Condividi tramite


Sincronizzazione Microsoft Entra Connect: apportare una modifica alla configurazione predefinita

Lo scopo di questo articolo è illustrare come apportare modifiche alla configurazione predefinita in Microsoft Entra Connect Sync. Vengono forniti i passaggi per alcuni scenari comuni. Con queste conoscenze, è necessario essere in grado di apportare semplici modifiche alla propria configurazione in base alle proprie regole business.

Avvertimento

Se si apportano modifiche alle regole di sincronizzazione predefinite, queste modifiche vengono sovrascritte al prossimo aggiornamento di Microsoft Entra Connect, causando risultati di sincronizzazione imprevisti e probabilmente indesiderati.

Le regole di sincronizzazione predefinite hanno un'impronta digitale. Se si apporta una modifica a queste regole, l'impronta digitale non corrisponde più. Potrebbero verificarsi problemi in futuro quando si tenta di applicare una nuova versione di Microsoft Entra Connect. Apportare modifiche solo nel modo descritto in questo articolo.

Editor delle regole di sincronizzazione

L'editor regole di sincronizzazione viene usato per visualizzare e modificare la configurazione predefinita. È possibile trovarlo nel menu Start nel gruppo Microsoft Entra Connect.
menu Start con l'editor di regole di sincronizzazione

Quando si apre l'editor, vengono visualizzate le regole predefinite.

Editor Regole di Sincronizzazione

Usando gli elenchi a discesa nella parte superiore dell'editor, è possibile trovare rapidamente una regola specifica. Ad esempio, se si desidera visualizzare le regole in cui è incluso l'attributo proxyAddresses, è possibile modificare gli elenchi a discesa nel modo seguente:For example, if you want to see the rules where the attribute proxyAddresses is included, you can change the drop-downs to the following:
filtro SRE
Per reimpostare il filtro e caricare una nuova configurazione, premere F5 sulla tastiera.

In alto a destra è presente il pulsante Aggiungi nuova regola . Usare questo pulsante per creare una regola personalizzata.

Nella parte inferiore sono presenti pulsanti per agire su una regola di sincronizzazione selezionata. Modifica e Elimina fanno ciò che ti aspetti. Esportazione genera uno script di PowerShell per ricreare la regola di sincronizzazione. Con questa procedura, è possibile spostare una regola di sincronizzazione da un server a un altro.

Creare la prima regola personalizzata

Le modifiche più comuni sono relative ai flussi di attributi. I dati nella directory di origine potrebbero non essere uguali a in Microsoft Entra ID. Nell'esempio in questa sezione, assicurarsi che il nome specificato di un utente sia sempre in maiuscolo.

Disabilitare il pianificatore

Il pianificatore viene eseguito ogni 30 minuti per impostazione predefinita. Assicurarsi che non venga avviato durante l'esecuzione delle modifiche e la risoluzione dei problemi delle nuove regole. Per disabilitare temporaneamente l'utilità di pianificazione, avviare PowerShell ed eseguire Set-ADSyncScheduler -SyncCycleEnabled $false.

Disabilitare il pianificatore

Creare la regola

  1. Fare clic su Aggiungi nuova regola.
  2. Nella pagina Descrizione immettere quanto segue:
    filtro delle regole in ingresso
    • Nome: assegnare alla regola un nome descrittivo.
    • Descrizione: fornire qualche chiarimento in modo che un altro utente possa comprendere il significato della regola.
    • Sistema Connesso: Si tratta del sistema in cui è possibile trovare l'oggetto. In questo caso, selezionare Active Directory Connector.
    • Tipo di Oggetto Connected System/Metaverse: Selezionare rispettivamente Utente e Persona.
    • tipo di collegamento: imposta questo valore su Unisci.
    • Precedenza: Fornire un valore univoco nel sistema. Un valore numerico inferiore indica una precedenza superiore.
    • Tag: lasciare vuoto. Solo le regole predefinite di Microsoft devono avere questa casella riempita di un valore.
  3. Nella pagina Filtro di ambito , immettere givenName ISNOTNULL.
    filtro di regola di ambito in ingresso
    Questa sezione viene utilizzata per definire gli oggetti a cui applicare la regola. Se viene lasciato vuoto, la regola verrà applicata a tutti gli oggetti utente. Tuttavia, ciò includerebbe sale riunioni, account di servizio e altri oggetti utente non umani.
  4. Nella pagina delle regole di join , lasciare il campo vuoto.
  5. Nella pagina Transformations, modificare FlowType in Expression. Per Attributo di destinazione, selezionare givenName. E per Origine, inserire PCase([givenName]). trasformazioni delle regole in ingresso
    Il motore di sincronizzazione fa distinzione tra maiuscole e minuscole sia per il nome della funzione che per il nome dell'attributo. Se si digita un errore, viene visualizzato un avviso quando si aggiunge la regola. È possibile salvare e continuare, ma è necessario riaprire e correggere la regola.
  6. Fare clic su Aggiungi per salvare la regola.

