Synchronizace Microsoft Entra Connect: Konfigurace filtrování

Pomocí filtrování můžete určit, které objekty se zobrazí v Microsoft Entra ID z místního adresáře. Výchozí konfigurace přebírá všechny objekty ve všech doménách v nakonfigurovaných doménových strukturách. Obecně se jedná o doporučenou konfiguraci. Uživatelé, kteří používají úlohy Microsoftu 365, jako je Exchange Online a Skype pro firmy, využívají kompletní globální adresář, aby mohli posílat e-maily a volat všem. S výchozí konfigurací by měli stejné prostředí, jaké by měli s místní implementací Exchange nebo Lyncu.

V některých případech ale musíte provést určité změny výchozí konfigurace. Několik příkladů:

• Spustíte pilotní nasazení pro Azure nebo Microsoft 365 a chcete jenom podmnožinu uživatelů v Microsoft Entra ID. V malém pilotním nasazení není důležité mít úplný globální adresář k předvedení funkčnosti.
• Máte mnoho účtů služeb a dalších neosobních účtů, které v Microsoft Entra ID nechcete.
• Z důvodů dodržování předpisů neodstraňovat žádné uživatelské účty místně. Zakážete je jenom vy. Ale v Microsoft Entra ID chcete, aby byly k dispozici jenom aktivní účty.

Tento článek popisuje, jak nakonfigurovat různé metody filtrování.

Důležité

Microsoft nepodporuje úpravy ani provoz služby Microsoft Entra Připojení Sync mimo akce, které jsou formálně zdokumentované. Jakákoli z těchto akcí může vést k nekonzistentnímu nebo nepodporovanému stavu microsoft Entra Připojení Sync. Microsoft proto nemůže poskytnout technickou podporu pro taková nasazení.

Základy a důležité poznámky

V Microsoft Entra Připojení Sync můžete kdykoli povolit filtrování. Pokud začnete s výchozí konfigurací synchronizace adresářů a pak nakonfigurujete filtrování, objekty, které jsou odfiltrované, se už nebudou synchronizovat s Microsoft Entra ID. Z důvodu této změny se všechny objekty v MICROSOFT Entra ID, které byly dříve synchronizovány, ale byly filtrovány, odstraní v Microsoft Entra ID.

Než začnete provádět změny filtrování, nezapomeňte předdefinovaný plánovač zakázat, abyste omylem neexportovali změny, které jste ještě neověřili, aby byly správné.

Vzhledem k tomu, že filtrování může současně odebrat mnoho objektů, chcete před zahájením exportu všech změn do ID Microsoft Entra zajistit správnost nových filtrů. Po dokončení kroků konfigurace důrazně doporučujeme, abyste před exportem a provedením změn v ID Microsoft Entra provedli postup ověření.

Pokud chcete chránit před náhodným odstraněním mnoha objektů, je ve výchozím nastavení zapnutá funkce "zabránit náhodnému odstranění". Pokud odstraníte mnoho objektů z důvodu filtrování (ve výchozím nastavení 500), musíte postupovat podle kroků v tomto článku, abyste umožnili, aby odstranění prošla id Microsoft Entra.

Pokud používáte build před listopadem 2015 (1.0.9125), proveďte změnu konfigurace filtru a použijte synchronizaci hodnot hash hesel, musíte po dokončení konfigurace aktivovat úplnou synchronizaci všech hesel. Postup aktivace úplné synchronizace hesla najdete v tématu Aktivace úplné synchronizace všech hesel. Pokud používáte build 1.0.9125 nebo novější, pak běžná úplná synchronizační akce také vypočítá, jestli se mají hesla synchronizovat a jestli už tento krok navíc nepotřebujete.

Pokud byly uživatelské objekty neúmyslně odstraněny v Microsoft Entra ID kvůli chybě filtrování, můžete objekty uživatele v Microsoft Entra ID znovu vytvořit odebráním konfigurací filtrování. Potom můžete adresáře synchronizovat znovu. Tato akce obnoví uživatele z koše v MICROSOFT Entra ID. Nemůžete ale zrušit odstranění jiných typů objektů. Pokud například omylem odstraníte skupinu zabezpečení a použili ji k ACL prostředku, skupina a její seznamy ACL se nedají obnovit.

