用目錄同步作業的預設組態,接著設定了篩選,則篩選出的物件就不會再同步處理至 Microsoft Entra ID。 因為這項變更,系統會在 Microsoft Entra ID 中,刪除 Microsoft Entra ID 中先前已同步處理但接著篩選出的所有物件。

開始對篩選進行變更之前,請確定您 停用內建排程器將伺服器切換至預備模式,因此您不會不小心導出尚未驗證為正確的變更。

因為篩選後會同時移除許多的物件,您必須先確定新的篩選器正確無誤,然後再開始將變更匯出至 Microsoft Entra ID。 在完成組態設定步驟後,建議您一定要先按照 驗證步驟 中的指示執行過一次,然後才對 Microsoft Entra ID 進行匯出和變更作業。

為了避免您意外刪除許多物件,預設會開啟「防止意外刪除」功能。 如果因為進行篩選而刪除了許多物件 (預設是 500 個),您需要遵循本文中的步驟,允許將刪除結果傳播至 Microsoft Entra ID。

如果您使用 2015 年 11 月 (1.0.9125) 之前的組建、變更篩選組態並使用密碼雜湊同步處理,則在完成組態設定之後,必須觸發所有密碼的完整同步處理。 如需如何觸發密碼的完整同步處理的步驟,請參閱 觸發所有密碼的完整同步處理。 如果您使用組建 1.0.9125 或更新版本,則一般的 完整同步處理 動作也會計算是否應同步處理密碼,以及是否不再需要進行這個額外步驟。

如果在 Microsoft Entra ID 中, 使用者 物件因為篩選錯誤而遭到意外刪除,您可以在 Microsoft Entra ID 中重新建立使用者物件,方法是移除您的篩選組態。 然後您可以再次同步您的目錄。 這個動作會將使用者從 Microsoft Entra ID 的資源回收筒中還原。 不過,您無法取消刪除其他物件類型。 例如,如果您意外刪除安全性群組,而該群組是用來對資源進行 ACL,則無法復原群組和其 ACL。

Microsoft Entra Connect 只會刪除它以前認為在範圍內的物件。 如果 Microsoft Entra ID 中有物件是由另一個同步處理引擎所建立且不在範圍內,則新增篩選並不會移除這些物件。 例如,如果您從 Microsoft Entra 雲端同步伺服器開始,該伺服器會在 Microsoft Entra ID 中建立整個目錄的完整復本,而且您會平行安裝新的 Microsoft Entra Connect 同步處理伺服器,並從頭開始啟用篩選,Microsoft Entra Connect 不會移除雲端同步所建立的額外物件。

當您安裝或升級至較新版本的 Microsoft Entra Connect 時,篩選組態將會保留。 在升級至較新版本之後且在首次執行同步處理循環之前,最好一律先確認設定並未遭到意外變更。

如果您有多個樹系,則您必須套用本主題中所說的篩選組態至每個樹系 (假設您想要讓所有樹系使用相同組態)。

停用同步處理排程器

若要停用每 30 分鐘觸發一次同步處理週期的內建排程器,請遵循下列步驟:

  1. 開啟 Windows Powershell、匯入 ADSync 模組,並使用下列命令停用排程器。
Import-Module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. 進行範圍篩選變更,並確認如本文所述的結果。
  2. 當您準備好時,請使用下列命令重新啟用同步排程器。
Set-ADSyncScheduler -SyncCycleEnabled $True

篩選選項

您可以將以下篩選組態類型套用至目錄同步處理工具:

  • 群組型:您只能在使用安裝精靈進行初始安裝時,設定以單一群組為基礎的篩選。
  • 網域型:使用此選項可讓您選取要將哪些網域同步到 Microsoft Entra ID。 若您在安裝 Microsoft Entra Connect 同步之後對內部部署基礎結構進行變更,您也可以從同步引擎設定新增和移除網域。
  • 組織單位 (OU) 型:使用此選項可讓您選取要將哪些 OU 同步到 Microsoft Entra ID。 此選項會套用在所選組織單位中的所有物件類型上。
  • 屬性型:使用此選項可讓您根據物件上的屬性值來篩選物件。 您也可以為不同的物件類型使用不同的篩選器。

您可以同時使用多個篩選選項。 例如,您可以使用以 OU 為基礎的篩選,將物件僅包含在一個 OU 中。 在此同時,您可以使用屬性型篩選來篩選物件。 當您使用多個篩選方法時,篩選器之間會使用邏輯 "AND"。

