Bagikan melalui


Sinkronisasi Microsoft Entra Connect: Konfigurasikan pemfilteran

Dengan menggunakan pemfilteran, Anda dapat mengontrol objek mana yang muncul di ID Microsoft Entra dari direktori lokal Anda. Konfigurasi default mengambil sebagian besar objek di semua domain di forest yang dikonfigurasi. Secara umum, ini adalah konfigurasi yang disarankan. Pengguna yang menggunakan beban kerja Microsoft 365, seperti Exchange Online dan Skype for Business, mendapat keuntungan dari Daftar Alamat Global lengkap sehingga mereka bisa mengirim alamat email dan menghubungi semua orang. Dengan konfigurasi default, mereka akan memiliki pengalaman yang sama dengan implementasi lokal Exchange atau Lync.

Catatan

Sinkronisasi Microsoft Entra Cloud dan Sinkronisasi Microsoft Entra Connect memfilter objek Direktori Aktif tempat atribut isCriticalSystemObject diatur ke True. Ini akan memfilter objek hak istimewa tinggi AD bawaan seperti Administrator, DomainAdmins, EnterpriseAdmins.  Pemfilteran ini berarti bahwa dua grup terakhir TIDAK disinkronkan ke ID Entra secara default.

Namun, objek lain yang ditambahkan ke grup hak istimewa tinggi ini (DomainAdmins, EnterpriseAdmins) tidak difilter dari sinkronisasi ke cloud. Misalnya, jika Anda menambahkan Pengguna AD lokal ke grup EnterpriseAdmins, pengguna tersebut masih akan disinkronkan ke ID Microsoft Entra.

Namun, dalam beberapa kasus, Anda wajib membuat beberapa perubahan pada konfigurasi default. Berikut adalah beberapa contoh:

  • Anda menjalankan pilot untuk Azure atau Microsoft 365 dan Anda hanya menginginkan subkumpulan pengguna di ID Microsoft Entra. Dalam pilot kecil, itu tidak penting untuk memiliki Daftar Alamat Global lengkap untuk menunjukkan fungsionalitas.
  • Anda memiliki banyak akun layanan dan akun nonpersonal lainnya yang tidak Anda inginkan di ID Microsoft Entra.
  • Untuk alasan kepatuhan, Anda tidak menghapus akun pengguna lokal. Anda hanya menonaktifkan akun pengguna lokal. Tetapi di ID Microsoft Entra, Anda hanya ingin akun aktif ada.

Artikel ini membahas cara mengonfigurasi berbagai metode pemfilteran.

Penting

Microsoft tidak mendukung pengubahan atau pengoperasian Sinkronisasi Microsoft Entra Connect di luar tindakan yang didokumentasikan secara resmi. Salah satu tindakan ini dapat mengakibatkan status Microsoft Entra Connect Sync yang tidak konsisten atau tidak didukung. Akibatnya, Microsoft tidak dapat memberikan dukungan teknis untuk penyebaran tersebut.

Dasar-dasar dan catatan penting

Di Sinkronisasi Microsoft Entra Connect, Anda dapat mengaktifkan pemfilteran kapan saja. Jika Anda mulai dengan konfigurasi default sinkronisasi direktori lalu mengonfigurasi pemfilteran, objek yang difilter tidak lagi disinkronkan ke ID Microsoft Entra. Karena perubahan ini, objek apa pun di ID Microsoft Entra yang sebelumnya disinkronkan tetapi kemudian difilter dihapus di ID Microsoft Entra.

Sebelum mulai membuat perubahan pada pemfilteran, pastikan Anda menonaktifkan penjadwal bawaan sehingga Anda tidak secara tidak sengaja mengekspor perubahan yang belum Anda verifikasi untuk benar.

Karena pemfilteran dapat menghapus banyak objek secara bersamaan, Anda ingin memastikan bahwa filter baru Anda sudah benar sebelum Anda mulai mengekspor perubahan apa pun ke ID Microsoft Entra. Setelah Anda menyelesaikan langkah-langkah konfigurasi, kami sangat menyarankan Anda mengikuti langkah-langkah verifikasi sebelum mengekspor dan membuat perubahan pada ID Microsoft Entra.