Microsoft Entra Připojení odstraní pouze objekty, které se považovaly za v oboru. Pokud existují objekty v MICROSOFT Entra ID, které byly vytvořeny jiným synchronizačním modulem a tyto objekty nejsou v oboru, přidání filtrování je neodebere. Pokud například začnete se serverem DirSync, který vytvořil úplnou kopii celého adresáře v Microsoft Entra ID, a instalujete nový server Microsoft Entra Připojení Sync paralelně s povoleným filtrováním od začátku, Microsoft Entra Připojení neodebere další objekty vytvořené nástrojem DirSync.

Konfigurace filtrování se zachová při instalaci nebo upgradu na novější verzi microsoft Entra Připojení. Před spuštěním prvního cyklu synchronizace je vždy osvědčeným postupem ověřit, že se konfigurace nechtěně nezměnila po upgradu na novější verzi.

Pokud máte více než jednu doménovou strukturu, musíte pro každou doménovou strukturu použít konfigurace filtrování popsané v tomto tématu (za předpokladu, že chcete stejnou konfiguraci použít pro všechny).

Zakázání plánovače synchronizace

Pokud chcete zakázat integrovaný plánovač, který aktivuje synchronizační cyklus každých 30 minut, postupujte takto:

1. Otevřete Windows PowerShell, naimportujte modul ADSync a pomocí následujících příkazů zakažte plánovač.

import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

2. Proveďte změny, které jsou popsané v tomto článku. Pak znovu povolte plánovač pomocí následujícího příkazu.

Set-ADSyncScheduler -SyncCycleEnabled $True

Možnosti filtrování

Pro nástroj pro synchronizaci adresářů můžete použít následující typy konfigurace filtrování:

• Založené na skupinách: Filtrování na základě jedné skupiny lze nakonfigurovat pouze při počáteční instalaci pomocí průvodce instalací.
• Na základě domény: Pomocí této možnosti můžete vybrat, které domény se synchronizují s ID Microsoft Entra. Domény můžete také přidat a odebrat z konfigurace synchronizačního modulu při provádění změn místní infrastruktury po instalaci Microsoft Entra Připojení Sync.
• Organizační jednotka (OU): Pomocí této možnosti můžete vybrat, které organizační jednotky se synchronizují s ID Microsoft Entra. Tato možnost je určená pro všechny typy objektů ve vybraných organizačních jednotkách.
• Založené na atributech: Pomocí této možnosti můžete filtrovat objekty na základě hodnot atributů na objektech. Můžete mít také různé filtry pro různé typy objektů.

Můžete použít více možností filtrování najednou. Filtrování založené na organizační jednotce můžete například použít jenom k zahrnutí objektů do jedné organizační jednotky. Současně můžete k dalšímu filtrování objektů použít filtrování založené na atributech. Pokud používáte více metod filtrování, filtry mezi filtry používají logickou "AND".

Filtrování na základě domény

V této části najdete postup konfigurace filtru domény. Pokud jste po instalaci nástroje Microsoft Entra Připojení přidali nebo odebrali domény ve vaší doménové struktuře, musíte také aktualizovat konfiguraci filtrování.

Pokud chcete změnit filtrování na základě domény, spusťte průvodce instalací: filtrování domény a organizační jednotky. Průvodce instalací automatizuje všechny úlohy popsané v tomto tématu.

Filtrování založené na organizačních jednotkách

Pokud chcete změnit filtrování založené na organizační jednotce, spusťte průvodce instalací: filtrování domény a organizační jednotky. Průvodce instalací automatizuje všechny úlohy popsané v tomto tématu.

