Configurare il filtro
Aggiornamento: 22 luglio 2015
Importante
Questo argomento verrà archiviato a breve.
Esiste un nuovo prodotto denominato "Azure Active Directory Connessione" che sostituisce AADSync e DirSync.
Azure AD Connect include i componenti e le funzionalità resi disponibili in precedenza come DirSync e AAD Sync.
A un certo punto in futuro, il supporto per Dirsync e AAD Sync terminerà.
Questi strumenti non vengono più aggiornati singolarmente con miglioramenti delle funzionalità e tutti i miglioramenti futuri verranno inclusi negli aggiornamenti di Azure AD Connessione.
È possibile abilitare il filtraggio in AADSync in qualsiasi momento. Se sono già state eseguite le configurazioni predefinite della sincronizzazione della directory e successivamente è stato configurato il filtro, gli oggetti esclusi non verranno più sincronizzati con Azure AD. Di conseguenza, tutti gli oggetti in Azure AD sincronizzati in precedenza, ma poi esclusi, verranno eliminati in Azure AD. Se gli oggetti sono stati eliminati inavvertitamente a causa di un errore di filtro, è possibile ricrearli in Azure AD rimuovendo le configurazioni di filtro e quindi sincronizzando di nuovo le directory.
Importante
Microsoft non supporta modifiche o operazioni del AADSync al di fuori di tali azioni formalmente documentate. Una di queste azioni può causare uno stato incoerente o non supportato di AASync e, di conseguenza, Microsoft non può fornire supporto tecnico per tali distribuzioni.
Fatta eccezione per il filtraggio basato sugli attributi in uscita, quando si installa o si esegue l'aggiornamento a una versione più recente verranno conservate tutte le configurazioni. Prima di eseguire il primo ciclo di sincronizzazione, la procedura consigliata è verificare sempre che la configurazione non sia stata modificata inavvertitamente dopo un aggiornamento a una versione più recente.
Opzioni di filtro
Avviso
In questo articolo viene usato il termine SourceAD come nome del connettore di Servizi di dominio Active Directory. Nel caso siano disponibili più foreste, si avrà un solo connettore per ogni foresta e sarà necessario ripetere la configurazione per ogni foresta.
Allo Strumento di sincronizzazione della directory è possibile applicare i tre tipi di configurazione di filtro descritti di seguito:
Basato su dominio: è possibile usare questo tipo di filtro per gestire le proprietà del connettore SourceAD in AADSync. Questo tipo di filtro consente di selezionare i domini che possono eseguire la sincronizzazione con Azure AD.
Configurare il filtro basato su unità organizzative: è possibile usare questo tipo di filtro per gestire le proprietà del connettore SourceAD in AADSync. Questo tipo di filtro consente di selezionare le unità organizzative che possono eseguire la sincronizzazione con Azure AD.
Basato su attributi : è possibile usare questo metodo di filtro per specificare filtri basati su attributi. e di conseguenza controllare gli oggetti che devono essere sincronizzati con il cloud.
Configurare il filtro basato su dominio
Questa sezione illustra i passaggi necessari per configurare il filtro basato su dominio.
Nota
Se il filtro basato su dominio è stato modificato, è necessario aggiornare anche i profili di esecuzione.
Per impostare il filtro basato su dominio, seguire questa procedura:
Accedere al computer che esegue AADSync usando un account membro del gruppo di sicurezza ADSyncAdmins.
In Start, toccare o fare clic su Servizio di sincronizzazione per aprire Synchronization Service Manager.
Per aprire la vista connettori, fare clic su Connectors nel menu Tools.
Nell'elenco Connectors selezionare il connettore il cui tipo corrisponde a Servizi di dominio Active Directory.
Per aprire la finestra di dialogo Properties, fare clic sull'opzione corrispondente nel menu Actions.
Fare clic su Configure Directory Partitions.
Nell'elenco per la selezione delle partizioni di directoryverificare che siano selezionate solo le partizioni che si desidera sincronizzare.
Avviso
Per rimuovere un dominio dal processo di sincronizzazione, deselezionare la casella di controllo corrispondente.
Per chiudere la finestra di dialogo Properties, fare clic su OK.
Se il filtro basato su dominio è stato aggiornato, è necessario aggiornare anche i seguenti profili di esecuzione:
Importazione completa
sincronizzazione completa
Importazione differenziale
Sincronizzazione differenziale
Esportazione
Se è stata rimossa una partizione dall'elenco delle partizioni di directory, è necessario assicurarsi di rimuovere anche tutte le istruzioni relative ai profili di esecuzione che fanno riferimento a tale partizione.
Per rimuovere un'istruzione da un profilo di esecuzione, seguire questa procedura:
Nell'elenco Connectors selezionare il connettore il cui tipo corrisponde a Servizi di dominio Active Directory.
Per aprire la finestra di dialogo Configure Run Profiles for, fare clic su Configure Run Profiles nel menu Actions.
Nell'elenco Connector run profiles selezionare il profilo di esecuzione che si desidera configurare.
