Freigeben über


Microsoft Entra Connect-Synchronisierung: Konfigurieren der Filterung

Mithilfe von Filterung können Sie für Ihr lokales Verzeichnis steuern, welche Objekte in Microsoft Entra ID angezeigt werden. Die Standardkonfiguration deckt die meisten Objekte in allen Domänen der konfigurierten Gesamtstrukturen ab. Dies ist die für den Normalfall empfohlene Konfiguration. Benutzer, die Microsoft 365-Workloads wie etwa Exchange Online und Skype for Business verwenden, profitieren von einer vollständigen globalen Adressliste, mit der sie E-Mails an andere Personen senden und diese anrufen können. In der Standardkonfiguration erhalten diese Benutzer die gleiche Funktionalität wie bei einer lokalen Implementierung von Exchange oder Lync.

Hinweis

Microsoft Entra Cloud Sync und Microsoft Entra Connect Sync filtern jegliche Active Directory-Objekte heraus, bei denen das Attribut isCriticalSystemObject auf True festgelegt ist. Dadurch werden integrierte AD-Objekte mit hohen Berechtigungen wie „Administrator“, „DomainAdmins“, „EnterpriseAdmins“ herausgefiltert.  Diese Filterung bedeutet, dass die letzten beiden Gruppen standardmäßig NICHT mit Entra-ID synchronisiert werden.

Andere Objekte, die zu diesen Gruppen mit hohen Berechtigungen (DomainAdmins, EnterpriseAdmins) hinzugefügt werden, werden jedoch nicht aus der Synchronisierung mit der Cloud herausgefiltert. Wenn Sie zum Beispiel eine lokale AD-benutzende Person zur Gruppe „EnterpriseAdmins“ hinzufügen, wird diese benutzende Person trotzdem mit Microsoft Entra ID synchronisiert.

In einigen Fällen ist es jedoch erforderlich, Änderungen an der Standardkonfiguration vorzunehmen. Hier sehen Sie einige Beispiele:

  • Sie führen einen Pilotversuch für Azure oder Microsoft 365 durch und möchten nur eine Teilmenge der Benutzer in Microsoft Entra ID verwenden. In dem kleinen Pilotprojekt müssen Sie nicht unbedingt über eine vollständige globale Adressliste verfügen, um die Funktionsweise zu demonstrieren.
  • Sie haben viele Dienstkonten und andere nicht persönliche Konten, die nicht in Microsoft Entra ID enthalten sein sollen.
  • Aus Compliancegründen löschen Sie lokal keine Benutzerkonten. Sie deaktivieren sie nur. In Microsoft Entra ID sollen aber nur aktive Konten vorhanden sein.

In diesem Artikel wird beschrieben, wie Sie die verschiedenen Filtermethoden konfigurieren.

Wichtig

Microsoft unterstützt die Änderung oder den Einsatz der Microsoft Entra Connect-Synchronisierung außerhalb dieser formal dokumentierten Aktionen nicht. Eine dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Status der Microsoft Entra Connect-Synchronisierung führen. Folglich kann Microsoft auch keinen technischen Support für solche Bereitstellungen leisten.

Grundlagen und wichtige Hinweise

In der Microsoft Entra Connect-Synchronisierung können Sie die Filterung jederzeit aktivieren. Wenn Sie mit einer Standardkonfiguration der Verzeichnissynchronisierung beginnen und dann die Filterung konfigurieren, werden die Objekte, die herausgefiltert werden, nicht mehr mit Microsoft Entra ID synchronisiert. Infolge dieser Änderung werden alle Objekte inMicrosoft Entra ID, die zuvor synchronisiert, aber dann gefiltert wurden, in Microsoft Entra ID gelöscht.

Stellen Sie vor dem Vornehmen von Änderungen an der Filterung sicher, dass Sie den integrierten Planer deaktivieren. So werden nicht versehentlich Änderungen exportiert, deren Richtigkeit Sie noch nicht überprüft haben.

