Konfigurieren der Filterung

Aktualisiert: 22. Juli 2015

Wichtig

Dieses Thema wird bald archiviert.
Es gibt ein neues Produkt namens "Azure Active Directory Verbinden", das AADSync und DirSync ersetzt.
Azure AD Connect umfasst die Komponenten und Funktionen, die zuvor als DirSync und AAD Sync veröffentlicht wurden.
Irgendwann wird die Unterstützung für Dirsync und AAD Sync beendet.
Diese Tools werden nicht mehr einzeln mit Featureverbesserungen aktualisiert, und alle zukünftigen Verbesserungen werden in Updates für Azure AD Verbinden eingeschlossen.

Die neuesten Informationen zu Azure Active Directory Verbinden finden Sie unter Integrieren Ihrer lokalen Identitäten mit Azure Active Directory

Sie können das Filtern in AADSync immer aktivieren. Wenn Sie die Standardkonfigurationen der Verzeichnissynchronisierung bereits ausgeführt und dann die Filterung konfiguriert haben, werden die herausgefilterten Objekte nicht mehr mit Azure AD synchronisiert. Daher werden Objekte in Azure AD, die zuvor synchronisiert, anschließend aber gefiltert wurden, in Azure AD gelöscht. Sie können Objekte, die aufgrund eines Filterungsfehlers unbeabsichtigt gelöscht wurden, in Azure AD neu erstellen, indem Sie Ihre Filterkonfigurationen entfernen und die Verzeichnisse dann erneut synchronisieren.

Wichtig

Microsoft unterstützt keine Änderung oder den Betrieb der AADSync außerhalb dieser aktionen, die formell dokumentiert sind. Jede dieser Aktionen kann zu einem inkonsistenten oder nicht unterstützten Zustand von AASync führen und daher kann Microsoft keinen technischen Support für solche Bereitstellungen bereitstellen.

Mit Ausnahme der ausgehenden attributbasierten Filterung werden die Konfigurationen beibehalten, wenn Sie AADSync installieren oder ein Upgrade auf eine neuere Version von AADSync vornehmen. Es ist immer eine bewährte Methode, vor dem Ausführen des ersten Synchronisierungszyklus zu verifizieren, dass die Konfiguration nach einem Upgrade auf eine neuere Version nicht versehentlich geändert wurde.

Filteroptionen

Warnung

In diesem Artikel wird der Begriff "SourceAD" als Name für Ihren Active Directory-Domänendienstconnector verwendet. Wenn Sie über mehrere Gesamtstrukturen verfügen, steht Ihnen ein Connector pro Gesamtstruktur zur Verfügung, und die Konfiguration muss für jede Gesamtstruktur wiederholt werden.

Die folgenden drei Filterkonfigurationstypen können auf das Verzeichnissynchronisierungstool angewendet werden:

• Domänenbasiert: Sie können diesen Filtertyp verwenden, um die Eigenschaften des SourceAD Connector in AADSync zu verwalten. Mithilfe des Typs können Sie auswählen, welchen Domänen das Synchronisieren mit Azure AD gestattet wird.

• Konfigurieren Sie die organisationseinheitsbasierte Filterung: Sie können diesen Filtertyp verwenden, um die Eigenschaften des SourceAD Connector in AADSync zu verwalten. Mithilfe des Typs können Sie auswählen, welchen Organisationseinheiten das Synchronisieren mit Azure AD gestattet wird.

• Attributbasiert : Sie können diese Filtermethode verwenden, um attributbasierte Filter anzugeben. So können Sie steuern, welche Objekte mit der Cloud synchronisiert werden sollen.

Konfigurieren der domänenbasierten Filterung

In diesem Abschnitt finden Sie die Schritte, die erforderlich sind, um Ihren Domänenfilter zu konfigurieren.

Hinweis

Wenn Sie Ihren Domänenfilter geändert haben, müssen Sie auch Ihre Ausführungsprofile aktualisieren.