網域型篩選

本節提供您設定網域篩選的步驟。 如果您在安裝 Microsoft Entra Connect 之後新增或移除樹系中的網域,也必須更新篩選組態。

若要變更網域型篩選,請執行安裝精靈:網域和 OU 篩選。 安裝精靈將會自動執行本主題中記載的所有工作。

組織單位型篩選

若要變更 OU 型篩選,請執行安裝精靈:網域和 OU 篩選。 安裝精靈將會自動執行本主題中記載的所有工作。

重要

如果您明確選取要同步的 OU,Microsoft Entra Connect 會將該 OU 的 "DistinguishedName" 新增入該網域同步範圍的包含清單。 但如果您稍後在 Active Directory 中重新命名該 OU,OU 的 DistinguishedName 會變更,所以 Microsoft Entra Connect 不再將該 OU 視為在同步範圍中。 這不會造成立即的問題,但在完整匯入步驟時,Microsoft Entra Connect 會重新評估同步範圍,並刪除 (也就是已淘汰的) 任何非同步範圍內的物件,所以可能造成 Microsoft Entra ID 中大量物件在非預期的情況下遭到刪除。 若要避免此問題,請重新命名 OU,然後執行 Microsoft Entra Connect 精靈並重新選取 OU,使其再次包含在同步範圍內。

屬性型篩選

請確定您使用的是 2015 年 11 月 (1.0.9125) 或更新版本,這些步驟才能生效。

重要

Microsoft 建議您不要修改 Microsoft Entra Connect 所建立的預設規則。 如果您想要修改規則,請加以複製,並停用原始規則。 對複製的規則進行任何變更。 請注意,這麼做 (停用原始規則) 會遺漏任何 Bug 修正或透過該規則啟用的功能。

屬性型篩選是最具彈性的物件篩選方式。 您可以使用宣告式佈建的強大功能來控制物件同步處理至 Microsoft Entra ID 時的大多數層面。

您可以從 Active Directory 將輸入篩選套用到 Metaverse,也可以從 Metaverse 將輸出篩選套用到 Microsoft Entra ID。 我們建議您套用輸入篩選,因為這是最容易的維護方式。 僅在需要在進行評估之前將多個樹系的物件合併時,才應該使用外部篩選。

輸入篩選

輸入篩選會使用預設組態,亦即,即將輸入 Microsoft Entra ID 的物件必須未將 Metaverse 屬性 cloudFiltered 設定為要同步處理的值。 如果這個屬性的值設定為 True,則不會同步處理物件。 就設計而言,此值不應設為 False。 為了確保其他規則能夠提供值,這個屬性的值應該只能是 TrueNULL (不存在)。

請注意,Microsoft Entra Connect 旨在清除其負責佈建於 Microsoft Entra ID 中的物件。 如果系統先前未在 Microsoft Entra ID 中佈建物件,但在匯入步驟期間取得 Microsoft Entra 物件,則會正確假設此物件是在其他系統的 Microsoft Entra ID 中建立。 Microsoft Entra Connect 不會清除這類 Microsoft Entra 物件,即使 Metaverse 屬性 cloudFiltered 設定為 True 也一樣。

在輸入篩選中,我們將利用「範圍」的強大功能來決定哪些物件應該或不應該同步處理。 您要在這裡進行調整以符合貴組織的需求。 範圍模組包含「群組」和「子句」,可用來決定何時要將某個同步規則納入範圍中。 「群組」會包含一個或多個「子句」。 多個子句之間有邏輯運算 "AND",而多個群組之間有邏輯運算 "OR"。

讓我們看看以下範例:
螢幕擷取畫面顯示新增範圍篩選條件的範例。
這應該解讀為 (department = IT) OR (department = Sales AND c = US)

在下列範例和步驟中,您將以使用者物件做為例子,但您可以將此例子套用到所有物件類型。

在下列範例中,優先順序值以 50 為開頭。 這可以是任何未使用的數字,但是應該小於 100。

負向篩選:「不要同步這些」

在下列範例中,您會篩除 (不同步處理) extensionAttribute15 的值為 NoSync 的所有使用者。

  1. 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
  2. 開始功能表啟動同步處理規則編輯器
  3. 確定已選取 [輸入],然後按一下 [新增規則]
  4. 為規則提供一個描述性名稱,例如 "In from AD – User DoNotSyncFilter"。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 50),然後按 [下一步]
    輸入 1 描述
  5. 在 [範圍設定篩選] 中,按一下 [新增群組],然後按一下 [新增子句]。 在 [屬性] 中,選取 [ExtensionAttribute15]。 確定已將 [運算子] 設為 [EQUAL],然後在 [值] 方塊中輸入值 NoSync。 按一下 [下一步] 。
    輸入 2 範圍
  6. 將 [聯結] 規則保留空白,然後按 [下一步]
  7. 按一下 [新增轉換]、選取 [FlowType] 做為 [常數],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 文字方塊中,輸入 True。 按一下 [新增] 以儲存規則。
    輸入 3 轉換
  8. 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。