La nuova regola personalizzata deve essere visibile con le altre regole di sincronizzazione nel sistema.

Verificare la modifica

Con questa nuova modifica, si vuole assicurarsi che funzioni come previsto e non generi errori. A seconda del numero di oggetti disponibili, esistono due modi per eseguire questo passaggio:

  • Eseguire una sincronizzazione completa su tutti gli oggetti.
  • Eseguire un'anteprima e una sincronizzazione completa su un singolo oggetto.

Apri il servizio di sincronizzazione dal menu Start. I passaggi descritti in questa sezione sono tutti inclusi in questo strumento.

sincronizzazione completa su tutti gli oggetti

  1. Selezionare Connettori nella parte superiore. Identificare il connettore modificato nella sezione precedente (in questo caso Active Directory Domain Services) e selezionarlo.
  2. Per Azioniselezionare Esegui.
  3. Selezionare sincronizzazione completae quindi selezionare OK. sincronizzazione completa
    Gli oggetti vengono ora aggiornati nel metaverse. Verificare le modifiche esaminando l'oggetto nel metaverse.

Anteprima e sincronizzazione completa su un singolo oggetto

  1. Selezionare Connettori nella parte superiore. Identificare il connettore modificato nella sezione precedente (in questo caso Active Directory Domain Services) e selezionarlo.
  2. Selezionare Spazio Connettore di Ricerca.
  3. Usare Scope per trovare un oggetto da usare per testare la modifica. Selezionare l'oggetto e fare clic su Preview.
  4. Nella nuova schermata selezionare Commit Preview.
    Anteprima commit
    La modifica è ora integrata nel Metaverso.

Visualizzare l'oggetto nel metaverse

  1. Selezionare alcuni oggetti di esempio per assicurarsi che il valore sia previsto e che la regola sia applicata.
  2. Selezionare Ricerca Metaverse dalla parte superiore. Aggiungere qualsiasi filtro necessario per trovare gli oggetti pertinenti.
  3. Dal risultato della ricerca aprire un oggetto . Esamina i valori dell'attributo e verifica anche che nella colonna Regole di sincronizzazione la regola sia applicata come previsto.
    ricerca del metaverso

Abilitare l'utilità di pianificazione

Se tutto è come previsto, è possibile abilitare di nuovo l'utilità di pianificazione. Da PowerShell eseguire Set-ADSyncScheduler -SyncCycleEnabled $true.

Altre modifiche comuni al flusso degli attributi

Nella sezione precedente è stato descritto come apportare modifiche a un flusso di attributi. In questa sezione vengono forniti alcuni esempi aggiuntivi. La procedura per creare la regola di sincronizzazione è abbreviata, ma è possibile trovare i passaggi completi nella sezione precedente.

Usare un attributo diverso da quello predefinito

In questo scenario Fabrikam, c'è una foresta in cui viene usato l'alfabeto locale per nome, cognome e nome visualizzato. La rappresentazione in caratteri latini di questi attributi è disponibile negli attributi di estensione. Per creare un elenco indirizzi globale in Microsoft Entra ID e Microsoft 365, l'organizzazione vuole usare invece questi attributi.