Da bei der Filterung viele Objekte gleichzeitig entfernt werden können, sollten Sie darauf achten, dass Ihre neuen Filter korrekt sind, bevor Sie mit dem Exportieren von Änderungen nach Microsoft Entra ID beginnen. Es wird dringend empfohlen, nach dem Durchführen der Konfigurationsschritte die Überprüfungsschritte auszuführen, bevor Sie exportieren und Änderungen an Microsoft Entra ID vornehmen.

Um das versehentliche Löschen von vielen Objekten zu verhindern, ist das Feature zum Verhindern versehentlicher Löschungen standardmäßig aktiviert. Wenn Sie aufgrund einer Filterung viele Objekte löschen (standardmäßig 500), müssen Sie die Schritte in diesem Artikel ausführen, damit die Löschvorgänge auch für Microsoft Entra ID gelten.

Wenn Sie einen älteren Build als November 2015 nutzen (1.0.9125), eine Änderung an der Filterkonfiguration vornehmen und die Kennworthashsynchronisierung verwenden, müssen Sie eine vollständige Synchronisierung aller Kennwörter auslösen, nachdem Sie die Konfiguration abgeschlossen haben. Informationen zu Schritten zum Auslösen einer vollständigen Kennwortsynchronisierung finden Sie unter Auslösen einer vollständigen Synchronisierung aller Kennwörter. Falls Sie Version 1.0.9125 oder höher verwenden, wird mit der normalen Aktion Vollständige Synchronisierung auch berechnet, ob Kennwörter synchronisiert werden sollen. Dieser zusätzliche Schritt ist nicht mehr erforderlich.

Wenn Benutzerobjekte in Microsoft Entra ID aufgrund eines Filterungsfehlers versehentlich gelöscht wurden, können Sie die Benutzerobjekte in Microsoft Entra ID neu erstellen, indem Sie Ihre Filterkonfigurationen entfernen. Anschließend können Sie Ihre Verzeichnisse erneut synchronisieren. Mit dieser Aktion werden die Benutzer aus dem Papierkorb in Microsoft Entra ID wiederhergestellt. Das Löschen anderer Objekttypen kann jedoch nicht rückgängig gemacht werden. Wenn Sie beispielsweise eine Sicherheitsgruppe versehentlich löschen, die als Zugriffssteuerungsliste (ACL) für eine Ressource verwendet wurde, können die Gruppe und die zugehörigen ACLs nicht wiederhergestellt werden.

Von Microsoft Entra Connect werden nur Objekte gelöscht, die einmal als zum Bereich gehörend betrachtet wurden. Wenn in Microsoft Entra ID Objekte enthalten sind, die von einem anderen Synchronisierungsmodul erstellt wurden und nicht Teil des Bereichs sind, werden sie durch das Hinzufügen der Filterung nicht entfernt. Wenn Sie beispielsweise mit einem DirSync-Server beginnen, mit dem eine vollständige Kopie Ihres gesamten Verzeichnisses in Microsoft Entra ID erstellt wurde, und einen neuen Microsoft Entra Connect-Synchronisierungsserver parallel mit der von Beginn an aktivierten Filterung installieren, werden die von DirSync erstellten zusätzlichen Objekte von Microsoft Entra Connect nicht entfernt.

Die Filterkonfigurationen werden beibehalten, wenn Sie eine neuere Version von Microsoft Entra Connect installieren oder ein Upgrade darauf durchführen. Es ist immer empfehlenswert, vor dem Ausführen des ersten Synchronisierungszyklus zu verifizieren, dass die Konfiguration nach einem Upgrade auf eine neuere Version nicht versehentlich geändert wurde.

Wenn Sie über mehrere Gesamtstrukturen verfügen, müssen die in diesem Thema beschriebenen Filterkonfigurationen auf jede Gesamtstruktur angewendet werden (vorausgesetzt, für alle soll die gleiche Konfiguration gelten).