Führen Sie die folgenden Schritte aus, um den Domänenfilter festzulegen:

1. Melden Sie sich auf dem Computer, auf dem AADSync ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe ADSyncAdmins ist.

2. Tippen oder klicken Sie unter "Start" auf Synchronisierungsdienst zum Öffnen des Synchronisierungsdienst-Managers.

   

3. Klicken Sie zum Öffnen der Connectorsansicht im Menü auf Extras auf Connectors.

4. Wählen Sie in der Liste Connectors den Connector aus, der Active Directory-Domänendienst als Typ aufweist.

5. Klicken Sie zum Öffnen des Dialogfelds Eigenschaften im Menü Aktionen auf Eigenschaften.

6. Klicken Sie auf Verzeichnispartitionen konfigurieren.

7. Vergewissern Sie sich in der Liste Verzeichnispartitionen auswählen, dass nur die Partitionen ausgewählt sind, die Sie synchronisieren möchten.

   Warnung

   Deaktivieren Sie das Kontrollkästchen einer Domäne, wenn die Domäne aus dem Synchronisierungsvorgang entfernt werden soll.

8. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen.

Wenn Sie Ihren Domänenfilter aktualisiert haben, müssen Sie auch die folgenden Ausführungsprofile aktualisieren:

• Vollständiger Import

• Vollständige Synchronisierung

• Deltaimport

• Deltasynchronisierung

• Exportieren

Wenn Sie eine Partition aus der Verzeichnispartitionenliste entfernt haben, müssen Sie sicherstellen, dass alle Ausführungsprofilschritte, die auf diese Partition verweisen, ebenfalls entfernt werden.

Führen Sie die folgenden Schritte aus, um einen Schritt aus einem Ausführungsprofil zu entfernen:

1. Wählen Sie in der Liste Connectors den Connector aus, der Active Directory-Domänendienst als Typ aufweist.

2. Klicken Sie zum Öffnen des Dialogfelds Ausführungsprofile konfigurieren für im Menü Aktionen auf Ausführungsprofile konfigurieren.

3. Wählen Sie in der Liste Connectorausführungsprofile das Ausführungsprofil aus, das Sie konfigurieren möchten.

4. Führen Sie die folgenden Schritte für jeden Schritt in der Schrittdetailsliste aus:

   1. Wenn erforderlich, klicken Sie auf den Schritt, um die Schrittdetails zu erweitern.

   2. Wenn der Wert des Attributs Partition eine GUID ist, klicken Sie auf Schritt löschen.

5. Klicken Sie auf OK, um das Dialogfeld Ausführungsprofile konfigurieren für zu schließen.

Wenn Sie der Verzeichnispartitionenliste eine Partition hinzugefügt haben, müssen Sie sicherstellen, dass ein Ausführungsprofilschritt für diese Partition für jedes der Ausführungsprofile in der oben aufgeführten Liste vorhanden ist.

Führen Sie die folgenden Schritte aus, um einem Ausführungsprofil einen Schritt hinzuzufügen:

1. Wählen Sie in der Liste Connectors den Connector aus, der Active Directory-Domänendienst als Typ aufweist.

2. Klicken Sie zum Öffnen des Dialogfelds Ausführungsprofile konfigurieren für im Menü Aktionen auf Ausführungsprofile konfigurieren.

3. Wählen Sie in der Liste Connectorausführungsprofile das Ausführungsprofil aus, das Sie konfigurieren möchten.

4. Klicken Sie auf Neuer Schritt, um das Dialogfeld Ausführungsprofil konfigurieren zu öffnen.

5. Wählen Sie auf der Seite Schritt konfigurieren in der Liste der Schritttypen den Schritttyp aus, und klicken Sie dann auf Weiter.

6. Wählen Sie auf der Seite Connectorkonfiguration in der Liste Partition den Namen der Partition aus, die Sie Ihrem Domänenfilter hinzugefügt haben.