Untuk melindungi Anda dari menghapus banyak objek secara tidak sengaja, fitur " mencegah penghapusan yang tidak disengaja" dinyalakan secara default. Jika Anda menghapus banyak objek karena pemfilteran (500 secara default), Anda perlu mengikuti langkah-langkah dalam artikel ini untuk mengizinkan penghapusan masuk ke ID Microsoft Entra.

Jika Anda menggunakan build sebelum November 2015 (1.0.9125), lakukan perubahan pada konfigurasi filter, dan gunakan sinkronisasi hash kata sandi, maka Anda perlu memicu sinkronisasi penuh semua kata sandi setelah Anda menyelesaikan konfigurasi. Untuk langkah-langkah tentang cara memicu sinkronisasi penuh kata sandi, lihat Pemicu sinkronisasi penuh semua kata sandi. Jika Anda menggunakan build 1.0.9125 atau yang lebih baru, tindakan sinkronisasi penuh reguler juga menghitung apakah kata sandi harus disinkronkan dan jika langkah tambahan ini tidak lagi diperlukan.

Jika objek pengguna secara tidak sengaja dihapus di ID Microsoft Entra karena kesalahan pemfilteran, Anda dapat membuat ulang objek pengguna di ID Microsoft Entra dengan menghapus konfigurasi pemfilteran Anda. Kemudian Anda dapat menyinkronkan direktori Anda lagi. Tindakan ini memulihkan pengguna dari keranjang sampah di ID Microsoft Entra. Bagaimanapun, Anda tidak dapat membatalkan penghapusan jenis objek lainnya. Misalnya, jika Anda secara tidak sengaja menghapus grup keamanan dan digunakan untuk sumber daya ACL, grup dan ACL-nya tidak dapat dipulihkan.

Microsoft Entra Connect hanya menghapus objek yang pernah dianggap berada dalam cakupan. Jika ada objek di ID Microsoft Entra yang dibuat oleh mesin sinkronisasi lain dan objek ini tidak berada dalam cakupan, menambahkan pemfilteran tidak menghapusnya. Misalnya, jika Anda mulai dengan server DirSync yang membuat salinan lengkap seluruh direktori Anda di MICROSOFT Entra ID, dan Anda menginstal server Microsoft Entra Connect Sync baru secara paralel dengan pemfilteran diaktifkan dari awal, Microsoft Entra Connect tidak menghapus objek tambahan yang dibuat oleh DirSync.

Konfigurasi pemfilteran dipertahankan saat Anda menginstal atau meningkatkan ke versi Microsoft Entra Connect yang lebih baru. Ini selalu merupakan praktik terbaik untuk memverifikasi bahwa konfigurasi tidak secara tidak sengaja berubah setelah peningkatan ke versi yang lebih baru sebelum menjalankan siklus sinkronisasi pertama.

Jika Anda memiliki lebih dari satu forest, maka Anda harus menerapkan konfigurasi pemfilteran yang dijelaskan dalam topik ini ke setiap forest (dengan asumsi bahwa Anda menginginkan konfigurasi yang sama untuk semuanya).

Menonaktifkan penjadwal sinkronisasi

Untuk menonaktifkan penjadwal bawaan yang memicu siklus sinkronisasi setiap 30 menit, ikuti langkah-langkah berikut:

  1. Buka Windows Powershell, impor modul SINKRONISASI AAD dan nonaktifkan penjadwal menggunakan perintah berikut
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Buat perubahan yang didokumentasikan dalam artikel ini. Kemudian aktifkan kembali penjadwal lagi dengan perintah berikut
Set-ADSyncScheduler -SyncCycleEnabled $True

Opsi pemfilteran

Anda dapat menerapkan jenis konfigurasi pemfilteran berikut ke alat sinkronisasi direktori:

  • Berbasis grup: Pemfilteran berbasis grup tunggal hanya dapat dikonfigurasi pada instalasi awal dengan menggunakan penginstalan wizard.
  • Berbasis domain: Dengan menggunakan opsi ini, Anda dapat memilih domain mana yang disinkronkan ke ID Microsoft Entra. Anda juga dapat menambahkan dan menghapus domain dari konfigurasi mesin sinkronisasi saat membuat perubahan pada infrastruktur lokal setelah menginstal Sinkronisasi Microsoft Entra Connect.
  • Berbasis unit organisasi (OU): Dengan menggunakan opsi ini, Anda dapat memilih OU mana yang disinkronkan ke ID Microsoft Entra. Opsi ini untuk semua tipe objek dalam Unit Organisasi yang dipilih.
  • Berbasis atribut: Dengan menggunakan opsi ini, Anda dapat memfilter objek berdasarkan nilai atribut pada objek. Anda juga dapat memiliki filter yang berbeda untuk berbagai jenis objek.