Důležité

Pokud explicitně vyberete organizační jednotky pro synchronizaci, Microsoft Entra Připojení přidá rozlišující název této organizační jednotky do seznamu zahrnutí pro obor synchronizace domény. Pokud však později tuto organizační strukturu přejmenujete ve službě Active Directory, změní se rozlišující název organizační jednotky organizační jednotky a v důsledku toho microsoft Entra Připojení už tuto organizační strukturu v oboru synchronizace nepovažuje. To nezpůsobí okamžitý problém, ale po úplném kroku importu Microsoft Entra Připojení znovu vyhodnotí rozsah synchronizace a odstraní (tj. zastaralé) všechny objekty mimo rozsah synchronizace, což může potenciálně způsobit neočekávané hromadné odstranění objektů v Microsoft Entra ID. Pokud chcete tomuto problému zabránit, spusťte po přejmenování organizační jednotky Microsoft Entra Připojení Průvodce a znovu vyberte organizační jednotky, které se mají znovu zahrnout do oboru synchronizace.

Filtrování na základě atributů

Ujistěte se, že používáte build z listopadu 2015 (1.0.9125) nebo novější, aby tyto kroky fungovaly.

Důležité

Společnost Microsoft doporučuje neupravovat výchozí pravidla vytvořená aplikací Microsoft Entra Připojení. Pokud chcete pravidlo upravit, naklonujte ho a zakažte původní pravidlo. Proveďte všechny změny klonovaného pravidla. Mějte prosím na paměti, že tím (zakázáním původního pravidla) vynecháte všechny opravy chyb nebo funkce povolené prostřednictvím tohoto pravidla.

Filtrování na základě atributů je nejflexibilnější způsob filtrování objektů. Výkon deklarativního zřizování můžete použít k řízení téměř všech aspektů, kdy je objekt synchronizován s Microsoft Entra ID.

Příchozí filtrování ze služby Active Directory můžete použít na metaverse a odchozí filtrování z metaverse na ID Microsoft Entra. Doporučujeme použít příchozí filtrování, protože to je nejjednodušší udržovat. Odchozí filtrování byste měli použít jenom v případě, že je potřeba spojit objekty z více než jedné doménové struktury, než bude možné vyhodnocení provést.

Příchozí filtrování

Příchozí filtrování používá výchozí konfiguraci, kde objekty směřující do Microsoft Entra ID musí mít atribut metaverse cloudFiltered nenastavený na hodnotu, která se má synchronizovat. Pokud je hodnota tohoto atributu nastavena na Hodnotu True, objekt není synchronizován. Nemělo by být nastaveno na False podle návrhu. Aby se zajistilo, že ostatní pravidla mají schopnost přispívat hodnotou, tento atribut má mít pouze hodnoty True nebo NULL (chybí).

Uvědomte si, že služba Microsoft Entra Connect je navržená tak, aby vymazala objekty, za jejichž zřízení v Microsoft Entra ID odpovídá. Pokud systém v minulosti objekt v Microsoft Entra ID nezřídil, ale byl do Microsoft Entra naimportován, služba správně předpokládá, že objekt v Microsoft Entra ID vytvořil jiný systém. Microsoft Entra Připojení tyto typy objektů Microsoft Entra nevyčistí, i když je atribut cloudFiltered metaverse nastaven na hodnotu True.

Při příchozím filtrování můžete pomocí výkonu oboru určit, které objekty se mají synchronizovat nebo nesynchronizovat. Tady provádíte úpravy, které odpovídají požadavkům vaší organizace. Modul oboru má skupinu a klauzuli , která určuje, kdy je pravidlo synchronizace v oboru. Skupina obsahuje jednu nebo více klauzulí. Mezi více klauzulemi existuje logický operátor AND a logický operátor OR mezi více skupinami.

Podívejme se na příklad:

Mělo by se to číst jako (oddělení = IT) NEBO (oddělení = Sales AND c = US).

V následujících ukázkách a krocích použijete objekt uživatele jako příklad, ale můžete ho použít pro všechny typy objektů.

V následujících ukázkách začíná hodnota priority 50. Může to být libovolné číslo, které se nepoužívá, ale mělo by být nižší než 100.

Negativní filtrování: "Nesynchronizovat"

V následujícím příkladu vyfiltrujete (nesynchronizujete) všechny uživatele, u kterých extensionAttribute15 má hodnotu NoSync.