Deaktivieren des Synchronisierungsplaners

Führen Sie die folgenden Schritte aus, um den integrierten Scheduler zu deaktivieren, der jeweils im Abstand von 30 Minuten einen Synchronisierungszyklus auslöst:

  1. Öffnen Sie Windows PowerShell, importieren Sie das ADSync-Modul, und deaktivieren Sie den Planer mithilfe der folgenden Befehle
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Nehmen Sie die in diesem Thema beschriebenen Änderungen vor. Aktivieren Sie dann den Planer mit dem folgenden Befehl erneut:
Set-ADSyncScheduler -SyncCycleEnabled $True

Filteroptionen

Sie können die folgenden Filterkonfigurationstypen auf das Tool für die Verzeichnissynchronisierung anwenden:

  • Gruppenbasiert: Die auf einer einzelnen Gruppe basierende Filterung kann nur bei der Erstinstallation mit dem Installations-Assistenten konfiguriert werden.
  • Domänenbasiert: Bei dieser Option können Sie auswählen, welche Domänen mit Microsoft Entra ID synchronisiert werden. Außerdem können Sie Domänen zur Konfiguration des Synchronisierungsmoduls hinzufügen und daraus entfernen, wenn Sie Änderungen an Ihrer lokalen Infrastruktur vornehmen, nachdem Sie die Microsoft Entra Connect-Synchronisierung installiert haben.
  • Organisationseinheitenbasiert: Bei dieser Option können Sie auswählen, welche Organisationseinheiten mit Microsoft Entra ID synchronisiert werden. Diese Option ist für alle Objekttypen in den ausgewählten Organisationseinheiten vorhanden.
  • Attributbasiert: Bei dieser Option können Sie Objekte basierend auf den Attributwerten der Objekte filtern. Sie können auch unterschiedliche Filter für unterschiedliche Objekttypen verwenden.

Sie können gleichzeitig mehrere Filteroptionen verwenden. Beispielsweise können Sie die organisationseinheitenbasierte Filterung verwenden, um ausschließlich Objekte in einer Organisationseinheit einzuschließen. Gleichzeitig können Sie die attributbasierte Filterung verwenden, um die Objekte noch weiter zu filtern. Wenn Sie mehrere Filtermethoden verwenden, wird für die Filter zwischen den Filtern ein logisches „Und“ genutzt.

Domänenbasierte Filterung

Dieser Abschnitt enthält die Schritte, die Sie zum Konfigurieren des Domänenfilters ausführen müssen. Wenn Sie nach der Installation von Microsoft Entra Connect in der Gesamtstruktur Domänen hinzugefügt oder entfernt haben, müssen Sie auch die Konfiguration der Filterung aktualisieren.

Führen Sie zum Ändern der domänenbasierten Filterung den Installations-Assistenten aus: Filterung basierend auf Domänen und Organisationseinheiten. Der Installations-Assistent automatisiert alle Aufgaben, die in diesem Thema dokumentiert sind.

Filterung basierend auf Organisationseinheiten

Führen Sie zum Ändern der Filterung basierend auf Organisationseinheiten den Installations-Assistenten aus: Filterung basierend auf Domänen und Organisationseinheiten. Der Installations-Assistent automatisiert alle Aufgaben, die in diesem Thema dokumentiert sind.

Wichtig

Wenn Sie explizit eine Organisationseinheit für die Synchronisierung auswählen, fügt Microsoft Entra Connect den DistinguishedName dieser Organisationseinheit in der Aufnahmeliste für den Synchronisierungsbereich der Domäne hinzu. Wenn Sie diese Organisationseinheit jedoch später in Active Directory umbenennen, wird der DistinguishedName der Organisationseinheit geändert, was dazu führt, dass Microsoft Entra Connect diese Organisationseinheit nicht mehr im Synchronisierungsbereich berücksichtigt. Dies verursacht kein sofortiges Problem, aber nach einem vollständigen Importschritt bewertet Microsoft Entra Connect den Synchronisierungsbereich neu, und alle Objekte, die dann nicht mehr im Synchronisierungsbereich liegen, werden gelöscht (d. h. als veraltet gekennzeichnet). Dies kann zu einer unerwarteten Massenlöschung von Objekten in Microsoft Entra ID führen. Um dieses Problem zu vermeiden, müssen Sie nach dem Umbenennen einer Organisationseinheit den Microsoft Entra Connect-Assistenten ausführen und die Organisationseinheit erneut auswählen, damit sie wieder in den Synchronisierungsbereich aufgenommen wird.