Anda dapat menggunakan beberapa opsi pemfilteran secara bersamaan. Misalnya, Anda dapat menggunakan pemfilteran berbasis Unit Organisasi untuk hanya menyertakan objek dalam satu Unit Organisasi. Pada saat yang sama, Anda dapat menggunakan pemfilteran berbasis atribut untuk memfilter objek lebih lanjut. Saat Anda menggunakan beberapa metode pemfilteran, filter menggunakan "DAN" logis di antara filter.

Pemfilteran berbasis domain

Bagian ini memberi Anda langkah-langkah untuk mengonfigurasi filter domain Anda. Jika Anda menambahkan atau menghapus domain di forest setelah menginstal Microsoft Entra Connect, Anda juga harus memperbarui konfigurasi pemfilteran.

Untuk mengubah pemfilteran berbasis domain, jalankan wizard penginstalan: pemfilteran domain dan unit organisasi. Wizard penginstalan mengotomatiskan semua tugas yang didokumentasikan dalam topik ini.

Pemfilteran berbasis unit organisasi

Untuk mengubah pemfilteran berbasis unit organisasi, jalankan wizard penginstalan: pemfilteran domain dan unit organisasi. Wizard penginstalan mengotomatiskan semua tugas yang didokumentasikan dalam topik ini.

Penting

Jika Anda secara eksplisit memilih unit organisasi untuk sinkronisasi, Microsoft Entra Connect akan menambahkan DistinguishedName dari unit organisasi tersebut dalam daftar penyertaan untuk cakupan sinkronisasi domain. Namun, jika nanti Anda mengganti nama OU tersebut di Direktori Aktif, DistinguishedName dari OU diubah, dan akibatnya, Microsoft Entra Connect tidak akan lagi mempertimbangkan bahwa OU dalam cakupan sinkronisasi. Ini tidak akan menyebabkan masalah segera, tetapi pada langkah impor penuh, Microsoft Entra Connect akan mengevaluasi kembali cakupan sinkronisasi dan penghapusan (yaitu, kedaluwarsa) objek apa pun di luar cakupan sinkronisasi, yang berpotensi menyebabkan penghapusan massal objek yang tidak terduga di ID Microsoft Entra. Untuk mencegah masalah ini, setelah mengganti nama OU, jalankan Microsoft Entra Connect Wizard dan pilih kembali unit organisasi untuk disertakan lagi dalam cakupan sinkronisasi.

Pemfilteran berbasis atribut

Pastikan Anda menggunakan build November 2015 (1.0.9125) atau yang lebih baru agar langkah-langkah ini berfungsi.

Penting

Microsoft menyarankan untuk tidak mengubah aturan default yang dibuat oleh Microsoft Entra Connect. Jika Anda ingin mengubah aturan, maka kloning aturan tersebut, dan nonaktifkan aturan asli. Buat perubahan apa pun pada aturan kloning. Harap dicatat bahwa dengan melakukannya (menonaktifkan aturan asli) Anda akan melewatkan perbaikan bug atau fitur yang diaktifkan melalui aturan itu.

Pemfilteran berbasis atribut adalah cara paling fleksibel untuk memfilter objek. Anda dapat menggunakan kekuatan provisi deklaratif untuk mengontrol hampir setiap aspek ketika objek disinkronkan ke ID Microsoft Entra.

Anda dapat menerapkan pemfilteran masuk dari Direktori Aktif ke metaverse, dan pemfilteran keluar dari metaverse ke ID Microsoft Entra. Kami menyarankan agar Anda menerapkan pemfilteran masuk karena merupakan yang paling mudah untuk dipertahankan. Anda hanya boleh menggunakan pemfilteran keluar jika diperlukan untuk bergabung dengan objek lebih dari satu forest sebelum evaluasi dapat berlangsung.