Con una configurazione predefinita, un oggetto della foresta locale ha un aspetto simile al seguente:
flusso di attributi 1

Per creare una regola con altri flussi di attributi, eseguire le operazioni seguenti:

  1. Aprire l'editor delle regole di sincronizzazione dal menu Start.
  2. Con Inbound ancora selezionato a sinistra, fare clic sul pulsante Aggiungi nuova regola.
  3. Assegnare alla regola un nome e una descrizione. Selezionare l'istanza di Active Directory locale e i tipi di oggetto pertinenti. In Tipo di collegamentoselezionare Unisci. Per la precedenza , scegliere un numero che non sia utilizzato da un'altra regola. Le regole pronte all'uso iniziano con 100, quindi il valore 50 può essere usato in questo esempio. flusso di attributi 2
  4. Lasciare vuoto il filtro d'ambito . In questo caso, deve essere applicato a tutti gli oggetti utente nella foresta.
  5. Lasciare regole di unione vuote. Ovvero, lasciare che la regola pronta all'uso gestisca tutti i join.
  6. In Trasformazionicreare i flussi seguenti:
    flusso dell'attributo 3
  7. Fare clic su Aggiungi per salvare la regola.
  8. Vai al gestore del servizio di sincronizzazione . In Connettoriselezionare il connettore in cui è stata aggiunta la regola. Selezionare Eseguie quindi selezionare Sincronizzazione Completa. Una sincronizzazione completa ricalcola tutti gli oggetti usando le regole correnti.

Questo è il risultato per lo stesso oggetto con questa regola personalizzata:
Flusso di attributi 4

Lunghezza degli attributi

Gli attributi stringa sono indicizzabili per impostazione predefinita e la lunghezza massima è di 448 caratteri. Se si utilizzano attributi stringa che potrebbero contenere più attributi, assicurarsi di includere quanto segue nel flusso di attributi:
attributeName <- Left([attributeName],448).

Modificare il suffisso principale dell'utente

L'attributo userPrincipalName in Active Directory non è sempre noto agli utenti e potrebbe non essere adatto come ID di accesso. Con l'installazione guidata della sincronizzazione di Microsoft Entra Connect, puoi scegliere un attributo diverso, ad esempio email. In alcuni casi, tuttavia, l'attributo deve essere calcolato.

Ad esempio, l'azienda Contoso ha due directory di Microsoft Entra, una per la produzione e una per i test. Vogliono che gli utenti nel tenant di test usino un altro suffisso nell'ID di accesso:
Word([userPrincipalName],1,"@") & "@contosotest.com".

In questa espressione prendere tutti gli elementi rimanenti del primo @-sign (Word) e concatenare con una stringa fissa.

Convertire un attributo multivalore in un singolo valore

Alcuni attributi di Active Directory sono multivalore nello schema, anche se sembrano a valore singolo in Utenti e Computer di Active Directory. Un esempio è l'attributo description:
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

In questa espressione, se l'attributo ha un valore, prendi il primo elemento (Item) nell'attributo, rimuovi gli spazi iniziali e finali (Trim) e quindi mantieni i primi 448 caratteri (Left) nella stringa.

Non eseguire il flusso di un attributo

Per informazioni generali sullo scenario per questa sezione, vedere Controllare il processo del flusso degli attributi.

Esistono due modi per non eseguire il flusso di un attributo. Il primo consiste nell'usare l'installazione guidata per rimuovere gli attributi selezionati. Questa opzione funziona se l'attributo non è mai stato sincronizzato in precedenza. Tuttavia, se si è iniziato a sincronizzare questo attributo e successivamente rimuoverlo con questa funzionalità, il motore di sincronizzazione smette di gestire l'attributo e i valori esistenti vengono lasciati in Microsoft Entra ID.

Se si vuole rimuovere il valore di un attributo e assicurarsi che non venga propagato in futuro, è necessario creare una regola personalizzata.

In questo scenario Fabrikam è stato rilevato che alcuni degli attributi sincronizzati con il cloud non dovrebbero essere presenti. Si vuole assicurarsi che questi attributi vengano rimossi dall'ID Microsoft Entra.
attributi di estensione non validi

  1. Creare una nuova regola di sincronizzazione in ingresso e compilare la descrizione. Descrizioni
  2. Creare flussi di attributi con Expression per FlowType e con AuthoritativeNull per Source. Il valore letterale AuthoritativeNull indica che il valore deve essere vuoto nel metaverse, anche se una regola di sincronizzazione con precedenza inferiore tenta di popolare il valore. Trasformazione per gli attributi di estensione
  3. Salvare la regola di sincronizzazione. Avviare il servizio di sincronizzazione , individuare il connettore, selezionare Eseguie quindi selezionare Sincronizzazione Completa. Questo passaggio ricalcola tutti i flussi di attributi.
  4. Verificare che le modifiche desiderate vengano esportate eseguendo una ricerca nello spazio connettore. eliminazione pianificata

Creare regole con PowerShell

L'uso dell'editor delle regole di sincronizzazione funziona correttamente quando sono presenti solo alcune modifiche da apportare. Se è necessario apportare molte modifiche, PowerShell potrebbe essere un'opzione migliore. Alcune funzionalità avanzate sono disponibili solo con PowerShell.