Attributbasierte Filterung

Stellen Sie sicher, dass Sie den Build vom November 2015 (1.0.9125) oder höher verwenden, damit diese Schritte funktionieren.

Wichtig

Microsoft empfiehlt, die von Microsoft Entra Connect erstellten Standardregeln nicht zu ändern. Falls Sie die Regel ändern möchten, können Sie sie klonen und dann die ursprüngliche Regel deaktivieren. Nehmen Sie die gewünschten Änderungen an der geklonten Regel vor. Beachten Sie, dass Sie dadurch (das Deaktivieren der ursprünglichen Regel) keine der Fehlerbehebungen oder Features erhalten, die durch diese Regel aktiviert werden.

Die attributbasierte Filterung ist die flexibelste Möglichkeit zum Filtern von Objekten. Sie können die hohe Leistungsfähigkeit der deklarativen Bereitstellung nutzen, um nahezu jeden Aspekt der Synchronisierung von Objekten mit Microsoft Entra ID zu steuern.

Die Filterung kann sowohl in eingehender Richtung von Active Directory zu der Metaverse als auch in ausgehender Richtung von der Metaverse zu Microsoft Entra ID angewendet werden. Es wird empfohlen, die eingehende Filterung anzuwenden, da dies am einfachsten zu verwalten ist. Die ausgehende Filterung sollte nur verwendet werden, wenn Objekte aus mehreren Gesamtstrukturen verknüpft werden müssen, bevor die Auswertung stattfinden kann.

Eingehende Filterung

Bei der eingehenden Filterung wird die Standardkonfiguration genutzt, bei der für an Microsoft Entra ID gesendete Objekte das Metaverse-Attribut „cloudFiltered“ nicht auf einen Wert festgelegt sein darf, damit die Synchronisierung erfolgen kann. Wenn der Wert dieses Attributs auf TRUEfestgelegt ist, wird das Objekt nicht synchronisiert. Es sollte nicht standardmäßig auf FALSE festgelegt sein. Um sicherzustellen, dass über andere Regeln ein Wert beigetragen werden kann, sollte dieses Attribut nur über die Werte TRUE oder NULL (nicht vorhanden) verfügen.

Beachten Sie, dass Microsoft Entra Connect so konzipiert ist, dass es die Objekte bereinigt, für deren Bereitstellung es in Microsoft Entra ID zuständig war. Wenn das System das Objekt in der Vergangenheit nicht inMicrosoft Entra ID bereitgestellt hat, jedoch das Microsoft Entra-Objekt während eines Importschritts abruft, wird korrekt davon ausgegangen, dass dieses Objekt von einem anderen System in Microsoft Entra ID erstellt wurde. Microsoft Entra Connect bereinigt diese Art von Microsoft Entra-Objekten nicht, selbst wenn das Metaverse-Attribut cloudFiltered auf Wahr festgelegt wurde.

Bei der eingehenden Filterung nutzen Sie die Leistungsfähigkeit des Bereichs, um zu ermitteln, welche Objekte synchronisiert werden sollen. Hierbei nehmen Sie die Anpassungen vor, um die Anforderungen Ihres Unternehmens zu erfüllen. Das Bereichsmodul verfügt über die Elemente group (Gruppe) und clause (Klausel), um zu bestimmen, wann eine Synchronisierungsregel zum Bereich gehören soll. Eine Gruppe enthält eine oder mehrere Klauseln. Ein logisches „Und“ wird zwischen mehreren Klauseln und ein logisches „Oder“ zwischen mehreren Gruppen verwendet.

Beispiel:
Screenshot: Beispiel für das Hinzufügen von Bereichsfiltern
Lesen Sie dieses Beispiel wie folgt: (department = IT) OR (department = Sales AND c = US) .

In den folgenden Beispielen und Schritten verwenden Sie das Benutzerobjekt als Beispiel, aber Sie können es für alle Objekttypen nutzen.

In den folgenden Beispielen beginnen die Rangfolgenwerte bei 50. Dies kann eine beliebige nicht verwendete Zahl sein, die jedoch kleiner als 100 sein sollte.