7. Um das Dialogfeld Configure Run Profile zu schließen, klicken Sie auf Finish (Fertig stellen).

8. Klicken Sie auf OK, um das Dialogfeld Ausführungsprofile konfigurieren für zu schließen.

Konfigurieren der organisationseinheitbasierten Filterung

So konfigurieren Sie die organisationseinheitbasierte Filterung

1. Melden Sie sich auf dem Computer, auf dem AADSync ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe "ADSyncAdmins" ist.

2. Tippen oder klicken Sie unter "Start" auf Synchronisierungsdienst zum Öffnen des Synchronisierungsdienst-Managers.

   

3. Klicken Sie im Synchronisierungsdienst-Manager auf Verbindungen, und doppelklicken Sie dann auf SourceAD.

4. Klicken Sie auf Verzeichnispartitionen konfigurieren, wählen Sie die zu konfigurierende Domäne aus, und klicken Sie dann auf Container.

5. Geben Sie Ihre Domänenanmeldeinformationen für die lokale Active Directory-Gesamtstruktur ein, sobald Sie dazu aufgefordert werden.

   Hinweis

   Wenn das Dialogfeld für die Anmeldedaten angezeigt wird, wird das für den Import und Export aus bzw. nach AD DS verwendete Konto angezeigt. Wenn Sie das Kennwort für das Konto nicht wissen, können Sie ein anderes Konto zur Verwendung eingeben. Das von Ihnen verwendete Konto muss über Leseberechtigungen auf die zurzeit konfigurierte Domäne verfügen.

6. Deaktivieren Sie im Dialogfeld Container auswählen die Organisationseinheiten, die nicht mit dem Cloudverzeichnis synchronisiert werden sollen, und klicken Sie dann auf OK.

7. Klicken Sie auf der Seite SourceAD Properties auf OK.

8. Führen Sie einen vollständigen Import und eine Deltasynchronisierung aus, indem Sie folgende Schritte abschließen:

   1. Wählen Sie in der Liste der Verbindungen SourceAD aus.

   2. Wählen Sie zum Öffnen des Dialogfelds für die Ausführungsverbindung Ausführen aus dem Menü Aktionen aus.

   3. Wählen Sie in der Liste "Ausführungsprofile" die Option Vollständiger Import, und warten Sie dann, bis das Ausführungsprofil abgeschlossen ist.

   4. Wählen Sie zum Öffnen des Dialogfelds für die Ausführungsverbindung Ausführen aus dem Menü Aktionen aus.

   5. Wählen Sie in der Liste "Ausführungsprofile" die Option Deltasynchronisierung, und warten Sie dann, bis das Ausführungsprofil abgeschlossen ist.

Konfigurieren der attributbasierten Filterung

Es gibt verschiedene Möglichkeiten zum Konfigurieren der auf Attributen basierenden Filterung. Die aus AD eingehende Konfiguration wird empfohlen, da diese Konfigurationseinstellungen selbst nach einem Upgrade auf eine neuere Version beibehalten werden. Die zu AAD ausgehende Konfiguration wird unterstützt. Diese Einstellungen werden jedoch nach einem Upgrade auf eine neuere Version nicht unterstützt und sollten nur verwendet werden, wenn es erforderlich ist, das kombinierte Objekte im Metaverse zum Bestimmen der Filterung anzuzeigen.

Eingehende Filterung

Die eingangsbasierte Filterung nutzt die standardmäßige Konfiguration. In dieser darf das Metaverse-Attribut "cloudFiltered" bei den Objekten, die in Richtung AAD gehen, nicht auf einen Wert festgelegt sein, und das Metaverse-Attribut "sourceObjectType" muss entweder auf "User" oder "Contact" festgelegt sein.

Das Attribut "cloudFiltered" sollte auf "True" festgelegt werden, wenn das Objekt nicht mit Azure AD synchronisiert werden sollte, in anderen Fällen sollte es leer gelassen werden. Diese Methode wird verwendet, wenn wir ein Objekt anzeigen und feststellen, dass wir ein Objekt nicht synchronisieren möchten (negative Filterung).

