Configuración del filtrado
Actualizado: 22 de julio de 2015
Importante
Este tema se archivará pronto.
Hay un nuevo producto denominado "Azure Active Directory Conectar" que reemplaza AADSync y DirSync.
Azure AD Connect incorpora los componentes y la funcionalidad publicados previamente como Dirsync y Sincronización de AAD.
En algún momento en el futuro, la compatibilidad con Dirsync y Sincronización de AAD finalizará.
Estas herramientas ya no se actualizan individualmente con mejoras de características y todas las mejoras futuras se incluirán en las actualizaciones de Azure AD Conectar.
Puede habilitar el filtrado en AADSync en cualquier momento. Si ya ha ejecutado las configuraciones predeterminadas de la sincronización de directorios y luego ha configurado el filtrado, los objetos que se filtren ya no se sincronizarán en Azure AD. Como consecuencia, se eliminarán de Azure AD los objetos que anteriormente se sincronizaban pero que se han filtrado. Si se han eliminado objetos por accidente debido a un error de filtrado, puede quitar las configuraciones de filtrado para volver a crear los objetos en Azure AD y, a continuación, volver a sincronizar los directorios.
Importante
Microsoft no admite la modificación ni el funcionamiento del AADSync fuera de esas acciones documentadas formalmente. Cualquiera de estas acciones puede dar lugar a un estado incoherente o no admitido de AASync y, como resultado, Microsoft no puede proporcionar soporte técnico para dichas implementaciones.
A excepción del filtrado saliente basado en atributos, las configuraciones se conservarán cuando instale o actualice a una nueva versión de AADSync. Es siempre una práctica recomendada comprobar que la configuración no se haya cambiado involuntariamente después de una actualización a una nueva versión antes de ejecutar el primer ciclo de sincronización.
Opciones de filtrado
Advertencia
En este artículo, Source AD se utiliza como nombre del conector de los Servicios de dominio de Active Directory. Si tiene varios bosques, tendrá un conector por bosque y la configuración debe repetirse en cada bosque.
Los tres tipos siguientes de configuración de filtrado se pueden aplicar a la herramienta de sincronización de directorios:
Basado en dominio: puede usar este tipo de filtrado para administrar las propiedades del conector sourceAD en AADSync. Este tipo le permite seleccionar qué dominios pueden sincronizarse en Azure AD.
Configurar el filtrado basado en unidades organizativas: puede usar este tipo de filtrado para administrar las propiedades del conector sourceAD en AADSync. Este tipo de filtrado le permite seleccionar qué OU pueden sincronizarse en Azure AD.
Basado en atributos: puede usar este método de filtrado para especificar filtros basados en atributos. Esto le permite controlar qué objetos deben sincronizarse en la nube.
Configurar el filtrado basado en el dominio
Esta sección proporciona los pasos que necesita para configurar el filtro de dominios.
Nota
Si modificó el filtro de dominios, también deberá actualizar los perfiles de ejecución.
Para establecer el filtro de dominios, realice los pasos siguientes:
Inicie sesión en el equipo que ejecuta AADSync mediante una cuenta que sea miembro del grupo de seguridad ADSyncAdmins.
En Inicio, pulse o haga clic en Servicio de sincronización para abrir el Administrador del Servicio de sincronización.
Para abrir la vista de conectores, haga clic en Conectores en el menú Herramientas.
En la lista Conectores, seleccione el conector que tiene Servicios de dominio de Active Directory como Tipo.
Para abrir el diálogo Propiedades, haga clic en Propiedades en el menú Acciones.
Haga clic en Configurar particiones de directorio.
En la lista Seleccionar particiones de directorio, compruebe que solo están seleccionadas las particiones que quiere sincronizar.
Advertencia
Para eliminar un dominio del proceso de sincronización, anule la selección de la casilla del dominio.
Para cerrar el diálogo Propiedades, haga clic en Aceptar.
Si actualizó el filtro de dominios, también deberá actualizar los perfiles de ejecución siguientes:
Importación completa
sincronización completa
Importación delta
Sincronización delta
Exportación
Si eliminó una partición de la lista de particiones de directorio, deberá asegurarse de eliminar también todos los pasos de perfiles de ejecución que hacen referencia a esta partición.
Para eliminar un paso de un perfil de ejecución, realice los pasos siguientes:
En la lista Conectores, seleccione el conector que tiene Servicios de dominio de Active Directory como Tipo.
Para abrir el diálogo Configurar perfiles de ejecución para, haga clic en Configurar perfiles de ejecución en el menú Acciones.
En la lista Perfiles de ejecución del conector, seleccione el perfil de ejecución que quiere configurar
Para cada paso en la lista de detalles de pasos, realice los pasos siguientes:
Si es necesario, haga clic en el paso para expandir los detalles.
Si el Valor del atributo Partición es un GUID, haga clic en Eliminar paso.