Negative Filterung („keine Synchronisierung“)

Im folgenden Beispiel werden alle Benutzer herausgefiltert (nicht synchronisiert), bei denen extensionAttribute15 den Wert NoSync hat.

  1. Melden Sie sich bei dem Server, auf dem die Microsoft Entra Connect-Synchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe ADSyncAdmins ist.
  2. Starten Sie den Synchronisierungsregel-Editor über das Startmenü.
  3. Stellen Sie sicher, dass Eingehend ausgewählt ist, und klicken Sie auf Neue Regel hinzufügen.
  4. Geben Sie der Regel einen aussagekräftigen Namen, z.B. In from AD – User DoNotSyncFilter. Wählen Sie die richtige Gesamtstruktur und anschließend Benutzer für CS object type (CS-Objekttyp) und Person für MV object type (MV-Objekttyp) aus. Wählen Sie als Verknüpfungstyp die Option Join aus. Geben Sie unter Rangfolge einen Wert ein, der zurzeit noch von keiner anderen Synchronisierungsregel verwendet wird (z.B. 50), und klicken Sie auf Weiter.
    Eingehend 1 Beschreibung
  5. Klicken Sie in Scoping filter (Bereichsfilter) auf Gruppe hinzufügen und dann auf Klausel hinzufügen. Wählen Sie in Attribut die Option ExtensionAttribute15 aus. Stellen Sie sicher, dass der Operator auf EQUAL festgelegt ist, und geben Sie dann den Wert NoSync in das Feld Wert ein. Klicken Sie auf Weiter.
    Eingehend 2 Bereich
  6. Lassen Sie Join rules (Joinregeln) leer, und klicken Sie dann auf Next.
  7. Klicken Sie auf Transformation hinzufügen, und wählen Sie Konstante als FlowType und cloudFiltered als Zielattribut aus. Geben Sie True im Textfeld Quelle ein. Klicken Sie auf Hinzufügen , um die Regel zu speichern.
    Eingehend 3 Transformation
  8. Um die Konfiguration abzuschließen, müssen Sie eine vollständige Synchronisierung durchführen. Fahren Sie mit dem Abschnitt Anwenden und Überprüfen von Änderungen fort.

Positive Filterung („ausschließliche Synchronisierung“)

Das Ausdrücken der positiven Filterung kann mit mehr Aufwand verbunden sein. Sie müssen hierbei nämlich auch Objekte berücksichtigen, bei denen die Synchronisierung nicht offensichtlich ist, z.B. Konferenzräume. Sie überschreiben auch den Standardfilter in der vordefinierten Regel Ein von AD – Benutzerverknüpfung. Achten Sie beim Erstellen eines benutzerdefinierten Filters darauf, keine wichtigen Systemobjekte, Replikationskonfliktobjekte, speziellen Postfächer und Dienstkonten für Microsoft Entra Connect einzuschließen.

Für die positive Filterung sind zwei Synchronisierungsregeln erforderlich: eine Synchronisierungsregel (oder mehrere) mit dem richtigen Umfang der zu synchronisierenden Objekte und eine Synchronisierungsregel zum Erfassen aller übrigen Objekte, die nicht synchronisiert werden sollen.

Im folgenden Beispiel werden nur Benutzerobjekte synchronisiert, bei denen das department-Attribut den Wert Saleshat.

