共用方式為

Microsoft Entra Connect 同步:設定篩選

  • 發行項

藉由使用篩選,您可以控制從內部部署目錄Microsoft Entra ID 中顯示的物件。 默認組態會採用所設定樹系中所有網域中的大部分物件。 一般而言,這是建議的設定。 使用 Microsoft 365 個工作負載的使用者,例如 Exchange Online 和 商務用 Skype,受益於完整的全域通訊清單,讓他們可以傳送電子郵件並撥打所有人。 使用預設組態時,其體驗會與 Exchange 或 Lync 的內部部署實作相同。

注意

Microsoft Entra Cloud Sync 和 Microsoft Entra Connect Sync 會篩選掉 isCriticalSystemObject 屬性設定為 True 的任何 Active Directory 物件。 這會篩選掉內建 AD 高許可權物件,例如 Administrator、DomainAdmins、EnterpriseAdmins。  此篩選表示最後兩個群組 預設不會 同步至 Entra 識別碼。

不過,新增至這些高許可權群組的其他物件(DomainAdmins、EnterpriseAdmins)不會從同步處理到雲端進行篩選。 例如,如果您將本機 AD 使用者新增至 EnterpriseAdmins 群組,該使用者仍會同步至Microsoft Entra ID。

不過,在某些情況下,您必須對預設組態進行一些變更。 以下列出一些範例:

  • 您執行 Azure 或 Microsoft 365 的試驗,而您只需要Microsoft Entra ID 中的使用者子集。 在小型試驗中,擁有完整的全域通訊清單來示範此功能並不重要。
  • 您有許多服務帳戶和其他不想要在 entra 識別符Microsoft的非個人帳戶。
  • 基於合規性考慮,您不會刪除內部部署的任何用戶帳戶。 您只停用它們。 但在 Microsoft Entra 識別符中,您只想要有作用中的帳戶存在。

本文說明如何設定不同的篩選方法。

重要

Microsoft不支援在正式記載的動作之外修改或操作Microsoft Entra Connect Sync。 上述任何動作都可能導致Microsoft Entra Connect 同步處理的狀態不一致或不受支援。因此,Microsoft無法提供這類部署的技術支援。

基本概念和重要注意事項

在 Microsoft Entra Connect Sync 中,您可以隨時啟用篩選。 如果您從目錄同步處理的預設組態開始,然後設定篩選,篩選出的物件就不會再同步處理至Microsoft Entra ID。 由於這項變更,Microsoft Entra ID 中先前已同步處理但隨後篩選的物件會在 entra ID Microsoft中刪除。

開始對篩選進行變更之前,請確定您 停用內建排程器 ,以免意外匯出尚未驗證為正確的變更。

因為篩選可以同時移除許多物件,因此您想要先確定新的篩選正確無誤,再開始將任何變更導出至 Microsoft Entra ID。 完成設定步驟之後,強烈建議您先遵循 驗證步驟 ,再匯出並變更Microsoft Entra ID。

為了防止意外刪除許多對象,預設會開啟「防止意外刪除」功能。 如果您因為篩選而刪除許多物件(預設為 500),您必須遵循本文中的步驟,以允許刪除專案標識碼Microsoft。

如果您在 2015 年 11 月之前使用組建(1.0.9125),請變更篩選組態,並使用密碼哈希同步處理,則您必須在完成設定之後觸發所有密碼的完整同步處理。 如需如何觸發密碼完整同步的步驟,請參閱 觸發所有密碼的完整同步處理。 如果您使用的是組建 1.0.9125 或更新版本,則一般 完整同步 處理動作也會計算是否應該同步處理密碼,如果不再需要這個額外的步驟,

如果 因為篩選錯誤而意外刪除了Microsoft Entra ID 中的用戶 物件,您可以藉由移除篩選組態,在 Microsoft Entra ID 中重新建立用戶物件。 然後,您可以再次同步處理目錄。 此動作會從Microsoft Entra標識碼中的回收站還原使用者。 不過,您無法取消刪除其他物件類型。 例如,如果您不小心刪除了安全組,而且它用於 ACL 資源,則無法復原群組及其 ACL。