Pemfilteran masuk

Pemfilteran masuk menggunakan konfigurasi default, di mana objek yang masuk ke ID Microsoft Entra harus memiliki atribut metaverse cloudFiltered yang tidak diatur ke nilai yang akan disinkronkan. Jika nilai atribut ini diatur ke Benar, maka objek tidak disinkronkan. Ini seharusnya tidak diatur ke Salah, menurut desain. Untuk memastikan aturan lain memiliki kemampuan untuk mengontribusikan nilai, atribut ini seharusnya hanya memiliki nilai Benar atau NULL (tidak ada).

Perhatikan bahwa Microsoft Entra Connect dirancang untuk membersihkan objek yang bertanggung jawab ke penetapan di Microsoft Entra ID. Jika dulunya sistem belum menetapkan objek di Microsoft Entra ID, tapi ia mendapatkan objek Microsoft Entra selama langkah mengimpor, bisa diasumsikan dengan pasti bahwa objek ini dibuat di Microsoft Entra ID oleh beberapa sistem yang lain. Microsoft Entra Connect tidak membersihkan jenis objek Microsoft Entra ini, bahkan ketika atribut cloudFiltered metaverse diatur ke True.

Dalam pemfilteran masuk, Anda menggunakan kekuatan cakupan untuk menentukan objek mana yang akan disinkronkan atau tidak disinkronkan. Di sinilah Anda membuat penyesuaian agar sesuai dengan kebutuhan organisasi Anda sendiri. Modul cakupan memiliki grup dan klausul untuk menentukan kapan aturan sinkronisasi berada dalam cakupan. Grup berisi satu atau banyak klausul. Ada "AND" logis antara beberapa klausul, dan "OR" logis di antara beberapa grup.

Mari kita lihat contoh:
Cuplikan layar memperlihatkan contoh menambahkan filter cakupan.
Ini harus dibaca sebagai (departemen = IT) ATAU (departemen = Penjualan DAN c = US).

Dalam contoh dan langkah-langkah berikut, Anda menggunakan objek pengguna sebagai contoh, tetapi Anda bisa menggunakan ini untuk semua jenis objek.

Dalam sampel berikut, nilai prioritas dimulai dengan 50. Ini bisa menjadi angka apa pun yang tidak digunakan, tetapi harus lebih rendah dari 100.

Pemfilteran negatif: "jangan sinkronkan ini"

Dalam contoh berikut, Anda memfilter keluar (tidak menyinkronkan) semua pengguna di mana extensionAttribute15 memiliki nilai NoSync.

  1. Masuk ke server yang menjalankan Sinkronisasi Microsoft Entra Connect dengan menggunakan akun yang merupakan anggota grup keamanan ADSyncAdmins .
  2. Mulai Sinkronisasi Aturan Penyunting dari menu Mulai.
  3. Pastikan Masuk dipilih, dan klik Tambahkan Aturan Baru.
  4. Beri aturan nama deskriptif, seperti "Masuk dari AD - Pengguna DoNotSyncFilter". Pilih forest yang benar, pilih Pengguna sebagai tipe objek CS, dan pilih Orang sebagai tipe objek MV. Di Tipe Tautan, pilih Gabung. Di Prioritas, ketik nilai yang saat ini tidak digunakan oleh aturan sinkronisasi lain (misalnya 50), lalu klik Berikutnya.
    Deskripsi 1 masuk
  5. Di Filter Cakupan, klik Tambahkan Grup, dan klik Tambahkan Klausul. Di Atribut, pilih ExtensionAttribute15. Pastikan bahwa Operator diatur ke SAMA, dan ketik nilai NoSync dalam kotak Nilai. Klik Berikutnya.
    Cakupan 2 masuk
  6. Biarkan aturan Gabung kosong, lalu klik Berikutnya.
  7. Klik Tambahkan Transformasi, pilih Jenis Alur sebagai Konstanta, dan pilih cloudFiltered sebagai Atribut Target. Dalam kotak teks Sumber, ketik Benar. Klik Tambahkan untuk menyimpan aturan.
    Transformasi 3 masuk
  8. Untuk menyelesaikan konfigurasi, Anda perlu menjalankan Sinkronisasi penuh. Lanjutkan membaca bagian Terapkan dan verifikasi perubahan.