In diesem Beispiel filtern wir alle Benutzer heraus, wobei extensionAttribute15 den Wert NoSync aufweist.

1. Melden Sie sich auf dem Computer, auf dem AADSync ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe ADSyncAdmins ist.

2. Öffnen Sie den Synchronisierungsregeln-Editor , indem Sie ihn im Startmenü finden.

3. Stellen Sie sicher, dass Eingehend ausgewählt ist, und klicken Sie dann auf Neue Regel hinzufügen.

4. Verleihen Sie der Regel einen beschreibenden Namen wie "Ein aus AD – Benutzer DoNotSyncFilter", wählen Sie die richtige Gesamtstruktur aus ("User" als CS-Objekttyp und "Person" als MV-Objekttyp). Wählen Sie "Verknüpfungstyp" aus, und geben Sie in der Rangfolge einen Wert ein, der derzeit von einer anderen Synchronisierungsregel nicht verwendet wird, z. B. 50. Klicken Sie auf Weiter .

5. Klicken Sie unter "Bereichsfilter" auf Gruppe hinzufügen, klicken Sie auf Klausel hinzufügen, und wählen Sie in den Attributen ExtensionAttribute15 aus. Stellen Sie sicher, dass der Operator auf EQUAL festgelegt ist, und geben Sie dann den Wert NoSync in das Feld "Wert" ein. Klicken Sie auf Weiter.

6. Lassen Sie die Zusammenführungsregeln leer, und klicken Sie auf Weiter.

7. Klicken Sie auf die Option zum Hinzufügen der Transformation, wählen Sie den FlowType zu Konstante aus, wählen Sie das Zielattribut "cloudFiltered" aus, und geben Sie im Textfeld für die Quelle True ein. Klicken Sie auf Hinzufügen , um die Regel zu speichern.

8. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte "Connectors" mit der rechten Maustaste auf "SourceAD", klicken Sie auf "Ausführen", klicken Sie auf "Vollständige Synchronisierung", und klicken Sie dann auf "OK".

Das Attribut "sourceObjectType" stellt einen Benutzer oder Kontakt für AAD bereit, wenn dieses Attribut entsprechend den Wert "User" oder "Kontakt" aufweist. Durch das Erstellen einer Synchronisierungsregel mit höherer Rangfolge als die der einsatzbereiten, kann das Standardverhalten überschrieben werden. Diese Methode gibt uns eine Möglichkeit, positive und negative Regeln auszudrücken.

In diesem Beispiel synchronisieren wir nur Benutzer, bei denen das "department"-Attribut "Sales" lautet oder leer ist.

1. Melden Sie sich auf dem Computer, auf dem AADSync ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe "ADSyncAdmins" ist.

2. Suchen Sie im Startmenü nach dem Synchronisierungsregel-Editor, und öffnen Sie ihn.

3. Stellen Sie sicher, dass Eingehend ausgewählt ist, und klicken Sie dann auf Neue Regel hinzufügen.

4. Verleihen Sie der Regel einen beschreibenden Namen wie Ein aus AD – Benutzer DoNotSyncFilter, wählen Sie die richtige Gesamtstruktur aus (User als CS-Objekttyp und Person als MV-Objekttyp). Wählen Sie im Linktyp "Verknüpfung" und "Rangfolge" einen Wert ein, der derzeit von einer anderen Synchronisierungsregel nicht verwendet wird, z. B. 60. Klicken Sie auf Weiter.