正向篩選:「只同步這些」

表達正面過濾可能更具挑戰性,因為您還必須考慮一些不明顯的同步物件,例如會議室。 您也將覆寫預設規則 In from AD - User Join 中的預設篩選器。 當您建立自訂篩選時,請確定不包含 Microsoft Entra Connect 的關鍵性系統物件、複寫衝突物件、特殊信箱和服務帳戶。

正向篩選選項需要兩個同步處理規則:一個或更多同步處理規則準確定義要同步的物件範圍,以及一個通用同步處理規則用於篩選掉不應同步處理的剩餘物件。

在下列範例中,您只會同步處理部門屬性值為 Sales的使用者物件。

  1. 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
  2. 從 [開始] 功能表啟動 [同步處理規則編輯器]
  3. 確定已選取 [輸入],然後按一下 [新增規則]
  4. 為規則提供一個描述性名稱,例如 "In from AD – User Sales sync"。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 51),然後按 [下一步]
    輸入 4 描述
  5. 在 [範圍設定篩選] 中,按一下 [新增群組],然後按一下 [新增子句]。 在 [屬性] 中,選取 [部門]。 確定已將 [運算子] 設為 [EQUAL],然後在 [值] 方塊中輸入值 Sales。 按一下 [下一步] 。
    輸入 5 範圍
  6. 將 [聯結] 規則保留空白,然後按 [下一步]
  7. 按一下 [新增轉換]、選取 [常數] 做為 [FlowType],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 方塊中,輸入 False。 按一下 [新增] 以儲存規則。
    輸入 6 轉換
    這是一個特殊案例,在此您會將 cloudFiltered 明確設定為 False
  8. 我們現在必須建立一個適用於所有情況的同步規則。 為該規則提供一個具體描述的名稱,例如「In from AD – User Catch-all filter」。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 99)。 您已選取高於 (較低優先順序) 先前同步處理規則的優先順序值。 但是,您也留一些空間,這樣當您稍後要開始同步處理其他部門時,可以新增更多篩選同步處理規則。 按一下 [下一步] 。
    輸入 7 描述
  9. 將 [範圍設定篩選] 保留空白,然後按 [下一步]。 空白篩選器表示規則會套用至所有物件。
  10. 將 [聯結] 規則保留空白,然後按 [下一步]
  11. 按一下 [新增轉換]、選取 [常數] 做為 [FlowType],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 方塊中,輸入 True。 按一下 [新增] 以儲存規則。
    輸入 3 轉換
  12. 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。

如有需要,您可以建立更多第一種類型的規則,以在同步處理作業中納入更多物件。

輸出篩選

在某些情況下,只有在 Metaverse 中聯結物件之後,才需進行篩選。 例如,可能需要查看資源樹系中的 mail 屬性,以及帳戶樹系中的 userPrincipalName 屬性,以確定物件是否應該同步。 在這些情況下,您將在輸出規則上建立篩選。

在此範例中,您將變更篩選,讓系統只同步處理 mail 和 userPrincipalName 兩者結尾都是 @contoso.com 的使用者:

  1. 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
  2. 從 [開始] 功能表啟動 [同步處理規則編輯器]
  3. 在 [規則類型] 下方按一下 [外向]
  4. 根據您使用的 Connect 版本,請尋找名為 Out to Microsoft Entra ID – User JoinOut to Microsoft Entra ID - User Join SOAInAD 的規則,然後按一下 [編輯]
  5. 在彈出視窗中,選擇 [是] 來建立規則的副本。
  6. 在 [描述] 頁面上,將 [優先順序] 變更為一個未使用的值,例如 50。
  7. 按一下左邊導覽列上的 [範圍設定篩選],然後按一下 [新增子句]。 在 [屬性] 中,選取 [郵件]。 在 運算子 中,選取 ENDSWITH。 在 [值] 中,輸入 @contoso.com,然後按一下 [新增子句]。 在 [屬性] 中,選取 [userPrincipalName]。 在 運算子 中,選取 ENDSWITH。 在 [值] 中,輸入 @contoso.com
  8. 按一下 儲存
  9. 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。