Pemfilteran positif: "hanya sinkronkan ini"

Mengekspresikan pemfilteran positif bisa lebih menantang karena Anda juga harus mempertimbangkan objek yang tidak terlihat untuk disinkronkan, seperti ruang konferensi. Anda juga akan mengambil alih filter default dalam aturan proses awal Masuk dari AD - Gabung Pengguna. Saat Anda membuat filter kustom, pastikan untuk tidak menyertakan objek sistem penting, objek konflik replikasi, kotak surat khusus, dan akun layanan untuk Microsoft Entra Connect.

Opsi pemfilteran positif memerlukan dua aturan sinkronisasi: satu aturan sinkronisasi (atau lebih) dengan cakupan objek yang benar untuk disinkronkan, dan aturan sinkronisasi catch-all yang memfilter objek yang tersisa yang tidak boleh disinkronkan.

Dalam contoh berikut, Anda hanya menyinkronkan objek pengguna di mana atribut departemen memiliki nilai Penjualan.

  1. Masuk ke server yang menjalankan Sinkronisasi Microsoft Entra Connect dengan menggunakan akun yang merupakan anggota grup keamanan ADSyncAdmins .
  2. Mulai Sinkronisasi Aturan Penyunting dari menu Mulai.
  3. Pastikan Masuk dipilih, dan klik Tambahkan Aturan Baru.
  4. Beri aturan nama deskriptif, seperti "Masuk dari AD - Pengguna sinkronisasi Penjualan". Pilih forest yang benar, pilih Pengguna sebagai tipe objek CS, dan pilih Orang sebagai tipe objek MV. Di Tipe Tautan, pilih Gabung. Di Prioritas,ketik nilai yang saat ini tidak digunakan oleh aturan sinkronisasi lain (misalnya 51), lalu klik Berikutnya.
    Deskripsi 4 masuk
  5. Di Filter Cakupan, klik Tambahkan Grup, dan klik Tambahkan Klausul. Di Atribut, pilih departemen. Pastikan bahwa Operator diatur ke SAMA, dan ketik nilai Penjualan dalam kotak Nilai. Klik Berikutnya.
    Cakupan 5 masuk
  6. Biarkan aturan Gabung kosong, lalu klik Berikutnya.
  7. Klik Tambahkan Transformasi, pilih Konstanta sebagai Jenis Alur, dan pilih cloudFiltered sebagai Atribut Target. Dalam kotak Sumber, ketik Salah. Klik Tambahkan untuk menyimpan aturan.
    Transformasi 6 masuk
    Ini adalah kasus khusus di mana Anda secara eksplisit mengatur cloudFiltered ke Salah.
  8. Kita sekarang harus membuat aturan sinkronisasi catch-all. Beri aturan nama deskriptif, seperti "Masuk dari AD - Pengguna filter Catch-all". Pilih forest yang benar, pilih Pengguna sebagai tipe objek CS, dan pilih Orang sebagai tipe objek MV. Di Tipe Tautan, pilih Gabung. Di Prioritas, ketik nilai yang saat ini tidak digunakan oleh Aturan Sinkronisasi lain (misalnya 99). Anda telah memilih nilai prioritas yang lebih tinggi (prioritas yang lebih rendah) daripada aturan sinkronisasi sebelumnya. Tetapi Anda juga telah meninggalkan beberapa ruang sehingga Anda dapat menambahkan lebih banyak aturan sinkronisasi pemfilteran nanti ketika Anda ingin mulai menyinkronkan departemen tambahan. Klik Berikutnya.
    Deskripsi 7 masuk
  9. Biarkan Filter Cakupan kosong, dan klik Berikutnya. Filter kosong menunjukkan bahwa aturan akan diterapkan ke semua objek.
  10. Biarkan aturan Gabung kosong, lalu klik Berikutnya.
  11. Klik Tambahkan Transformasi, pilih Konstanta sebagai Jenis Alur, dan pilih cloudFiltered sebagai Atribut Target. Dalam kotak Sumber, ketik Benar. Klik Tambahkan untuk menyimpan aturan.
    Transformasi 3 masuk
  12. Untuk menyelesaikan konfigurasi, Anda perlu menjalankan Sinkronisasi penuh. Lanjutkan membaca bagian Terapkan dan verifikasi perubahan.