1. Přihlaste se k serveru, na kterém běží Microsoft Entra Připojení Sync, pomocí účtu, který je členem skupiny zabezpečení ADSync Správa s.
2. Spusťte Editor synchronizačních pravidel z nabídky Start .
3. Ujistěte se, že je vybraná možnost Příchozí , a klikněte na přidat nové pravidlo.
4. Zadejte popisný název pravidla, například "In from AD – User DoNotSyncFilter". Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Person. V možnosti Typ odkazu vyberte Připojit. Do pole Priorita zadejte hodnotu, která není aktuálně používána jiným pravidlem synchronizace (například 50) a klikněte na tlačítko Další.
   
5. Ve filtru oborů klepněte na tlačítko Přidat skupinu a klepněte na tlačítko Přidat klauzuli. V atributu vyberte ExtensionAttribute15. Ujistěte se, že je operátor nastavený na EQUAL, a do pole Hodnota zadejte hodnotu NoSync. Klikněte na tlačítko Další.
   
6. Ponechte pravidla připojení prázdná a klepněte na tlačítko Další.
7. Klikněte na Přidat transformaci, vyberte Typ toku jako konstantu a jako cílový atribut vyberte cloudFiltered. Do textového pole Zdroj zadejte True. Kliknutím na Přidat pravidlo uložíte.
   
8. K dokončení konfigurace musíte spustit úplnou synchronizaci. Pokračujte ve čtení oddílu Použít a ověřit změny.

Kladné filtrování: "Pouze synchronizovat"

Vyjádření pozitivního filtrování může být náročnější, protože musíte zvážit i objekty, které nejsou zřejmé, že se mají synchronizovat, například konferenční místnosti. Přepíšete také výchozí filtr v předdefinovaných pravidlech z AD – Připojení uživatele. Při vytváření vlastního filtru nezapomeňte zahrnout důležité systémové objekty, konfliktní objekty replikace, speciální poštovní schránky a účty služeb pro Microsoft Entra Připojení.

Možnost pozitivního filtrování vyžaduje dvě pravidla synchronizace. K synchronizaci potřebujete jedno pravidlo (nebo několik) se správným oborem objektů. Potřebujete také druhé pravidlo synchronizace pro zachytávání, které filtruje všechny objekty, které ještě nebyly identifikovány jako objekt, který by se měl synchronizovat.

V následujícím příkladu synchronizujete pouze objekty uživatele, ve kterých má atribut oddělení hodnotu Sales.

1. Přihlaste se k serveru, na kterém běží Microsoft Entra Připojení Sync, pomocí účtu, který je členem skupiny zabezpečení ADSync Správa s.
2. Spusťte Editor synchronizačních pravidel z nabídky Start .
3. Ujistěte se, že je vybraná možnost Příchozí , a klikněte na přidat nové pravidlo.
4. Zadejte popisný název pravidla, například "In from AD – User Sales sync" (In from AD – User Sales sync). Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Person. V možnosti Typ odkazu vyberte Připojit. V části Priorita zadejte hodnotu, kterou aktuálně nepoužívá jiné synchronizační pravidlo (například 51) a klikněte na tlačítko Další.
   
5. Ve filtru oborů klepněte na tlačítko Přidat skupinu a klepněte na tlačítko Přidat klauzuli. V atributu vyberte oddělení. Ujistěte se, že je operátor nastaven na EQUAL, a zadejte hodnotu Sales do pole Hodnota . Klikněte na tlačítko Další.
   
6. Ponechte pravidla připojení prázdná a klepněte na tlačítko Další.
7. Klikněte na Přidat transformaci, vyberte konstantu jako Typ toku a jako cílový atribut vyberte cloudFiltered. Do pole Zdroj zadejte False. Kliknutím na Přidat pravidlo uložíte.
   
   Jedná se o zvláštní případ, kdy explicitně nastavíte cloudFiltered na False.
8. Teď musíme vytvořit pravidlo synchronizace catch-all. Zadejte popisný název pravidla, například "In from AD – User Catch-all filter". Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Person. V možnosti Typ odkazu vyberte Připojit. Do pole Priorita zadejte hodnotu, kterou aktuálně nepoužívá jiné synchronizační pravidlo (například 99). Vybrali jste hodnotu priority, která je vyšší (nižší priorita) než předchozí pravidlo synchronizace. Opustili jste ale také určitou místnost, abyste později mohli přidat další pravidla synchronizace filtrování, když chcete začít synchronizovat další oddělení. Klikněte na tlačítko Další.
   