Para cerrar el diálogo Configurar perfiles de ejecución para, haga clic en Aceptar.
Si agregó una partición a la lista de particiones de directorio, deberá asegurarse de que hay disponible un paso de ejecución de perfil para esa partición en cada uno de los perfiles de ejecución de la lista anterior.
Para agregar un paso a un perfil de ejecución, realice los pasos siguientes:
En la lista Conectores, seleccione el conector que tiene Servicios de dominio de Active Directory como Tipo.
Para abrir el diálogo Configurar perfiles de ejecución para, haga clic en Configurar perfiles de ejecución en el menú Acciones.
En la lista Perfiles de ejecución del conector, seleccione el perfil de ejecución que quiere configurar
Para abrir el diálogo Configurar perfiles de ejecución, haga clic en Nuevo paso.
En la página Configurar paso, en la lista de tipos de pasos, seleccione el tipo de paso y, a continuación, haga clic en Siguiente.
En la página Configuración de conector, en la lista Partición, seleccione el nombre de la partición que agregó al filtro de dominios.
Para cerrar el cuadro de diálogo Configurar perfil de ejecución, haga clic en Finalizar.
Para cerrar el diálogo Configurar perfiles de ejecución para, haga clic en Aceptar.
Configurar el filtrado basado en la unidad organizativa
Cómo configurar el filtrado basado en la unidad organizativa
Inicie sesión en el equipo que ejecuta AADSync con una cuenta que sea miembro del grupo de seguridad ADSyncAdmins.
En Inicio, pulse o haga clic en Servicio de sincronización para abrir el Administrador del Servicio de sincronización.
En el Administrador del Servicio de sincronización, haga clic en Conectores y haga doble clic en SourceAD.
Haga clic en Configurar particiones de directorio, seleccione el dominio que desea configurar y haga clic en Contenedores.
Cuando se te pida, escribe las credenciales del dominio del bosque de Active Directory local.
Nota
Cuando aparezca el cuadro de diálogo de credenciales, se mostrará la cuenta utilizada para importar y exportar a AD DS. Si no sabe la contraseña de la cuenta, puede introducir otra cuenta y usarla en su lugar. La cuenta que use debe tener permisos de lectura para el dominio que se está configurando actualmente.
En el cuadro de diálogo Select Containers (Seleccionar contenedores), borra las OU que no quieras sincronizar con el directorio en la nube y luego haz clic en OK (Aceptar).
Haga clic en Aceptar en la página Propiedades de SourceAD.
Ejecute una importación completa y una sincronización diferencial siguiendo los pasos indicados a continuación:
En la lista de conectores, seleccione SourceAD.
Para abrir el cuadro de diálogo Ejecutar conector, seleccione Ejecutar en el menú Acciones.
En la lista de Perfiles de ejecución, seleccione Importación completa y espere a que se complete el perfil de ejecución.
Para abrir el cuadro de diálogo Ejecutar conector, seleccione Ejecutar en el menú Acciones.
En la lista de Perfiles de ejecución, seleccione Sincronización diferencial y espere a que se complete el perfil de ejecución.
Configurar el filtrado basado en atributos
Hay varias maneras de configurar el filtrado basado en atributos. Se recomienda configurarlo en entrante desde AD, ya que estos valores de configuración se conservarán incluso después de una actualización a una versión nueva. Es posible configurarlo en saliente a AAD, pero estos valores de configuración no se conservarán tras una actualización a una versión nueva, y solo debe usarse si es necesario con el fin de ver el objeto combinado en el metaverso para determinar el filtrado.
Filtrado entrante
El filtrado entrante aprovecha la configuración predeterminada, según la cual los objetos que van a AAD deben tener el atributo de metaverso cloudFiltered sin valor establecido y el atributo de metaverso sourceObjectType establecido en “User” o “Contact”.
El atributo cloudFiltered debe establecerse en True cuando el objeto no debe sincronizarse en Azure AD y mantenerse vacío en los demás casos. Este método se utiliza cuando se puede ver un objeto y se decide que no se desea su sincronización (filtrado negativo).
En este ejemplo filtraremos todos los usuarios en los que extensionAttribute15 tenga el valor NoSync.
Inicie sesión en el equipo que ejecuta AADSync mediante una cuenta que sea miembro del grupo de seguridad ADSyncAdmins.
Abra el Editor de reglas de sincronización ; para ello, busque en el menú Inicio.
Asegúrese de que está seleccionado Entrante y haga clic en Agregar regla nueva.
Especifique un nombre descriptivo para la regla, como In from AD – User DoNotSyncFilter, y seleccione el bosque correcto, User como tipo de objeto CS, y Person como tipo de objeto MV. En Tipo de vínculo, seleccione Unirse y, en precedencia, escriba un valor que no use actualmente otra regla de sincronización, por ejemplo, 50. Haga clic en Siguiente.