Microsoft Entra Connect 只會刪除它曾經被視為在範圍內的物件。 如果Microsoft由另一個同步引擎所建立的 Entra 標識碼中有物件,而且這些物件不在範圍內,則新增篩選並不會移除它們。 例如,如果您從 DirSync 伺服器開始,該伺服器會在 Microsoft Entra ID 中建立整個目錄的完整複本,而且您會在一開始啟用篩選的情況下,平行安裝新的 Microsoft Entra Connect 同步處理伺服器,Microsoft Entra Connect 不會移除 DirSync 所建立的額外物件。

當您安裝或升級至較新版本的 Microsoft Entra Connect 時,會保留篩選組態。 在升級至較新版本之後,在執行第一個同步處理週期之前,確認組態並未不小心變更為最佳做法。

如果您有多個樹系,則必須將本主題中所述的篩選組態套用至每個樹系(假設您想要所有樹系的相同組態)。

停用同步處理排程器

若要停用每 30 分鐘觸發同步處理週期的內建排程器,請遵循下列步驟:

  1. 開啟 Windows Powershell、匯入 ADSync 模組,並使用下列命令停用排程器
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. 進行本文所記載的變更。 然後使用下列命令重新啟用排程器
Set-ADSyncScheduler -SyncCycleEnabled $True

篩選選項

您可以將下列篩選群組態類型套用至目錄同步處理工具:

  • 群組型:使用安裝精靈只能在初始安裝上設定以單一群組為基礎的篩選。
  • 網域型:使用此選項,您可以選取要同步處理的網域,以Microsoft Entra ID。 當您在安裝 Microsoft Entra Connect Sync 之後,您也可以在對內部部署基礎結構進行變更時,從同步處理引擎組態新增和移除網域。
  • 組織單位(OU)型:使用此選項,您可以選取要同步處理的 OU Microsoft Entra 識別符。 這個選項適用於所選取 OU 中的所有物件類型。
  • 屬性型:使用此選項,您可以根據物件的屬性值來篩選物件。 您也可以針對不同的物件類型有不同的篩選。

您可以同時使用多個篩選選項。 例如,您可以使用 OU 型篩選,只包含一個 OU 中的物件。 同時,您可以使用屬性型篩選進一步篩選物件。 當您使用多個篩選方法時,篩選條件會在篩選之間使用邏輯 「AND」。

網域型篩選

本節提供您設定網域篩選的步驟。 如果您在安裝 Microsoft Entra Connect 之後新增或移除樹系中的網域,您也必須更新篩選組態。

若要變更網域型篩選,請執行安裝精靈: 網域和 OU 篩選。 安裝精靈會將本主題中記載的所有工作自動化。

以組織單位為基礎的篩選

若要變更 OU 型篩選,請執行安裝精靈: 網域和 OU 篩選。 安裝精靈會將本主題中記載的所有工作自動化。

重要

如果您明確選取要同步處理的 OU,Microsoft Entra Connect 會在網域同步範圍的包含清單中新增該 OU 的 DistinguishedName。 不過,如果您稍後在Active Directory 中重新命名該 OU,則會變更 OU 的 DistinguishedName,因此,Microsoft Entra Connect 將不再考慮同步範圍中的 OU。 這不會造成立即問題,但在完整匯入步驟之後,Microsoft Entra Connect 會重新評估同步範圍並刪除(也就是過時)任何同步範圍外的物件,這可能會導致意外大量刪除Microsoft Entra ID 中的物件。 若要避免此問題,請在重新命名 OU 之後,執行 Microsoft Entra Connect 精靈,然後重新選取要重新包含在同步範圍中的 OU。

屬性型篩選

請確定您使用 2015 年 11 月 (1.0.9125) 或更新版本的組建,這些步驟才能運作。

重要

Microsoft建議不要修改 Microsoft Entra Connect建立的默認規則。 如果您想要修改規則,請複製規則,然後停用原始規則。 對複製的規則進行任何變更。 請注意,透過這樣做(停用原始規則),您將錯過透過該規則啟用的任何錯誤修正或功能。

