Настройка фильтрации
Обновлено: 22 июля 2015 г.
Важно!
Этот раздел будет архивирован в ближайшее время.
Существует новый продукт с именем "Azure Active Directory Подключение", который заменяет AADSync и DirSync.
Azure AD Connect применяет компоненты и функции, ранее выпущенные как Dirsync и служба синхронизации AAD.
В будущем поддержка Dirsync и AAD Sync завершится.
Эти средства больше не обновляются по отдельности с улучшениями функций, и все будущие улучшения будут включены в обновления для Azure AD Подключение.
Фильтрацию в AADSync можно включить в любое время. Если конфигурации синхронизации каталога по умолчанию уже запущены, а затем настраивается фильтрация, фильтруемые объекты утрачивают синхронизацию с Azure AD. В результате любые объекты в Azure AD, которые ранее синхронизировались, но затем были отфильтрованы, удаляются в Azure AD. При случайном удалении объектов в результате ошибки фильтрации можно повторно создать их в Azure AD, удалив настройки фильтрации и снова выполнив синхронизацию каталогов.
Важно!
Корпорация Майкрософт не поддерживает изменение или операцию AADSync за пределами этих действий, официально задокументированных. Любое из этих действий может привести к несогласованности или неподдерживаемому состоянию AASync, и в результате корпорация Майкрософт не может предоставлять техническую поддержку для таких развертываний.
За исключением исходящей фильтрации на основе атрибутов, конфигурации будут сохраняться при установке или обновлении до новой версии AADSync. Перед выполнением первого цикла синхронизации мы настоятельно рекомендуем убедиться, что ваша конфигурация не была случайно изменена после обновления до новой версии.
Параметры фильтрации
Предупреждение
В этой статье имя Source AD используется для обозначения соединителя доменных служб Active Directory. Если имеется несколько лесов, в каждом лесу будет по одному соединителю, и конфигурация должна повторяться для каждого леса.
К средству синхронизации каталога могут применяться следующие три типа настройки фильтрации:
На основе домена: этот тип фильтрации можно использовать для управления свойствами соединителя SourceAD в AADSync. Данный тип позволяет выбирать домены, для которых разрешена синхронизация с Azure AD.
Настройка фильтрации на основе подразделения. Этот тип фильтрации можно использовать для управления свойствами соединителя SourceAD в AADSync. Данный тип фильтрации позволяет выбирать подразделения, для которых разрешена синхронизация с Azure AD.
На основе атрибутов : этот метод фильтрации можно использовать для указания фильтров на основе атрибутов. Это дает возможность управлять объектами, которые должны синхронизироваться с облаком.
Настройка фильтрации на основе доменов
В этом разделе представлены шаги, которые необходимо выполнить, чтобы настроить фильтр домена.
Примечание
Если вы изменили фильтр домена, также потребуется обновить профили запуска.
Чтобы задать фильтр домена, выполните следующие действия.
Войдите на компьютер, на котором выполняется AADSync, с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins.
На начальном экране выберите элемент Служба синхронизации, чтобы открыть диспетчер службы синхронизации.
Чтобы открыть представление соединителей, щелкните кнопку Соединители в меню Средства.
В списке Соединители выберите соединитель, который содержит значение Служба домена Active Directory в качестве параметра Тип.
Чтобы открыть диалоговое окно Свойства нажмите кнопку Свойства в меню Действия.
Нажмите кнопку Настройка разделов каталога.
В списке Выберите разделы каталога убедитесь, что выбраны только те разделы, которые нужно синхронизировать.
Предупреждение
Чтобы удалить домен из процесса синхронизации, снимите флажок домена.
Чтобы закрыть диалоговое окно Свойства, нажмите кнопку ОК.
Если вы обновили фильтр домена, также потребуется обновить следующие профили запуска.
полный импорт;
полная синхронизация;
импорт изменений;
синхронизация изменений;
Экспорт
Если вы удалили раздел из списка разделов каталога, необходимо убедиться, что все шаги профиля запуска, которые ссылаются на этот раздел, также удалены.
Чтобы удалить шаг из профиля запуска, выполните следующие действия.
В списке Соединители выберите соединитель, который содержит значение Служба домена Active Directory в качестве параметра Тип.
Чтобы открыть диалоговое окно Настройка профилей запуска для нажмите кнопку Настроить профили запуска в меню Действия.
В списке Профили запуска соединителя выберите профиль запуска, который требуется настроить.
Для каждого шага в списке сведений о шагах выполните следующие действия.
Если нужно, щелкните шаг, чтобы развернуть сведения о нем.
Если Значение атрибута Раздел — GUID, щелкните кнопку Удалить шаг.
Чтобы закрыть диалоговое окно Настройка профилей запуска для, нажмите кнопку ОК.