Effettuare i seguenti passaggi per ogni istruzione presente nel relativo elenco:
Se necessario, fare clic su un'istruzione per espanderne i dettagli.
Se l'opzione Value dell'attributo Partition è un GUID, fare clic su Delete Step.
Per chiudere la finestra di dialogo Configure Run Profiles for, fare clic su OK.
Se è stata aggiunta una partizione all'elenco delle partizioni di directory, è necessario assicurarsi che un'istruzione relativa ai profili di esecuzione che fa riferimento a tale partizione sia disponibile in ciascuno dei profili di esecuzione contenuti nell'elenco.
Per aggiungere un'istruzione a un profilo di esecuzione, seguire questa procedura:
Nell'elenco Connectors selezionare il connettore il cui tipo corrisponde a Servizi di dominio Active Directory.
Per aprire la finestra di dialogo Configure Run Profiles for, fare clic su Configure Run Profiles nel menu Actions.
Nell'elenco Connector run profiles selezionare il profilo di esecuzione che si desidera configurare.
Per aprire la finestra di dialogo Configure Run Profile, fare clic su New Step.
Nell'elenco dei tipi di istruzioni della pagina Configure Step selezionare un tipo di istruzione e passare alla schermata successiva.
Nell'elenco Partition della pagina Connector Configuration selezionare il nome della partizione aggiunta al filtro basato su dominio.
Per chiudere la finestra di dialogo Configure Run Profile, fare clic su Finish.
Per chiudere la finestra di dialogo Configure Run Profiles for, fare clic su OK.
Configurare il filtro basato sull'unità organizzativa
Per configurare il filtro basato sull'unità organizzativa
Eseguire l'accesso al computer che esegue AADSYNC usando un account membro del gruppo di sicurezza ADSyncAdmins.
In Start, toccare o fare clic su Servizio di sincronizzazione per aprire Synchronization Service Manager.
In Synchronization Service Manager, fare clic su Connectors, quindi fare doppio clic su SourceAD.
Fare clic su Configure Directory Partitions, quindi selezionare i domini da sincronizzare, infine fare clic su Containers.
Quando richiesto, immettere le credenziali di dominio per la foresta Active Directory locale.
Nota
Quando verrà visualizzata la finestra di dialogo delle credenziali, verrà visualizzato l'account usato per importare ed esportare nei Servizi di dominio Active Directory. Se non si conosce la password dell'account è possibile immettere un altro account da usare. L'account usato deve avere autorizzazioni di lettura del dominio in corso di configurazione.
Nella finestra di dialogo Select Containers deselezionare le unità organizzative che non si desidera sincronizzare con la directory cloud e quindi fare clic su OK.
Fare clic su OK nella pagina SourceAD Properties.
Eseguire un'importazione completa e una sincronizzazione delta completando la procedura seguente:
Nell'elenco dei connettori selezionare SourceAD.
Per aprire la finestra di dialogo Run Connector selezionare Run dal menu Actions.
Nell'elenco Run profiles, selezionare Full Import, quindi attendere il completamento del profilo di esecuzione.
Per aprire la finestra di dialogo Run Connector selezionare Run dal menu Actions.
Nell'elenco Run profiles, selezionare Delta Synchronization, quindi attendere il completamento del profilo di esecuzione.
Configurare il filtro basato su attributo
Ci sono diversi modi per configurare il filtro basato su attributi. È consigliabile eseguire la configurazione in ingresso da AD poiché queste impostazioni verranno mantenute anche dopo aver eseguito l'aggiornamento a una versione più recente. È supportata anche la configurazione in uscita verso AAD, ma queste impostazioni non verranno conservate dopo aver eseguito l'aggiornamento a una versione più recente e dovranno essere usate solo quando è necessario esaminare l'oggetto combinato nel metaverse per determinare i filtri.
Filtri in ingresso
I filtri in ingresso sfruttano la configurazione predefinita degli oggetti diretti ad AAD secondo la quale è necessario che l'attributo metaverse cloudFiltered non sia impostato su un valore e l'attributo metaverse sourceObjectType sia impostato su "User" o "Contact".
L'attributo cloudFiltered deve essere impostato su True quando l'oggetto non deve essere sincronizzato con Azure AD, e mantenuto vuoto in altri casi. Questo metodo consente di esaminare un oggetto per poi decidere di non sincronizzarlo (filtro negativo).
In questo esempio verranno filtrati tutti gli utenti in cui extensionAttribute15 ha il valore NoSync.
Accedere al computer che esegue AADSync usando un account membro del gruppo di sicurezza ADSyncAdmins.
Aprire l'Editor regole di sincronizzazione individuandolo nel menu Start.
Assicurarsi che In ingresso sia selezionato e fare clic su Aggiungi nuova regola.
Immettere un nome descrittivo per la regola, ad esempio In ingresso da AD – Utente DoNotSyncFilter, selezionare la foresta corretta, quindi selezionare il tipo di oggetto CS per User e il tipo di oggetto MV per Person. In Tipo di collegamento selezionare Join e in precedenza digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 50. Scegliere Avanti.