Ottieni lo script di PowerShell per una regola predefinita

Per visualizzare lo script di PowerShell che ha creato una regola predefinita, selezionare la regola nell'editor delle regole di sincronizzazione e fare clic su Esporta. Questa azione fornisce lo script di PowerShell che ha creato la regola.

Precedenza avanzata

Le regole di sincronizzazione predefinite iniziano con un valore di precedenza pari a 100. Se sono presenti molte foreste ed è necessario apportare molte modifiche personalizzate, le regole di sincronizzazione 99 potrebbero non essere sufficienti.

È possibile indicare al motore di sincronizzazione di voler inserire regole aggiuntive prima delle regole predefinite. Per ottenere questo comportamento, seguire questa procedura:

  1. Contrassegnare la prima regola di sincronizzazione standard (In da AD-User Join) nell'editor delle regole di sincronizzazione e selezionare Esporta. Copiare il valore dell'identificatore SR.
    PowerShell prima di modificare
  2. Creare la nuova regola di sincronizzazione. È possibile usare l'editor delle regole di sincronizzazione per crearlo. Esportare la regola in uno script di PowerShell.
  3. Nella proprietà PrecedenceBefore, inserire il valore dell'identificatore dalla regola disponibile. Impostare il di precedenza su 0. Assicurati che l'attributo identificatore sia univoco e che non si riutilizzi un GUID da un'altra regola. Assicurarsi inoltre che la proprietà ImmutableTag non sia impostata. Questa proprietà deve essere impostata solo per una regola predefinita.
  4. Salvare lo script di PowerShell ed eseguirlo. Il risultato è che alla regola personalizzata viene assegnato un valore di precedenza di 100 e tutte le altre regole preimpostate vengono incrementate.
    PowerShell dopo la modifica

È possibile avere molte regole di sincronizzazione personalizzate usando lo stesso valore PrecedenceBefore quando necessario.

Abilitare la sincronizzazione di UserType

Microsoft Entra Connect supporta la sincronizzazione dell'attributo UserType per gli oggetti user nelle versioni 1.1.524.0 e successive. In particolare, sono state introdotte le modifiche seguenti:

  • Lo schema del tipo di oggetto User in Microsoft Entra Connector viene esteso per includere l'attributo UserType, che è della stringa di tipo ed è a valore singolo.
  • Lo schema del tipo di oggetto Person nel metaverse viene esteso per includere l'attributo UserType, che è della stringa di tipo ed è a valore singolo.

Per impostazione predefinita, l'attributo UserType non è abilitato per la sincronizzazione perché non esiste alcun attributo UserType corrispondente in Active Directory locale. È necessario abilitare manualmente la sincronizzazione. Prima di eseguire questa operazione, è necessario prendere nota del comportamento seguente applicato dall'ID Microsoft Entra:

  • Microsoft Entra-only accetta due valori per l'attributo UserType: Member e Guest.
  • Se l'attributo UserType non è abilitato per la sincronizzazione in Microsoft Entra Connect, gli utenti di Microsoft Entra creati tramite la sincronizzazione della directory avranno l'attributo UserType impostato su Member.
  • Prima della versione 1.5.30.0, Microsoft Entra ID non consentì la modifica dell'attributo UserType per gli utenti esistenti di Microsoft Entra Connect. Nelle versioni precedenti, poteva essere impostato solo durante la creazione degli utenti di Microsoft Entra e poteva essere modificato tramite PowerShell.