屬性型篩選是篩選物件最具彈性的方式。 您可以使用宣告式佈建的強大功能,控制物件同步處理至Microsoft Entra ID 時幾乎所有層面。

您可以將 Active Directory 的輸入篩選套用至 Metaverse,以及從 metaverse 輸出篩選至 Microsoft Entra ID。 建議您套用輸入篩選,因為這是最容易維護的。 只有在評估進行之前,需要聯結多個樹系中的物件時,才應該使用輸出篩選。

輸入篩選

輸入篩選會使用預設組態,其中要Microsoft Entra ID 的對象必須具有metaverse屬性 cloudFiltered 未設定為要同步處理的值。 如果此屬性的值設定為 True,則不會同步處理物件。 根據設計,它不應該設定為 False。 為了確保其他規則能夠貢獻值,此屬性只應該具有 TrueNULL(缺席)。

請注意,Microsoft Entra Connect 是用於清除在 Microsoft Entra ID 中負責佈建的物件。 如果系統先前未在 Microsoft Entra ID 中佈建物件,但在匯入步驟期間取得 Microsoft Entra 物件,則會正確假設此物件是在其他系統的 Microsoft Entra ID 中建立。 Microsoft Entra Connect 不會清除這些類型的 Microsoft Entra 物件,即使 Metaverse 屬性 cloudFiltered 設定為 True 也一定。

在輸入篩選中,您可以使用範圍的強大功能來判斷要同步處理或未同步處理的物件。 這是您調整以符合您組織需求的地方。 範圍模組具有 群組子句 ,可判斷同步處理規則何時在範圍內。 群組包含一或多個子句。 多個子句之間有邏輯 「AND」,以及多個群組之間的邏輯 「OR」。。

讓我們看看範例:
顯示新增範圍篩選條件範例的螢幕快照。
這應該讀為 (部門 = IT) OR (部門 = Sales AND c = US)

在下列範例和步驟中,您會使用user對象作為範例,但您可以針對所有物件類型使用此物件。

在下列範例中,優先順序值會以 50 開頭。 這可以是任何未使用的數位,但應低於 100。

負面篩選:「不要同步處理這些」

在下列範例中,您會篩選掉 extensionAttribute15 具有 NoSync 值的所有使用者(未同步處理)。

  1. 使用ADSyncAdmins安全組成員的帳戶,登入執行Microsoft Entra Connect Sync 的伺服器
  2. 從 [開始] 選單啟動同步處理規則編輯器
  3. 確定 已選取 [輸入 ],然後按兩下 [ 新增規則]。
  4. 為規則指定描述性名稱,例如“In from AD – User DoNotSyncFilter”。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型,然後選取 [ 人員 ] 作為 MV物件類型。 在 [ 鏈接類型] 中,選取 [ 聯結]。 在 [優先順序] 中,輸入另一個同步處理規則目前未使用的值(例如 50),然後按 [下一步]。
    輸入 1 描述
  5. 在 [範圍篩選] 中,按兩下 [新增群組],然後按兩下[新增子句]。 在 [ 屬性] 中,選取 [ExtensionAttribute15]。 請確定 [運算符] 設定為 EQUAL,然後在 [值] 方塊中輸入 NoSync。 按一下 [下一步] 。
    輸入2範圍
  6. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步]。
  7. 單擊 [新增轉換],選取 [FlowType ] 作為 [常數],然後選取 [cloudFiltered ] 作為 [目標屬性]。 在 [ 來源 ] 文本框中,輸入 True。 按兩下 [ 新增 ] 以儲存規則。
    輸入 3 轉換
  8. 若要完成設定,您必須執行 完整同步處理。繼續閱讀 [套用] 區段 並確認變更

正向篩選:「只同步處理這些」

表示正面篩選可能會更具挑戰性,因為您也必須考慮不明顯同步處理的物件,例如會議室。 您也將覆寫現用規則 的 [從 AD - 使用者加入] 中的預設篩選。 當您建立自定義篩選時,請務必不包含重要系統對象、復寫衝突物件、特殊信箱,以及 entra Connect Microsoft服務帳戶。

正篩選選項需要兩個同步處理規則:一個同步處理規則(或更多)具有要同步處理之物件的正確範圍,以及篩選掉任何不應同步處理的剩餘物件的 catch-all 同步處理規則。