In Definizione ambito filtro fare clic su Aggiungi gruppo, fare clic su Aggiungi clausola e in Attributo selezionare ExtensionAttribute15. Assicurarsi che l'operatore sia impostato su EQUAL e digitare il valore NoSync nella casella Valore. Fare clic su Avanti.
Lasciare vuoto il campo Regole di unione e fare clic su Avanti.
Fare clic Aggiungi trasformazione, selezionare FlowType per Costante, selezionare l'Attributo destinazione cloudFiltered e, nella casella di testo Origine, digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
Eseguire una sincronizzazione completa: nella scheda Connettori fare clic con il pulsante destro del mouse su SourceAD, scegliere Esegui, fare clic su Sincronizzazione completa e quindi fare clic su OK.
L'attributo sourceObjectType effettuerà il provisioning di un utente o un contatto su AAD se questo attributo ha rispettivamente il valore User o Contact. Creando una regola di sincronizzazione con una precedenza maggiore rispetto a quella predefinita, è possibile ignorare il comportamento predefinito. Questo metodo offre anche l'opportunità di esprimere regole positive e negative.
In questo esempio verranno sincronizzati solo gli utenti il cui attributo department è "Sales" o vuoto.
Eseguire l'accesso al computer che esegue AADSYNC usando un account membro del gruppo di sicurezza ADSyncAdmins.
Aprire l'Editor regole di sincronizzazione nel menu Start.
Assicurarsi che In ingresso sia selezionato e fare clic su Aggiungi nuova regola.
Assegnare alla regola un nome descrittivo, ad esempio In ingresso da Azure AD – User DoNotSyncFilter, selezionare la foresta corretta, User come tipo di oggetto CS e Person come tipo di oggetto MV. In Tipo di collegamento selezionare Join e in precedenza digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 60. Fare clic su Avanti.
Lasciare vuoti i campi Definizione ambito filtro e Regole di unione e fare clic su Avanti due volte.
Fare clic Aggiungi trasformazione, selezionare FlowType per Espressione e selezionare l'attributo destinazione sourceObjectType. Nella casella di testo Origine, digitare l'espressione seguente:
IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
Fare clic su Aggiungi per salvare la regola.
Eseguire una sincronizzazione completa: nella scheda Connettori fare clic con il pulsante destro del mouse su SourceAD, scegliere Esegui, fare clic su Sincronizzazione completa e quindi fare clic su OK. Di seguito è illustrato il possibile risultato:
Avviso
Notare che si sta usando una combinazione di attributi cloudFiltered e sourceObjectType per determinare quali oggetti sincronizzare su AAD.
Con l'uso delle espressioni è possibile usufruire di opzioni di filtraggio molto potenti. Nelle espressioni sopra riportate, notare che è stato fornito il valore letterale NULL quando il reparto non è presente e quando il reparto era Sales. Ciò indica che questo attributo non ha contribuito con un valore e che le regole predefinite verranno valutate. Questa procedura è richiesta per determinare se sia necessario creare un utente o un contatto in AAD.
Filtro in uscita
In alcuni casi, è necessario eseguire il filtraggio solo dopo aver unito gli oggetto al metaverse. Ad esempio, potrebbe essere opportuno cercare l'attributo mail nella foresta di risorse e l'attributo userPrincipalName nella foresta di account per determinare se è necessario sincronizzare un oggetto. In questi casi, verranno creati i filtri nella regola in uscita.
Nota
Questo metodo richiede la modifica delle regole di sincronizzazione predefinite. La modifica dell'ambito di una regola di sincronizzazione è supportata, ma potrebbe non essere mantenuta dopo aver eseguito l'aggiornamento a una versione più recente di AADSync. Se si usa il filtro in uscita, annotare le modifiche da apportare e, dopo un aggiornamento, assicurarsi che il filtro sia ancora presente, riapplicandolo se necessario.
In questo esempio verranno modificati i filtri in modo da sincronizzare solo gli utenti i cui attributi mail e userPrincipalName terminano entrambi con @contoso.com.
Eseguire l'accesso al computer che esegue AADSYNC usando un account membro del gruppo di sicurezza ADSyncAdmins.
Aprire l'Editor regole di sincronizzazione nel menu Start.
Under Tipi di regola fare clic su In uscita.
Trovare la regola denominata In uscita ad Azure AD – Aggiunta utente. Fare clic su Modifica.
Fare clic su Definizione ambito filtro a sinistra. Fare clic su Aggiungi clausola e in Attributo selezionare mail, in Operatore selezionare ENDSWITH e in Valore digitare @contoso.com. Fare clic su Aggiungi clausola e in Attributo selezionare userPrincipalName, in Operatore selezionare ENDSWITH e in Valore digitare @contoso.com.
Fare clic su Salva.
Eseguire una sincronizzazione completa: nella scheda Connettori fare clic con il pulsante destro del mouse su SourceAD, scegliere Esegui, fare clic su Sincronizzazione completa e quindi fare clic su OK.