Если вы добавили раздел в список разделов каталога, необходимо убедиться, что шаг профиля запуска для этого каталога доступен в каждом из профилей запуска в списке выше.
Чтобы добавить шаг в профиль запуска, выполните следующие действия.
В списке Соединители выберите соединитель, который содержит значение Служба домена Active Directory в качестве параметра Тип.
Чтобы открыть диалоговое окно Настройка профилей запуска для нажмите кнопку Настроить профили запуска в меню Действия.
В списке Профили запуска соединителя выберите профиль запуска, который требуется настроить.
Чтобы открыть диалоговое окно Настройка профиля запуска, щелкните кнопку "Создать шаг".
На странице Настройка шага в списке типов шагов выберите тип шага и щелкните кнопку Далее.
На странице Конфигурация соединителя в списке Раздел выберите имя раздела, добавленного в фильтр домена.
Чтобы закрыть диалоговое окно Настройка профиля запуска, нажмите кнопку Готово.
Чтобы закрыть диалоговое окно Настройка профилей запуска для, нажмите кнопку ОК.
Настройка фильтрации на основе подразделений
Настройка фильтрации на основе подразделений
Войдите на компьютер, на котором работает AADSync, с учетной записью, являющейся членом группы безопасности ADSyncAdmins.
На начальном экране выберите элемент Служба синхронизации, чтобы открыть диспетчер службы синхронизации.
В диспетчере службы синхронизации выберите пункт Соединители, а затем дважды щелкните SourceAD.
Нажмите Настроить разделы каталога, выберите домен, который требуется настроить, а затем нажмите Контейнеры.
При появлении запроса введите учетные данные домена для локального леса Active Directory.
Примечание
В появившемся диалоговом окне учетных данных будет отображаться учетная запись для импорта и экспорта в AD DS. Если пароль этой учетной записи не известен, можно указать другую учетную запись для использования. Эта учетная запись должна иметь разрешения на операции чтения в настраиваемом домене.
В диалоговом окне Select Containers (Выбрать контейнеры) удалите OU, которые вам не нужно синхронизировать с облачным каталогом, а затем нажмите кнопку OK.
Нажмите кнопку ОК на странице Свойства SourceAD.
Запустите полный импорт и разностную синхронизацию, выполнив следующие действия.
В списке соединителей выберите SourceAD
Чтобы открыть диалоговое окно запуска соединителя, выберите команду Выполнить в меню Действия.
В списке профилей выполнения выберите пункт Полный импорт, а затем подождите, пока завершится выполнение профиля.
Чтобы открыть диалоговое окно запуска соединителя, выберите команду Выполнить в меню Действия.
В списке профилей выполнения выберите пункт Разностная синхронизация, а затем подождите, пока завершится выполнение профиля.
Настройка фильтрации на основе атрибутов
Существует насколько способов настройки фильтрации на основе атрибутов. Рекомендуется конфигурация на основе входящих от AD, поскольку эти параметры конфигурации будут сохраняться после обновления до новой версии. Конфигурация на основе исходящих в AAD поддерживается, но эти параметры не будут сохраняться после обновления до новой версии и должны использоваться, только когда требуется проверить комбинированный объект в метавселенной для определения фильтрации.
Фильтрация входящих объектов
Фильтрация на базе входящих использует конфигурацию по умолчанию, где в объектах, передающихся в AAD, атрибут метавселенной cloudFiltered не должен иметь значение, а атрибут метавселенной sourceObjectType должен иметь значение “Пользователь” или “Контакт”.
Атрибут cloudFiltered должен быть установлен в значение True, если объект не должен синхронизироваться с Azure AD, и оставаться пустым во всех остальных случаях. Этот способ используется, когда можно посмотреть на объект и сказать, что его не требуется синхронизировать (отрицательная фильтрация).
В этом примере будут отфильтровываться пользователи, атрибут extensionAttribute15 которых имеет значение NoSync.
Войдите на компьютер, на котором выполняется AADSync, с помощью учетной записи, являющейся членом группы безопасности ADSyncAdmins.
Откройте редактор правил синхронизации , найдя его в меню "Пуск".
Убедитесь, что выбран параметр Входящие, и нажмите Добавить новое правило.
Задайте правилу описательное имя, например, "In from AD — User DoNotSyncFilter", выберите правильный лес, пользователя в качестве типа объекта CS и человека в качестве типа объекта MV. В поле "Тип ссылки" выберите "Соединение" и в качестве приоритета введите значение, которое в настоящее время не используется другим правилом синхронизации, например 50. Нажмите кнопку "Далее".
В фильтре области выберите Добавить группу, затем Добавить предложение, и выберите в атрибуте ExtensionAttribute15. Убедитесь, что установлен оператор EQUAL, и в поле "Значение" введите NoSync. Щелкните Далее.