Prima di abilitare la sincronizzazione dell'attributo UserType, è necessario decidere come derivare l'attributo da Active Directory locale. Di seguito sono riportati gli approcci più comuni:

  • Designare un attributo AD locale inutilizzato (ad esempio extensionAttribute1) da usare come attributo di origine. L'attributo AD locale designato deve essere di tipo stringa, essere a valore singolo e contenere il valore Member o Guest.

    Se si sceglie questo approccio, è necessario assicurarsi che l'attributo designato venga popolato con il valore corretto per tutti gli oggetti utente esistenti in Active Directory locale sincronizzati con Microsoft Entra ID prima di abilitare la sincronizzazione dell'attributo UserType.

  • In alternativa, è possibile derivare il valore per l'attributo UserType da altre proprietà. Ad esempio, si vuole sincronizzare tutti gli utenti come Guest se l'attributo AD userPrincipalName locale termina con la parte di dominio @partners.fabrikam123.org.

    Come accennato in precedenza, le versioni precedenti di Microsoft Entra Connect non consentono di modificare l'attributo UserType per gli utenti esistenti di Microsoft Entra Connect. Pertanto, è necessario assicurarsi che la logica che si è deciso sia coerente con il modo in cui l'attributo UserType è già configurato per tutti gli utenti di Microsoft Entra esistenti nel tenant.

I passaggi per abilitare la sincronizzazione dell'attributo UserType possono essere riepilogati come segue:

  1. Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna sincronizzazione.
  2. Aggiungere l'attributo di origine allo schema di AD Connector locale.
  3. Aggiungere UserType allo schema di Microsoft Entra Connector.
  4. Creare una regola di sincronizzazione in ingresso per il flusso del valore dell'attributo da Active Directory locale.
  5. Creare una regola di sincronizzazione in uscita per il flusso del valore dell'attributo in Microsoft Entra ID.
  6. Eseguire un ciclo di sincronizzazione completo.
  7. Abilitare l'utilità di pianificazione della sincronizzazione.

Nota

Nella parte restante di questa sezione vengono illustrati questi passaggi. Vengono descritti nel contesto di una distribuzione di Microsoft Entra con topologia a foresta singola e senza regole di sincronizzazione personalizzate. Se si dispone di una topologia a più foreste, regole di sincronizzazione personalizzate configurate o si dispone di un server di gestione temporanea, è necessario modificare i passaggi di conseguenza.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna sincronizzazione

Per evitare l'esportazione di modifiche indesiderate nell'ID di Microsoft Entra, assicurarsi che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare una sessione di PowerShell nel server Microsoft Entra Connect.
  2. Disabilitare la sincronizzazione pianificata eseguendo il cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Aprire Synchronization Service Manager passando a Avviare>servizio di sincronizzazione.
  4. Passare alla scheda Operazioni di e verificare che non sia presente alcuna operazione con stato in corso.

Passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector locale

Non tutti gli attributi di Microsoft Entra vengono importati nello spazio di AD Connector locale. Per aggiungere l'attributo di origine all'elenco degli attributi importati:

  1. Passare alla scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse su AD Connector locale e selezionare Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Assicurarsi che l'attributo di origine sia selezionato nella lista degli attributi.
  5. Fare clic su OK per salvare. Aggiungere l'attributo di origine allo schema di AD Connector locale

Passaggio 3: Aggiungere l'attributo UserType allo schema di Microsoft Entra Connector

Per impostazione predefinita, l'attributo UserType non viene importato nello spazio Microsoft Entra Connect. Per aggiungere l'attributo UserType all'elenco di attributi importati:

  1. Passare alla scheda Connettori in Synchronization Service Manager.
  2. Fare clic con il pulsante destro sul Connettore Microsoft Entra e selezionare Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Assicurarsi che l'attributo UserType sia selezionato nell'elenco degli attributi.
  5. Fare clic su OK per salvare.