在下列範例中,您只會同步處理部門屬性具有 Sales的用戶物件。

  1. 使用ADSyncAdmins安全組成員的帳戶,登入執行Microsoft Entra Connect Sync 的伺服器
  2. 從 [開始] 選單啟動同步處理規則編輯器
  3. 確定 已選取 [輸入 ],然後按兩下 [ 新增規則]。
  4. 為規則提供描述性名稱,例如「從 AD – 使用者銷售同步處理」。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型,然後選取 [ 人員 ] 作為 MV物件類型。 在 [ 鏈接類型] 中,選取 [ 聯結]。 在 [優先順序] 中,輸入其他同步處理規則目前未使用的值(例如 51),然後按 [下一步]。
    輸入 4 描述
  5. 在 [範圍篩選] 中,按兩下 [新增群組],然後按兩下[新增子句]。 在 [ 屬性] 中,選取 [部門]。 請確定 [運算符] 設定為 EQUAL,然後在 [值] 方塊中輸入 Sales。 按一下 [下一步] 。
    輸入5範圍
  6. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步]。
  7. 單擊 [新增轉換],選取 [常數 ] 作為 FlowType,然後選取 cloudFiltered 作為 目標屬性。 在 [ 來源] 方塊中,輸入 False。 按兩下 [ 新增 ] 以儲存規則。
    輸入 6 轉換
    這是您明確將 cloudFiltered 設定為 False 的特殊案例。
  8. 我們現在必須建立全攔截同步處理規則。 為規則提供描述性名稱,例如「從 AD – 用戶攔截全部篩選」。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型,然後選取 [ 人員 ] 作為 MV物件類型。 在 [ 鏈接類型] 中,選取 [ 聯結]。 在 [優先順序] 中,輸入另一個同步處理規則目前未使用的值(例如 99)。 您已選取優先順序值,其優先順序高於先前的同步處理規則。 但您也離開了一些空間,以便稍後當您想要開始同步處理其他部門時,您可以新增更多篩選同步處理規則。 按一下 [下一步] 。
    輸入 7 描述
  9. 將範圍篩選保留空白,然後按 [下一步]。 空白篩選條件表示規則要套用至所有物件。
  10. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步]。
  11. 單擊 [新增轉換],選取 [常數 ] 作為 FlowType,然後選取 [cloudFiltered ] 作為 [目標屬性]。 在 [ 來源] 方塊中,輸入 True。 按兩下 [ 新增 ] 以儲存規則。
    輸入 3 轉換
  12. 若要完成設定,您必須執行 完整同步處理。繼續閱讀 [套用] 區段 並確認變更

如果您需要,您可以在同步處理中包含更多物件的第一個類型建立更多規則。

輸出篩選

在某些情況下,只有在 Metaverse 中聯結對象之後,才需要執行篩選。 例如,可能需要查看來自資源樹系的郵件屬性,以及帳戶樹系中的userPrincipalName屬性,以判斷是否應該同步處理物件。 在這些情況下,您會在輸出規則上建立篩選。

在此範例中,您會變更篩選,以便只會同步處理其郵件和 userPrincipalName 結尾 @contoso.com 的使用者:

  1. 使用ADSyncAdmins安全組成員的帳戶,登入執行Microsoft Entra Connect Sync 的伺服器
  2. 從 [開始] 選單啟動同步處理規則編輯器
  3. 在 [規則類型] 底下,按兩下 [輸出]。
  4. 根據您使用的 Connect 版本,尋找名為 Out 以Microsoft Entra ID – User JoinOut to Microsoft Entra ID - User Join SOAInAD 的規則,然後按兩下 [ 編輯]。
  5. 在彈出視窗中,回答 [是 ] 以建立規則的複本。
  6. 在 [描述] 頁面上,將 [優先順序] 變更為未使用的值,例如 50。
  7. 按兩下 左側導覽上的 [範圍篩選 ],然後按下 [ 新增子句]。 在 [ 屬性] 中,選取 [郵件]。 在 [運算符] 中,選取 [ ENDSWITH]。 在 [值] 中,輸入 @contoso.com,然後按兩下[新增子句]。 在 [ 屬性] 中,選取 userPrincipalName。 在 [運算符] 中,選取 [ ENDSWITH]。 在 [值] 中,輸入 @contoso.com
  8. 按一下 [檔案] 。
  9. 若要完成設定,您必須執行 完整同步處理。繼續閱讀 [套用] 區段 並確認變更