  1. Melden Sie sich bei dem Server, auf dem die Microsoft Entra Connect-Synchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe ADSyncAdmins ist.
  2. Starten Sie den Synchronisierungsregel-Editor über das Startmenü.
  3. Stellen Sie sicher, dass Eingehend ausgewählt ist, und klicken Sie auf Neue Regel hinzufügen.
  4. Geben Sie der Regel einen aussagekräftigen Namen, z.B. In from AD – User Sales sync. Wählen Sie die richtige Gesamtstruktur und anschließend Benutzer für CS object type (CS-Objekttyp) und Person für MV object type (MV-Objekttyp) aus. Wählen Sie als Verknüpfungstyp die Option Join aus. Geben Sie unter Rangfolge einen Wert ein, der zurzeit noch von keiner anderen Synchronisierungsregel verwendet wird (z.B. 51), und klicken Sie auf Weiter.
    Eingehend 4 Beschreibung
  5. Klicken Sie in Scoping filter (Bereichsfilter) auf Gruppe hinzufügen und dann auf Klausel hinzufügen. Wählen Sie in Attribut den Wert department aus. Stellen Sie sicher, dass der Operator auf EQUAL festgelegt ist, und geben Sie dann den Wert Sales in das Feld Wert ein. Klicken Sie auf Weiter.
    Eingehend 5 Bereich
  6. Lassen Sie Join rules (Joinregeln) leer, und klicken Sie dann auf Next.
  7. Klicken Sie auf Transformation hinzufügen, und wählen Sie Konstante als FlowType und cloudFiltered als Zielattribut aus. Geben Sie False im Feld Quelle ein. Klicken Sie auf Hinzufügen , um die Regel zu speichern.
    Eingehend 6 Transformation
    Dies ist ein Sonderfall, in dem cloudFiltered explizit auf FALSE festgelegt wird.
  8. Wir müssen jetzt die Synchronisierungsregel „catch-all“ erstellen, die alles abdeckt. Geben Sie der Regel einen aussagekräftigen Namen, z.B. In from AD – User Catch-all filter. Wählen Sie die richtige Gesamtstruktur und anschließend Benutzer für CS object type (CS-Objekttyp) und Person für MV object type (MV-Objekttyp) aus. Wählen Sie als Verknüpfungstyp die Option Join aus. Geben Sie unter Rangfolge einen Wert ein, der zurzeit noch von keiner anderen Synchronisierungsregel verwendet wird (z.B. 99). Sie haben einen Rangfolgewert ausgewählt, der höher (niedrigere Rangfolge) als der für die vorherige Synchronisierungsregel ist. Sie haben aber auch Platz gelassen, sodass Sie später noch weitere Filterregeln für die Synchronisierung hinzufügen können, wenn Sie zusätzliche Abteilungen synchronisieren möchten. Klicken Sie auf Weiter.
    Eingehend 7 Beschreibung
  9. Lassen Sie Scoping filter leer, und klicken Sie auf Next. Ein leerer Filter gibt an, dass die Regel nicht auf alle Objekte angewendet wird.
  10. Lassen Sie Join rules (Joinregeln) leer, und klicken Sie dann auf Next.
  11. Klicken Sie auf Transformation hinzufügen, und wählen Sie Konstante als FlowType und cloudFiltered als Zielattribut aus. Geben Sie True im Feld Quelle ein. Klicken Sie auf Hinzufügen , um die Regel zu speichern.
    Eingehend 3 Transformation
  12. Um die Konfiguration abzuschließen, müssen Sie eine vollständige Synchronisierung durchführen. Fahren Sie mit dem Abschnitt Anwenden und Überprüfen von Änderungen fort.

Bei Bedarf können Sie weitere Regeln des ersten Typs erstellen, bei denen Sie mehr Objekte in die Synchronisierung einbeziehen.

Ausgehende Filterung

In einigen Fällen ist es erforderlich, die Filterung erst auszuführen, nachdem die Objekte der Metaverse hinzugefügt wurden. Es kann beispielsweise erforderlich sein, das E-Mail-Attribut aus der Ressourcengesamtstruktur und das Attribut „userPrincipalName“ aus der Kontogesamtstruktur zu untersuchen, um zu ermitteln, ob ein Objekt synchronisiert werden soll. In diesen Fällen wird die Filterung für die ausgehende Regel erstellt.