Aggiungere l'attributo di origine allo schema di Microsoft Entra Connector

Passaggio 4: Creare una regola di sincronizzazione in ingresso per il flusso del valore dell'attributo da Active Directory locale

La regola di sincronizzazione in ingresso consente il flusso del valore dell'attributo dall'attributo di origine da Active Directory locale al metaverse:

  1. Aprire l'Editor delle regole di sincronizzazione andando su Avvia>Editor regole di sincronizzazione.

  2. Impostare il filtro di ricerca Direzione in modo che sia in ingresso .

  3. Fare clic sul pulsante aggiungi nuova regola per creare una nuova regola in ingresso.

  4. Nella scheda Descrizione specificare la configurazione seguente:

    Attributo Valore Dettagli
    Nome Specificare un nome Ad esempio, In da AD – TipoUtente
    Descrizione Fornire una descrizione
    Sistema connesso Selezionare l' del connettore AD locale
    Tipo di oggetto di sistema connesso Utente
    Tipo di oggetto Metaverse persona
    Tipo di collegamento Unisciti
    Precedenza Scegliere un numero compreso tra 1 e 99 1-99 è riservato alle regole di sincronizzazione personalizzate. Non selezionare un valore utilizzato da un'altra regola di sincronizzazione.
  5. Passare alla scheda Filtro di ambito e aggiungere un gruppo singolo di filtri di ambito con la seguente clausola:

    Attributo Operatore Valore
    descrizione dell'amministratore NOTSTARTWITH Utente_

    Il filtro di ambito determina a quali oggetti AD locali viene applicata questa regola di sincronizzazione in ingresso. In questo esempio, viene utilizzato lo stesso filtro di ambito usato nella regola di sincronizzazione predefinita In from AD – User Common, che impedisce l'applicazione della regola di sincronizzazione agli oggetti utente creati tramite la funzionalità di writeback utente di Microsoft Entra. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

  6. Passare alla scheda trasformazione e implementare la regola di trasformazione desiderata. Ad esempio, se è stato designato un attributo AD locale inutilizzato (ad esempio extensionAttribute1) come attributo di origine per UserType, è possibile implementare un flusso di attributi diretto:

    Tipo di flusso Attributo di destinazione Fonte Applica una sola volta Tipo di unione
    Diretto TipoUtente extensionAttribute1 Deselezionata Aggiornare

    In un altro esempio si vuole derivare il valore per l'attributo UserType da altre proprietà. Ad esempio, si vuole sincronizzare tutti gli utenti come Guest se l'attributo userPrincipalName locale termina con parte di dominio @partners.fabrikam123.org. È possibile implementare un'espressione simile alla seguente:

    Tipo di flusso Attributo di destinazione Fonte Applica una sola volta Tipo di unione
    Espressione TipoUtente IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("Il UserPrincipalName non è presente per determinare il tipo di utente")) Deselezionata Aggiornare
  7. Fare clic su Aggiungi per creare la regola in ingresso.

Creare una regola di sincronizzazione in ingresso

Passaggio 5: Creare una regola di sincronizzazione in uscita per il flusso del valore dell'attributo in Microsoft Entra ID

La regola di sincronizzazione in uscita consente al valore dell'attributo di passare dal metaverse all'attributo UserType in Microsoft Entra ID:

  1. Vai all'Editor delle regole di sincronizzazione.

  2. Impostare il filtro di ricerca Direzione su in uscita.

  3. Fare clic sul pulsante Aggiungi nuova regola.

  4. Nella scheda Descrizione specificare la configurazione seguente:

    Attributo Valore Dettagli
    Nome Specificare un nome Ad esempio, Out to Microsoft Entra ID – User tipoUtente
    Descrizione Fornire una descrizione
    Sistema connesso Selezionare il connettore Microsoft Entra
    Tipo di oggetto di sistema connesso Utente
    Tipo di oggetto Metaverse persona
    Tipo di collegamento Unisciti
    Precedenza Scegliere un numero compreso tra 1 e 99 1-99 è riservato alle regole di sincronizzazione personalizzate. Non selezionare un valore utilizzato da un'altra regola di sincronizzazione.
  5. Passare alla scheda filtro ambito e aggiungere un singolo gruppo di filtro di ambito con due clausole:

    Attributo Operatore Valore
    sourceObjectType UGUALE Utente
    cloudMastered NOTAQUAL Vero

    Il filtro di ambito determina a quali oggetti Microsoft Entra viene applicata questa regola di sincronizzazione in uscita. In questo esempio viene usato lo stesso filtro di ambito della regola di sincronizzazione predefinita (Out to AD – User Identity). Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente non sincronizzati da Active Directory locale. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

  6. Vai alla scheda Trasformazione e implementa la seguente regola di trasformazione:

    Tipo di flusso Attributo di destinazione Fonte Applica una sola volta Tipo di unione
    Diretto TipoUtente TipoUtente Deselezionata Aggiornare
  7. Fare clic su Aggiungi per creare la regola in uscita.