5. Lassen Sie den Bereichsfilter und die Zusammenführungsregeln leer, und klicken Sie zweimal auf Weiter.

6. Klicken Sie auf die Option zum Hinzufügen der Transformation, wählen Sie den "FlowType" zu Expression aus, und wählen Sie das Zielattribut zu sourceObjectType aus. Geben Sie in der Quelle den folgenden Ausdruck ein:

   IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
   

7. Klicken Sie auf Hinzufügen, um die Regel zu speichern.

8. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte "Connectors" mit der rechten Maustaste auf "SourceAD", klicken Sie auf "Ausführen", klicken Sie auf "Vollständige Synchronisierung", und klicken Sie dann auf "OK". So sieht das Ergebnis in etwa aus:

   

   Warnung

   Beachten Sie, dass wir eine Kombination von cloudFiltered und sourceObjectType verwenden, um zu bestimmen, welche Objekte wir mit AAD synchronisieren möchten.

Durch die Verwendung von Ausdrücken haben wir sehr leistungsfähige Filterungsoptionen. Beachten Sie im obigen Ausdruck, dass wir das Literal NULL bereitgestellt haben, wenn "department" nicht vorhanden ist und wenn die Abteilung "Sales" lautete. Dies deutet darauf hin, dass dieses Attribut keinen Wert beisteuert und die einsatzbereiten Regeln ausgewertet werden. Wir möchten dies, damit sie bestimmen können, ob ein Benutzer oder Kontakt in AAD erstellt werden soll.

Ausgangsbasierte Filterung

In einigen Fällen ist es erforderlich, die Filterung nur dann vorzunehmen, nachdem die Objekte im Metaverse verknüpft wurden. Es könnte beispielsweise erforderlich sein, das Attribut "mail" aus der Ressourcengesamtstruktur und das Attribut "userPrincipalName" aus der Kontogesamtstruktur anzuzeigen, um zu bestimmen, ob ein Objekt synchronisiert werden sollte. In diesen Fällen erstellen wir die Filterung auf der ausgehenden Regel.

Hinweis

Diese Methode erfordert eine Änderung der standardmäßigen Synchronisierungsregeln. Das Ändern des Bereichs einer Synchronisierungsregel wird unterstützt. Die Änderung wird jedoch möglicherweise nach einem Upgrade auf eine neuere Version von AADSync nicht beibehalten. Wenn Sie die ausgangsbasierte Filterung verwenden, notieren Sie sich die vorzunehmenden Änderungen, und stellen Sie nach einem Upgrade sicher, dass die Filterung weiterhin vorhanden ist, bzw. wenden Sie sie ggf. erneut an.

In diesem Beispiel ändern wir die Filterung, damit nur Benutzer, bei denen mail und userPrincipalName mit @contoso.com endet, synchronisiert werden.

1. Melden Sie sich auf dem Computer, auf dem AADSync ausgeführt wird, mit einem Konto an, das Mitglied der Sicherheitsgruppe "ADSyncAdmins" ist.

2. Suchen Sie im Startmenü nach dem Synchronisierungsregel-Editor, und öffnen Sie ihn.

3. Klicken Sie unter Regeltypen auf Ausgehend.

4. Suchen Sie die Regel Out to AAD – User Join. Klicken Sie auf Bearbeiten.

5. Klicken Sie im linken Navigationsbereich auf Bereichsfilter. Klicken Sie auf Klausel hinzufügen, und wählen Sie unter "Attribut" mail, ENDSWITH unter "Operator" aus, und geben Sie @contoso.com in "Wert" ein. Klicken Sie auf Klausel hinzufügen, und wählen Sie unter "Attribut" userPrincipalName, ENDSWITH unter "Operator" aus, und geben Sie @contoso.com in "Wert" ein.

6. Klicken Sie auf Speichern.

7. Führen Sie eine vollständige Synchronisierung aus: Klicken Sie auf der Registerkarte "Connectors" mit der rechten Maustaste auf "SourceAD", klicken Sie auf "Ausführen", klicken Sie auf "Vollständige Synchronisierung", und klicken Sie dann auf "OK".

Kennwortsynchronisierung mit Filtern

Weitere Informationen

Konzepte

Azure Active Directory Synchronisieren