In diesem Beispiel wird die Filterung so geändert, dass nur Benutzer synchronisiert werden, deren Attribute „mail“ und „userPrincipalName“ auf @contoso.com enden:

  1. Melden Sie sich bei dem Server, auf dem die Microsoft Entra Connect-Synchronisierung ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe ADSyncAdmins ist.
  2. Starten Sie den Synchronisierungsregel-Editor über das Startmenü.
  3. Klicken Sie unter Rules Type (Regeltyp) auf Outbound (Ausgehend).
  4. Suchen Sie abhängig von der verwendeten Connect-Version entweder die Regel Out to Microsoft Entra ID – User Join oder Out to Microsoft Entra ID – User Join SOAInAD, und klicken Sie dann auf Bearbeiten.
  5. Wählen Sie im Popupfenster die Antwort Ja , um eine Kopie der Regel zu erstellen.
  6. Ändern Sie auf der Seite Beschreibung die Rangfolge in einen nicht verwendeten Wert, z.B. 50.
  7. Klicken Sie im linken Navigationsbereich auf Scoping filter (Bereichsfilter) und dann auf Klausel hinzufügen. Wählen Sie in Attribut den Wert mail aus. Wählen Sie in Operator die Option ENDSWITH aus. Geben Sie in Wert@contoso.com ein und klicken Sie dann auf Klausel hinzufügen. Wählen Sie in Attribut die Option userPrincipalName aus. Wählen Sie in Operator die Option ENDSWITH aus. Geben Sie in Wertcontoso.com ein.
  8. Klicken Sie auf Speichern.
  9. Um die Konfiguration abzuschließen, müssen Sie eine vollständige Synchronisierung durchführen. Fahren Sie mit dem Abschnitt Anwenden und Überprüfen von Änderungen fort.

Anwenden und Überprüfen von Änderungen

Nachdem Sie Änderungen an der Konfiguration vorgenommen haben, müssen diese Änderungen auf die Objekte angewendet werden, die bereits im System vorhanden sind. Es kann auch sein, dass derzeit nicht im Synchronisierungsmodul enthaltene Objekte verarbeitet werden sollen und das Synchronisierungsmodul das Quellsystem erneut auslesen muss, um den Inhalt zu verifizieren.

Wenn Sie die Konfiguration per Filterung nach Domäne oder Organisationseinheit geändert haben, müssen Sie einen vollständigen Import gefolgt von einer Deltasynchronisierung durchführen.

Falls Sie die Konfiguration per Filterung nach dem Attribut geändert haben, müssen Sie die vollständige Synchronisierung durchführen.

Führen Sie die folgenden Schritte aus:

  1. Starten Sie den Synchronisierungsdienst über das Startmenü.
  2. Wählen Sie Connectors aus. Wählen Sie in der Liste Connectors den Connector aus, für den Sie vorher eine Konfigurationsänderung vorgenommen haben. Wählen Sie unter Aktionen die Option Ausführen aus.
    Connectorausführung
  3. Wählen Sie unter Ausführungsprofile den im vorherigen Abschnitt erwähnten Vorgang aus. Wenn Sie zwei Aktionen ausführen müssen, führen Sie die zweite nach Abschluss der ersten Aktivität aus. (Die Spalte Status zeigt für den ausgewählten Connector Im Leerlauf an.)

Nach der Synchronisierung werden alle Änderungen für den Export bereitgestellt. Bevor Sie die Änderungen in Microsoft Entra ID tatsächlich vornehmen, sollten Sie sicherstellen, dass alle Änderungen richtig sind.

  1. Starten Sie eine Eingabeaufforderung, und wechseln Sie zu %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Führen Sie csexport "Name of Connector" %temp%\export.xml /f:x aus.
    Den Namen des Connectors finden Sie im Synchronisierungsdienst. Der Name hat für Microsoft Entra ID Ähnlichkeit mit „contoso.com – Microsoft Entra ID“.
  3. Führen Sie CSExportAnalyzer %temp%\export.xml > %temp%\export.csv aus.
  4. Sie verfügen jetzt im Ordner „%temp%“ über eine Datei namens „export.csv“, die in Microsoft Excel untersucht werden kann. Diese Datei enthält alle Änderungen, die exportiert werden sollen.
  5. Nehmen Sie erforderliche Änderungen an den Daten oder der Konfiguration vor, und führen Sie die oben genannten Schritte (Importieren, Synchronisieren und Überprüfen) erneut aus, bis Sie die Änderungen erhalten, die Sie exportieren möchten.

Wenn Sie zufrieden sind, können Sie die Änderungen nach für Microsoft Entra ID exportieren.