Creare una regola di sincronizzazione in uscita

Passaggio 6: Eseguire un ciclo di sincronizzazione completo

In generale, è necessario un ciclo di sincronizzazione completo perché sono stati aggiunti nuovi attributi sia agli schemi di Active Directory che a Microsoft Entra Connector e sono state introdotte regole di sincronizzazione personalizzate. Si desidera verificare le modifiche prima di esportarle in Microsoft Entra ID.

È possibile usare la procedura seguente per verificare le modifiche durante l'esecuzione manuale dei passaggi che costituiscono un ciclo di sincronizzazione completo.

  1. Eseguire un importazione completa sul Connettore AD locale:

    1. Passare alla scheda Connettori in Synchronization Service Manager.

    2. Fare clic con il pulsante destro del mouse sull'AD Connector locale e selezionare Esegui.

    3. Nella finestra di dialogo popup selezionare importazione completa e quindi fare clic su OK.

    4. Attendere il completamento dell'operazione.

      Nota

      È possibile ignorare un'importazione completa in AD Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati. In altre parole, non è stato necessario apportare modifiche durante Passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector locale.

  2. Eseguire un' importazione completa nel Connettore Microsoft Entra:

    1. Fare clic con il pulsante destro del mouse sul Connettore Microsoft Entra e selezionare Esegui.
    2. Nella finestra di dialogo popup selezionare importazione completa e quindi fare clic su OK.
    3. Attendere il completamento dell'operazione.
  3. Verificare le modifiche apportate alla regola di sincronizzazione in un oggetto User esistente:

    L'attributo di origine di Active Directory on-premise e UserType di Microsoft Entra ID sono stati importati nei rispettivi spazi connettore. Prima di procedere con una sincronizzazione completa, eseguire un Preview in un oggetto User esistente nello spazio di AD Connector locale. L'oggetto scelto deve avere l'attributo di origine compilato.

    Un'anteprima riuscita con il campo UserType popolato nel metaverso è un buon indicatore che le regole di sincronizzazione sono state configurate correttamente. Per informazioni su come eseguire un'anteprima di , vedere la sezione Verificare la modifica.

  4. Eseguire un di sincronizzazione completa nel di AD Connector locale:

    1. Fare clic con il pulsante destro del mouse sull'AD Connector locale e selezionare Esegui.
    2. Nella finestra di dialogo popup selezionare sincronizzazione completa e quindi fare clic su OK.
    3. Attendere il completamento dell'operazione.
  5. Verificare le esportazioni in sospeso su Microsoft Entra ID.

    1. Fare clic con il pulsante destro del mouse sul Connettore Microsoft Entra e seleziona Cerca nello Spazio del Connettore.

    2. Nella finestra di dialogo popup cerca spazio connettore:

      • Impostare Scope su Pending Export.
      • Selezionare tutte e tre le caselle di controllo: Aggiungi, Modificae Elimina.
      • Fare clic sul pulsante Cerca per ottenere l'elenco di oggetti con modifiche da esportare. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto .
      • Verificare che le modifiche siano previste.
  6. Eseguire Export sul Connettore Microsoft Entra:

    1. Fare clic con il pulsante destro del mouse sul Connettore Microsoft Entra e selezionare Esegui.
    2. Nella finestra di dialogo popup del connettore Esegui, selezionare Esporta e quindi fare clic su OK.
    3. Attendere il completamento dell'esportazione in Microsoft Entra ID.

Nota

Questi passaggi non includono la sincronizzazione completa e i passaggi di esportazione nel connettore Microsoft Entra. Questi passaggi non sono necessari perché i valori degli attributi passano da Active Directory locale solo a Microsoft Entra.These steps are not required because the attribute values are flowing from on-premises Active Directory to Microsoft Entra-only.

Passaggio 7: Riabilitare l'utilità di pianificazione della sincronizzazione

Riattivare il programma di pianificazione della sincronizzazione predefinito:

  1. Avviare una sessione di PowerShell.
  2. Riabilitare la sincronizzazione pianificata eseguendo il cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.

Passaggi successivi

argomenti di panoramica