套用和驗證變更

進行設定變更之後,您必須將它們套用至系統中已存在的物件。 也可能是應該處理目前不在同步處理引擎中的物件(而且同步處理引擎必須再次讀取來源系統,以確認其內容)。

如果您使用網域或組織單位篩選來變更設定,則需要執行完整匯入,後面接著 Delta 同步處理

如果您使用屬性篩選來變更組態,則必須執行完整同步處理

執行下列步驟:

  1. 從 [開始] 選單啟動同步處理服務
  2. 選取連接器。 在 [ 連接器] 清單中,選取您稍早進行設定變更的連接器。 在 [動作],選取 [執行]。
    連接器執行
  3. 在 [ 執行配置檔] 中,選取上一節中提及的作業。 如果您需要執行兩個動作,請在第一個動作完成後執行第二個動作。 (The 狀態 數據行為 所選取連接器的 [閑置 ]。

同步處理之後,所有變更都會暫存為導出。 在實際Microsoft Entra標識符中進行變更之前,您想要確認所有這些變更都正確無誤。

  1. 啟動命令提示字元,然後移至 %ProgramFiles%\Microsoft Azure AD Sync\bin
  2. 執行 csexport "Name of Connector" %temp%\export.xml /f:x
    連接器的名稱位於同步處理服務中。 其名稱類似於Microsoft Entra 標識符的 “contoso.com – Microsoft Entra ID”。
  3. 執行 CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
  4. 您現在有名為 export.csv 的 %temp% 檔案,可在 Microsoft Excel 中檢查。 此檔案包含即將匯出的所有變更。
  5. 對數據或組態進行必要的變更,然後再次執行這些步驟(匯入、同步處理和驗證),直到即將導出的變更是您預期的變更為止。

當您滿意時,請將變更匯出至 Microsoft Entra ID。

  1. 選取連接器。 在 [ 連接器] 列表中,選取 [Microsoft Entra Connector]。 在 [動作],選取 [執行]。
  2. 在 [執行配置檔],選取 [導出]。
  3. 如果您的組態變更會刪除許多物件,則當數字超過設定的臨界值時,您會在匯出中看到錯誤(預設為 500)。 如果您看到此錯誤,則必須暫時停用「防止意外刪除」功能。

現在是時候再次啟用排程器了。

  1. 從 [開始] 選單啟動工作排程器
  2. 直接在 [工作排程器連結庫] 底下,尋找名為 Azure AD 同步 排程器的工作,然後按滑鼠右鍵,然後選取 [啟用]。

以群組為基礎的篩選

您可以使用自定義安裝,第一次安裝Microsoft Entra Connect 來設定群組型篩選。 它適用於試驗部署,而您想要只同步處理一組小型物件。 當您停用群組型篩選時,無法再次啟用。 不支援在自定義組態中使用群組型篩選。 僅支援使用安裝精靈來設定這項功能。 當您完成試驗時,請使用本主題中的其他其中一個篩選選項。 搭配群組型篩選使用 OU 型篩選時,必須包含群組及其成員所在的 OU(s)。

同步處理多個 AD 樹系時,您可以為每個 AD 連接器指定不同的群組,以設定群組型篩選。 如果您想要同步處理一個 AD 樹系中的使用者,且相同使用者在其他 AD 樹系中有一或多個對應的物件,您必須確定用戶物件及其所有對應的物件都在群組型篩選範圍內。 如需範例:

  • 您有一個樹系中的使用者,該樹系在另一個樹系中具有對應的 FSP (Foreign Security Principal) 物件。 這兩個對象都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至Microsoft Entra ID。

  • 您有一個樹系中的使用者,該樹系在另一個樹系中有對應的資源帳戶(例如連結信箱)。 此外,您已設定 Microsoft Entra Connect,以鏈接使用者與資源帳戶。 這兩個對象都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至Microsoft Entra ID。

  • 您有一個樹系中的使用者,該樹系在另一個樹系中有對應的郵件聯繫人。 此外,您已設定 Microsoft Entra Connect,以連結使用者與郵件聯繫人。 這兩個對象都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至Microsoft Entra ID。

下一步