En Filtro de ámbito haga clic en Agregar grupo, haga clic en Agregar cláusula y en atributo seleccione ExtensionAttribute15. Asegúrese de que el Operador está establecido en EQUAL y escriba el valor NoSync en el cuadro Valor. Haga clic en Next.
Deje las reglas de unión vacías y haga clic en Siguiente.
Haga clic en Agregar transformación, seleccione el FlowType como Constante, seleccione el Atributo de destino cloudFiltered y en el cuadro de texto Origen escriba True. Haga clic en Agregar para guardar la regla.
Realice una sincronización completa: en la pestaña Conectores, haga clic con el botón derecho en SourceAD, haga clic en Ejecutar, haga clic en Sincronización completa y, a continuación, haga clic en Aceptar.
El atributo sourceObjectType aprovisionará un usuario o un contacto en AAD si este atributo tiene el valor User o Contact respectivamente. Si se crea una regla de sincronización con una precedencia superior a la integrada, es posible invalidar el comportamiento predeterminado. Este método también permite expresar reglas positivas y negativas.
En este ejemplo, solo sincronizaremos a los usuarios cuyo atributo de departamento sea “Sales” o esté vacío.
Inicie sesión en el equipo que ejecuta AADSync con una cuenta que sea miembro del grupo de seguridad ADSyncAdmins.
Abra el Editor de reglas de sincronización, que encontrará en el menú Inicio.
Asegúrese de que está seleccionado Entrante y haga clic en Agregar regla nueva.
Especifique un nombre descriptivo para la regla, como In from AD – User DoNotSyncFilter, y seleccione el bosque correcto, User como tipo de objeto CS, y Person como tipo de objeto MV. En Tipo de vínculo, seleccione Unirse y, en precedencia, escriba un valor que no use actualmente otra regla de sincronización, por ejemplo, 60. Haga clic en Next.
Deje vacíos el filtro de ámbito y las reglas de unión y haga clic en Siguiente dos veces.
Haga clic en Agregar transformación, seleccione el FlowType como Expresión y seleccione el Atributo de destino como sourceObjectType. En Origen, escriba la expresión siguiente:
IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
Haga clic en Agregar para guardar la regla.
Realice una sincronización completa: en la pestaña Conectores, haga clic con el botón derecho en SourceAD, haga clic en Ejecutar, haga clic en Sincronización completa y, a continuación, haga clic en Aceptar. El resultado será similar al siguiente:
Advertencia
Tenga en cuenta que estamos usando una combinación de cloudFiltered y sourceObjectType para determinar qué objetos deseamos sincronizar en AAD.
El uso de expresiones nos permite disponer de opciones de filtrado muy potentes. Fíjese en que, en la expresión anterior, proporcionamos el valor NULL literal cuando el departamento no está presente y cuando el departamento es "Sales". Esto indica que este atributo no aportó ningún valor y que se evaluarán las reglas integradas. Nos interesa que sea así para que determinen si debemos crear un usuario o un contacto en AAD.
Filtrado saliente
En algunos casos es necesario efectuar el filtrado después de que los objetos se hayan unido en el metaverso. Podría ser necesario, por ejemplo, para ver el atributo de correo desde el bosque de recursos y el atributo userPrincipalName desde el bosque de cuentas para determinar si debe sincronizarse un objeto. En estos casos, crearemos el filtrado en la regla saliente.
Nota
Este método obliga a cambiar las reglas de sincronización integradas. Es posible cambiar el ámbito de una regla de sincronización, pero el cambio podría no conservarse si se actualiza a una versión nueva de AADSync. Si usa el filtrado saliente, tome nota de los cambios que realice, y tras una actualización asegúrese de que el filtrado sigue estando presente y vuelva a aplicarlo si es necesario.
En este ejemplo cambiaremos el filtrado para que solamente se sincronicen los usuarios cuyo correo y userPrincipalName acaben en @contoso.com.
Inicie sesión en el equipo que ejecuta AADSync con una cuenta que sea miembro del grupo de seguridad ADSyncAdmins.
Abra el Editor de reglas de sincronización, que encontrará en el menú Inicio.
En Tipos de regla, haga clic en Saliente.
Busque la regla llamada Out to AAD – User Join. Haga clic en Editar.
Haga clic en Filtro de ámbito en el espacio de navegación izquierdo. Haga clic en Agregar cláusula, y en atributo seleccione correo, en Operador seleccione ENDSWITH y en Valor escriba @contoso.com. Haga clic en Agregar cláusula, y en atributo seleccione userPrincipalName, en Operador seleccione ENDSWITH y en Valor escriba @contoso.com.
Haga clic en Save(Guardar).
Realice una sincronización completa: en la pestaña Conectores, haga clic con el botón derecho en SourceAD, haga clic en Ejecutar, haga clic en Sincronización completa y, a continuación, haga clic en Aceptar.