9. Ponechte filtr oborů prázdný a klikněte na Tlačítko Další. Prázdný filtr označuje, že pravidlo se má použít pro všechny objekty.
10. Ponechte pravidla připojení prázdná a klepněte na tlačítko Další.
11. Klikněte na Přidat transformaci, vyberte konstantu jako Typ toku a jako cílový atribut vyberte cloudFiltered. Do pole Zdroj zadejte True. Kliknutím na Přidat pravidlo uložíte.
    
12. K dokončení konfigurace musíte spustit úplnou synchronizaci. Pokračujte ve čtení oddílu Použít a ověřit změny.

Pokud potřebujete, můžete vytvořit další pravidla prvního typu, ve kterém do synchronizace zahrnete více objektů.

Odchozí filtrování

V některých případech je nutné provést filtrování až po připojení objektů do metaverse. Například může být nutné se podívat na atribut pošty z doménové struktury prostředků a atribut userPrincipalName z doménové struktury účtu, aby bylo možné určit, zda by měl být objekt synchronizován. V těchto případech vytvoříte filtrování pro pravidlo odchozích přenosů.

V tomto příkladu změníte filtrování tak, aby se synchronizovali jenom uživatelé, kteří mají e-mail i userPrincipalName končící @contoso.com na:

1. Přihlaste se k serveru, na kterém běží Microsoft Entra Připojení Sync, pomocí účtu, který je členem skupiny zabezpečení ADSync Správa s.
2. Spusťte Editor synchronizačních pravidel z nabídky Start .
3. V části Typ pravidel klikněte na Odchozí.
4. V závislosti na verzi Připojení, kterou používáte, buď vyhledejte pravidlo s názvem Out to Microsoft Entra ID – User Join or Out to Microsoft Entra ID - User Join SOAInAD a klikněte na Upravit.
5. V automaticky otevíraných otevíraných oken odpovězte na Ano a vytvořte kopii pravidla.
6. Na stránce Popis změňte prioritu na nepoužitou hodnotu, například 50.
7. V levém navigačním panelu klikněte na filtr oborů a potom klikněte na Přidat klauzuli. V atributu vyberte poštu. V operátoru vyberte ENDWITH. Do pole Hodnota zadejte @contoso.com a klepněte na tlačítko Přidat klauzuli. V atributu vyberte userPrincipalName. V operátoru vyberte ENDWITH. Do pole Hodnota zadejte @contoso.com.
8. Klikněte na Uložit.
9. K dokončení konfigurace musíte spustit úplnou synchronizaci. Pokračujte ve čtení oddílu Použít a ověřit změny.

Použití a ověření změn

Po provedení změn konfigurace je nutné je použít na objekty, které už v systému existují. Může se také stát, že objekty, které nejsou aktuálně v synchronizačním modulu, by se měly zpracovávat (a synchronizační modul musí znovu číst zdrojový systém, aby ověřil jeho obsah).

Pokud jste konfiguraci změnili pomocí filtrování domén nebo organizačních jednotek , musíte provést úplný import následovaný synchronizací Delta.

Pokud jste konfiguraci změnili pomocí filtrování atributů , musíte provést úplnou synchronizaci.

Proveďte následující kroky:

1. Spusťte synchronizační službu z nabídky Start .
2. Vyberte Konektory. V seznamu Připojení or vyberte Připojení or, ve kterém jste provedli změnu konfigurace dříve. V akcích vyberte Spustit.
   
3. V části Profily spuštění vyberte operaci uvedenou v předchozí části. Pokud potřebujete spustit dvě akce, spusťte druhou po dokončení první akce. (Sloupec stavu je pro vybraný konektor nečinný.)

Po synchronizaci se všechny změny připraví tak, aby se exportovaly. Než skutečně provedete změny v Microsoft Entra ID, chcete ověřit, zda jsou všechny tyto změny správné.