Оставьте поле "Правила присоединения" пустым и нажмите кнопку Далее.
Нажмите Добавить преобразование, выберите для типа потока значение Constant (постоянный),выберите целевой атрибут cloudFiltered и в текстовом поле "Источник" введите True. Щелкните Добавить , чтобы сохранить правило.
Выполните полную синхронизацию: на вкладке "Соединители" щелкните правой кнопкой мыши SourceAD, выберите команду "Выполнить", " Полная синхронизация" и нажмите кнопку "ОК".
Атрибут sourceObjectType будет подготавливать пользователя или контакт в AAD, если этот атрибут имеет значение User или Contact соответственно. Создав правило синхронизации с более высоким приоритетом, чем у стандартных правил, можно переопределить поведение по умолчанию. Этот способ также дает возможность выражать положительные и отрицательные правила.
В этом примере будут синхронизированы только пользователи с атрибутом подразделения “Продажи” или пустым.
Войдите на компьютер, на котором работает AADSync, с учетной записью, являющейся членом группы безопасности ADSyncAdmins.
Откройте редактор правил синхронизации, который можно найти в меню "Пуск".
Убедитесь, что выбран параметр Входящие, и нажмите Добавить новое правило.
Присвойте правилу описательное имя, например In из AD — User DoNotSyncFilter, выберите правильный лес, user as the CS object type, and Person as the MV object type. В поле "Тип ссылки " выберите "Соединение " и в порядке приоритета введите значение, которое в настоящее время не используется другим правилом синхронизации, например 60. Щелкните Далее.
Оставьте поля фильтра области и правил присоединения пустыми и дважды нажмите кнопку Далее.
Нажмите Добавить преобразование, установите для FlowType значение Expression, а для целевого атрибута значение sourceObjectType. В поле "Источник" введите следующее выражение:
IIF(IsNullOrEmpty([department]),NULL,IIF([department]<>”Sales”,”DoNotSync”,NULL))
Нажмите кнопку Добавить, чтобы сохранить правило.
Выполните полную синхронизацию: на вкладке "Соединители" щелкните правой кнопкой мыши SourceAD, выберите команду "Выполнить", "Полная синхронизация" и нажмите кнопку "ОК". Вот как должен выглядеть результат:
Предупреждение
Обратите внимание, что для определения, какие объекты следует синхронизировать в AAD, используется сочетание атрибутов cloudFiltered и sourceObjectType.
Благодаря использованию выражений мы получаем очень мощные возможности фильтрации. Обратите внимание, что в приведенном выше выражении предоставляется литерал NULL, если отдел не указан или если это отдел продаж (Sales). Это означает, что данный атрибут не передает значение, и будут оцениваться стандартные правила. Это нам нужно, поскольку эти правила могут определить, что следует создавать в AAD, пользователя или контакт.
Фильтрация на основе исходящих
В некоторых случаях требуется выполнять фильтрацию только после присоединения объектов в метавселенной. Например, может требоваться проверить атрибут mail из леса ресурсов и атрибут userPrincipalName из леса учетных записей, чтобы определить, должен ли объект синхронизироваться. В таких случаях будет создаваться фильтрация на основе правила для исходящих.
Примечание
В этом способе необходимо вносить изменение в стандартные правила синхронизации. Изменение области правила синхронизации поддерживается, но это изменение может не сохраняться после обновления до новой версии AADSync. При использовании фильтрации на основе исходящих запишите внесенные изменения, а после обновления проверьте, сохранилась ли фильтрация, и при необходимости примените ее снова.
В этом примере фильтрация будет изменяться таким образом, чтобы синхронизировались только пользователи, оба атрибута mail и userPrincipalName которых заканчиваются на @contoso.com.
Войдите на компьютер, на котором работает AADSync, с учетной записью, являющейся членом группы безопасности ADSyncAdmins.
Откройте редактор правил синхронизации, который можно найти в меню "Пуск".
В разделе Типы правил выберите Исходящие.
Найдите правило с именем Out to AAD – User Join. Нажмите кнопку Изменить.
Щелкните Фильтр области в панели навигации слева. Нажмите Добавить предложение, а затем в качестве атрибута выберите mail, в качестве оператора — ENDSWITH, и в качестве значения — @contoso.com. Нажмите Добавить предложение, а затем в качестве атрибута выберите userPrincipalName, в качестве оператора — ENDSWITH, и в качестве значения — @contoso.com.
Выберите команду Сохранить.
Выполните полную синхронизацию: на вкладке "Соединители" щелкните правой кнопкой мыши SourceAD, выберите команду "Выполнить", " Полная синхронизация" и нажмите кнопку "ОК".