套用並驗證變更

在變更組態後,必須將這些變更套用至系統中已有的物件。 情況也可能是目前不在同步處理引擎中的物件應受到處理,因此同步處理引擎需要再次讀取來源系統,以確認其內容。

如果您使用 網域組織單位 篩選來變更組態,則必須執行 完整匯入,後面接著 差異同步處理

如果您使用 屬性 篩選來變更組態,則必須執行 完整同步處理

最佳做法是,請確定您的伺服器處於 預備模式 ,並使用PowerShell命令 Start-ADSyncSyncCycle -PolicyType Initial在所有連接器上執行完整匯入和完整同步處理,並啟動 初始 同步處理週期。

若要手動啟動執行設定檔,請執行下列步驟:

  1. 從 [開始] 功能表啟動 [同步處理服務]
  2. 選取連接器。 在 [連接器] 清單中,選取稍早進行過組態變更的連接器。 在 [動作] 中,選取 [執行]
    連接器執行
  3. 在 [執行設定檔] 中,選取上一節中提到的作業。 如果您需要執行兩個動作,請於第一個完成之後再執行第二個。 (所選取連接器的 [狀態] 資料行是 [閒置]。)

在進行過同步處理後,所有變更會進入匯出階段。 實際在 Microsoft Entra ID 中進行變更之前,您會想要先驗證所有變更是否正確。

  1. 啟動命令提示字元,並切換到 %ProgramFiles%\Microsoft Azure AD Sync\bin
  2. 執行 csexport "Name of Connector" %temp%\export.xml /f:x
    連接器名稱在同步處理服務中。 名稱與 「contoso.com – Microsoft Entra ID」 相似,用於 Microsoft Entra ID。
  3. 執行 CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
  4. 現在,您在 %temp% 中有一個名為 export.csv 的檔案,可以在 Microsoft Excel 中查看。 此檔案包含即將匯出的所有變更。
  5. 對資料或組態進行必要的變更並再次執行這些步驟 (匯入、同步處理、驗證),直到要匯出的變更皆如您所預期進行。

在感到滿意後,將變更匯出至 Microsoft Entra ID。

  1. 選取連接器。 在 [連接器] 清單中,選取 [Microsoft Entra 連接器]。 在 [動作] 中,選取 [執行]
  2. 在 [執行設定檔] 中,選取 [匯出]
  3. 如果您的組態變更將會刪除許多物件,且數目超過設定的臨界值 (預設值為 500),則會在匯出時看到錯誤。 如果看到這個錯誤,您必須先暫時停用「防止意外刪除」功能。

現在是時候 重新啟用同步排程器

群組型篩選

您可以在首次安裝 Microsoft Entra Connect 時,使用自訂安裝來設定群組型篩選。 它適用於試驗性部署,其中您只想同步一小部分物件。 當您停用群組型篩選時,無法將它重新啟用。 不支援使用群組型篩選在自訂設定中。 只支援使用安裝精靈來設定此功能。 完成試驗時,使用此主題中的其他篩選選項之一。 當將 OU 型篩選搭配群組型篩選使用時,必須包含群組及其成員所在的 OU。

同步處理多個 AD 樹系時,您可藉由為每個 AD 連接器指定不同的群組,設定以群組為基礎的篩選。 如果您想要同步處理某個 AD 樹系中的使用者,而相同的使用者在其他 AD 樹系中有一或多個對應的物件,您必須確定該使用者物件及其對應的所有物件,都位於以群組為基礎的篩選範圍內。 例如:

  • 您有一位使用者位於一個樹系,並在另一個樹系中擁有相應的 FSP(外部安全性主體)物件。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,系統將不會將該使用者同步處理至 Microsoft Entra ID。

  • 您有一位使用者位於某個樹系,而在另一個樹系中則有相應的資源帳戶(例如連結信箱)。 此外,您已將 Microsoft Entra Connect 設定為與具有該資源帳戶的使用者連結。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,該使用者將不會同步至 Microsoft Entra ID。

  • 您有一位使用者位於某個樹系,並在另一個樹系中有相對應的郵件連絡人。 此外,您已設定 Microsoft Entra Connect,以連結使用者與郵件連絡人。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,該使用者將無法同步至 Microsoft Entra ID。

下一步