Jika perlu, Anda dapat membuat lebih banyak aturan dari jenis pertama di mana Anda menyertakan lebih banyak objek dalam sinkronisasi.

Pemfilteran keluar

Dalam beberapa kasus, perlu untuk melakukan pemfilteran hanya setelah objek bergabung dalam metaverse. Misalnya, mungkin perlu untuk melihat atribut alamat email dari forest sumber daya, dan atribut userPrincipalName dari forest akun, untuk menentukan apakah objek harus disinkronkan. Dalam kasus ini, Anda membuat pemfilteran pada aturan keluar.

Dalam contoh ini, Anda mengubah pemfilteran sehingga hanya pengguna yang memiliki alamat email dan userPrincipalName yang berakhiran @contoso.comdisinkronkan:

  1. Masuk ke server yang menjalankan Sinkronisasi Microsoft Entra Connect dengan menggunakan akun yang merupakan anggota grup keamanan ADSyncAdmins .
  2. Mulai Sinkronisasi Aturan Penyunting dari menu Mulai.
  3. Di bawah Tipe Aturan, klik Keluar.
  4. Bergantung pada versi Connect yang Anda gunakan, temukan aturan bernama Out to Microsoft Entra ID – User Join atau Out to Microsoft Entra ID - User Join SOAInAD, dan klik Edit.
  5. Di pop-up, jawab Ya untuk membuat salinan aturan.
  6. Pada halaman Deskripsi, ubah Prioritas ke nilai yang tidak digunakan, seperti 50.
  7. Klik Filter Cakupan di navigasi sebelah kiri, lalu klik Tambahkan Klausul. Di Atribut, pilih email. Di Operator,pilih ENDSWITH. Di Nilai, ketik @contoso.com, lalu klik Tambahkan klausa. Di Atribut, pilih userPrincipalName. Di Operator,pilih ENDSWITH. Di Nilai, ketik @contoso.com.
  8. Klik Simpan.
  9. Untuk menyelesaikan konfigurasi, Anda perlu menjalankan Sinkronisasi penuh. Lanjutkan membaca bagian Terapkan dan verifikasi perubahan.

Menerapkan dan memverifikasi perubahan

Setelah melakukan perubahan konfigurasi, Anda harus menerapkan perubahan ke objek yang sudah ada dalam sistem. Mungkin juga bahwa objek yang saat ini tidak berada di mesin sinkronisasi seharusnya diproses (dan mesin sinkronisasi perlu membaca lagi sistem sumber untuk memverifikasi kontennya).

Jika Anda mengubah konfigurasi dengan menggunakan domain atau unit organisasi, maka Anda perlu melakukan Impor penuh, diikuti dengan sinkronisasi Delta.

Jika Anda mengubah konfigurasi dengan menggunakan pemfilteran atribut, maka Anda perlu melakukan Sinkronisasi penuh.

Lakukan langkah-langkah berikut:

  1. Mulai Layanan Sinkronisasi dari menu Mulai.
  2. Pilih Konektor. Di daftar Konektor, pilih Konektor tempat Anda melakukan perubahan konfigurasi sebelumnya. Di Tindakan, pilih Jalankan.
    Jalankan Konektor
  3. Di Jalankan profil, pilih operasi yang disebutkan di bagian sebelumnya. Jika Anda perlu menjalankan dua tindakan, jalankan yang kedua setelah yang pertama selesai. (Kolom Status adalah Siaga untuk konektor yang dipilih.)

Setelah sinkronisasi, semua perubahan disiapkan untuk diekspor. Sebelum Anda benar-benar membuat perubahan di ID Microsoft Entra, Anda ingin memverifikasi bahwa semua perubahan ini sudah benar.