  1. Wählen Sie Konnektoren aus. Wählen Sie in der Liste Connectors den Microsoft Entra-Connector aus. Wählen Sie unter Aktionen die Option Ausführen aus.
  2. Wählen Sie unter Ausführungsprofile die Option Exportieren aus.
  3. Falls im Rahmen Ihrer Konfigurationsänderungen viele Objekte geändert werden, wird für den Export ein Fehler angezeigt, wenn die Zahl die konfigurierte Schwelle (standardmäßig 500) übersteigt. In diesem Fall müssen Sie das Feature Verhindern von versehentlichen Löschungen vorübergehend deaktivieren.

Jetzt ist es an der Zeit, den Scheduler wieder zu aktivieren.

  1. Starten Sie im Startmenü die Aufgabenplanung.
  2. Suchen Sie direkt unterhalb der Aufgabenplanungsbibliothek nach der Aufgabe mit dem Namen Azure AD-Synchronisierungsplaner, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Aktivieren aus.

Gruppenbasierte Filterung

Die gruppenbasierte Filterung kann bei der erstmaligen Installation von Microsoft Entra Connect als benutzerdefinierte Installation konfiguriert werden. Die Option ist für Pilotbereitstellungen gedacht, bei denen nur ein kleiner Satz von Objekten synchronisiert werden soll. Wenn Sie die gruppenbasierte Filterung deaktiviert haben, können Sie sie nicht mehr aktivieren. Die Verwendung der gruppenbasierten Filterung in einer benutzerdefinierten Konfiguration wird nicht unterstützt. Die Konfiguration dieses Features wird nur mit dem Installations-Assistenten unterstützt. Wenn Sie Ihr Pilotprojekt abgeschlossen haben, sollten Sie eine der anderen Filteroptionen in diesem Thema verwenden. Wenn Sie die organisationseinheitenbasierte Filterung zusammen mit der gruppenbasierten Filterung verwenden, müssen die Organisationseinheiten mit den Gruppen- und Mitgliedsobjekten eingeschlossen werden.

Beim Synchronisieren mehrerer AD-Gesamtstrukturen können Sie die gruppenbasierte Filterung konfigurieren, indem Sie für jeden AD-Connector eine andere Gruppe angeben. Wenn Sie einen Benutzer in einer AD-Gesamtstruktur synchronisieren möchten und für diesen Benutzer mindestens ein entsprechendes Objekt in anderen AD-Gesamtstrukturen vorhanden ist, müssen Sie sicherstellen, dass das Benutzerobjekt und alle entsprechenden Objekte sich innerhalb eines Bereichs für die gruppenbasierte Filterung befinden. Beispiele:

  • Sie verfügen über einen Benutzer in einer Gesamtstruktur, für den ein entsprechendes FSP-Objekt (Foreign Security Principal, fremder Sicherheitsprinzipal) in einer anderen Gesamtstruktur vorhanden ist. Beide Objekte müssen sich innerhalb eines Bereichs für die gruppenbasierte Filterung befinden. Andernfalls wird der Benutzer nicht mit Microsoft Entra ID synchronisiert.

  • Sie verfügen über einen Benutzer in einer Gesamtstruktur, für den ein entsprechendes Ressourcenkonto (z. B. ein verknüpftes Postfach) in einer anderen Gesamtstruktur vorhanden ist. Darüber hinaus haben Sie Microsoft Entra Connect so konfiguriert, dass der Benutzer mit dem Ressourcenkonto verknüpft ist. Beide Objekte müssen sich innerhalb eines Bereichs für die gruppenbasierte Filterung befinden. Andernfalls wird der Benutzer nicht mit Microsoft Entra ID synchronisiert.

  • Sie verfügen über einen Benutzer in einer Gesamtstruktur, für den ein entsprechender E-Mail-Kontakt in einer anderen Gesamtstruktur vorhanden ist. Außerdem haben Sie Microsoft Entra Connect so konfiguriert, dass der Benutzer mit dem E-Mail-Kontakt verknüpft ist. Beide Objekte müssen sich innerhalb eines Bereichs für die gruppenbasierte Filterung befinden. Andernfalls wird der Benutzer nicht mit Microsoft Entra ID synchronisiert.

Nächste Schritte