1. Spusťte příkazový řádek a přejděte na %ProgramFiles%\Microsoft Azure AD Sync\binpříkaz .
2. Spusťte csexport "Name of Connector" %temp%\export.xml /f:x.
   Název Připojení oru je v synchronizační službě. Má podobný název jako "contoso.com – Microsoft Entra ID" pro Microsoft Entra ID.
3. Spusťte CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. Teď máte soubor v %temp% s názvem export.csv, který je možné prozkoumat v Microsoft Excelu. Tento soubor obsahuje všechny změny, které se mají exportovat.
5. Proveďte potřebné změny dat nebo konfigurace a spusťte tyto kroky znovu (import, synchronizace a ověření), dokud změny, které se chystáte exportovat, jsou to, co očekáváte.

Až budete spokojeni, vyexportujte změny do ID Microsoft Entra.

1. Vyberte Konektory. V seznamu Připojení or vyberte Připojení or Microsoft Entra. V akcích vyberte Spustit.
2. V profilech Spustit vyberte Exportovat.
3. Pokud konfigurace odstraní mnoho objektů, zobrazí se v exportu chyba, když je číslo větší než nakonfigurovaná prahová hodnota (ve výchozím nastavení 500). Pokud se zobrazí tato chyba, musíte dočasně zakázat funkci "zabránit náhodnému odstranění".

Teď je čas znovu povolit plánovač.

1. Spuštění plánovačeúloh z nabídky Start
2. Přímo v knihovně plánovače úloh vyhledejte úlohu s názvem Plánovač synchronizace Azure AD, klikněte pravým tlačítkem a vyberte Povolit.

Filtrování založené na skupinách

Filtrování založené na skupinách můžete nakonfigurovat při první instalaci nástroje Microsoft Entra Připojení pomocí vlastní instalace. Je určená pro pilotní nasazení, kde chcete synchronizovat pouze malou sadu objektů. Když filtrování založené na skupinách zakážete, nebude možné ho znovu povolit. Nepodporuje se použití filtrování založeného na skupinách ve vlastní konfiguraci. Tuto funkci lze nakonfigurovat pouze pomocí průvodce instalací. Po dokončení pilotního nasazení použijte jednu z dalších možností filtrování v tomto tématu. Při použití filtrování založeného na organizační jednotce ve spojení s filtrováním na základě skupin musí být zahrnuty organizační jednotky, ve kterých se skupina a její členové nacházejí.

Při synchronizaci více doménových struktur AD můžete nakonfigurovat filtrování založené na skupinách zadáním jiné skupiny pro každý konektor AD. Pokud chcete synchronizovat uživatele v jedné doménové struktuře AD a stejný uživatel má jeden nebo více odpovídajících objektů v jiných doménových strukturách AD, musíte zajistit, aby objekt uživatele a všechny jeho odpovídající objekty byly v oboru filtrování založeném na skupině. Příklady:

• V jedné doménové struktuře máte uživatele, který má odpovídající objekt FSP (Foreign Security Principal) v jiné doménové struktuře. Oba objekty musí být v rámci oboru filtrování založeného na skupinách. Jinak se uživatel nebude synchronizovat s ID Microsoft Entra.

• Máte uživatele v jedné doménové struktuře, který má odpovídající účet prostředku (např. propojenou poštovní schránku) v jiné doménové struktuře. Dále jste nakonfigurovali Microsoft Entra Připojení pro propojení uživatele s účtem prostředků. Oba objekty musí být v rámci oboru filtrování založeného na skupinách. Jinak se uživatel nebude synchronizovat s ID Microsoft Entra.

• Máte uživatele v jedné doménové struktuře, která má odpovídající poštovní kontakt v jiné doménové struktuře. Dále jste nakonfigurovali Microsoft Entra Připojení pro propojení uživatele s poštovním kontaktem. Oba objekty musí být v rámci oboru filtrování založeného na skupinách. Jinak se uživatel nebude synchronizovat s ID Microsoft Entra.

Další kroky

• Přečtěte si další informace o konfiguraci Microsoft Entra Připojení Sync.
• Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.