  1. Mulai perintah, dan masuk ke %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Jalankan csexport "Name of Connector" %temp%\export.xml /f:x.
    Nama Konektor ada di Layanan Sinkronisasi. Ini memiliki nama yang mirip dengan "contoso.com – ID Microsoft Entra" untuk ID Microsoft Entra.
  3. Jalankan CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Anda sekarang memiliki file dalam %temp% bernama export.csv yang bisa diperiksa di Microsoft Excel. File ini memuat semua perubahan yang akan diekspor.
  5. Buat perubahan yang diperlukan pada data atau konfigurasi, dan jalankan langkah-langkah ini lagi (Impor, Sinkronkan, dan Verifikasi) hingga perubahan yang akan diekspor adalah apa yang Anda harapkan.

Saat Anda puas, ekspor perubahan ke ID Microsoft Entra.

  1. Pilih Konektor. Di daftar Konektor, pilih Konektor Microsoft Entra. Di Tindakan, pilih Jalankan.
  2. Di Jalankan profil, pilih Ekspor.
  3. Jika perubahan konfigurasi Anda menghapus banyak objek, maka Anda akan melihat kesalahan dalam ekspor saat angka tersebut lebih dari ambang batas yang dikonfigurasi (secara default 500). Jika Anda melihat kesalahan ini, maka Anda perlu menonaktifkan sementara fitur "mencegah penghapusan yang tidak disengaja".

Sekarang saatnya untuk mengaktifkan penjadwal lagi.

  1. Mulai Tugas Microsoft Azure Scheduler dari menu Mulai.
  2. Secara langsung di bawah Pustaka Tugas Microsoft Azure Scheduler, temukan tugas bernama Penjadwal Sinkronisasi AAD, klik kanan, dan pilih Aktifkan.

Pemfilteran berbasis grup

Anda dapat mengonfigurasi pemfilteran berbasis grup saat pertama kali menginstal Microsoft Entra Connect dengan menggunakan penginstalan kustom. Ini ditujukan untuk penyebaran pilot di mana Anda hanya ingin sekumpulan kecil objek disinkronkan. Saat Anda menonaktifkan pemfilteran berbasis grup, filter tidak dapat diaktifkan lagi. Ini Tidak didukung untuk menggunakan pemfilteran berbasis grup dalam konfigurasi kustom. Hanya didukung untuk mengonfigurasi fitur ini dengan menggunakan penginstalan wizard. Ketika Anda telah menyelesaikan pilot Anda, maka gunakan salah satu opsi pemfilteran lainnya dalam topik ini. Jika Anda menggunakan pemfilteran berbasis grup Unit Organisasi di konjungsi dengan pemfilteran berbasis bersama, Unit organisasi tempat objek grup dan anggota berada harus disertakan.

Saat menyinkronkan beberapa forest AD, Anda dapat mengonfigurasi pemfilteran berbasis grup dengan menentukan grup yang berbeda untuk setiap konektor AD. Jika Anda ingin menyinkronkan pengguna di satu forest AD dan pengguna yang sama memiliki satu atau beberapa objek yang sesuai di forest AD lainnya, Anda harus memastikan bahwa objek pengguna dan semua objek yang terkait berada dalam cakupan pemfilteran berbasis grup. Misalnya:

  • Anda memiliki pengguna di satu forest yang memiliki objek FSP (Foreign Security Principal) yang terkait di forest lain. Kedua objek harus berada dalam cakupan pemfilteran berbasis grup. Jika tidak, pengguna tidak akan disinkronkan ke ID Microsoft Entra.

  • Anda memiliki pengguna di satu forest yang memiliki akun sumber daya terkait (seperti kotak surat tertaut) di forest lain. Selanjutnya, Anda telah mengonfigurasi Microsoft Entra Connect untuk menautkan pengguna dengan akun sumber daya. Kedua objek harus berada dalam cakupan pemfilteran berbasis grup. Jika tidak, pengguna tidak akan disinkronkan ke ID Microsoft Entra.

  • Anda memiliki pengguna di satu forest yang memiliki mail yang sesuai di forest lain. Selanjutnya, Anda telah mengonfigurasi Microsoft Entra Connect untuk menautkan pengguna dengan kontak email. Kedua objek harus berada dalam cakupan pemfilteran berbasis grup. Jika tidak, pengguna tidak akan disinkronkan ke ID Microsoft Entra.

Langkah berikutnya