Microsoft Entra Connect 同步:設定篩選
使用篩選功能可讓您控制內部部署目錄中的哪些物件應該出現在 Microsoft Entra ID 中。 預設組態會擷取所設定樹系中所有網域內的大部分物件。 一般會建議使用者使用這個組態。 完整的全域通訊清單對於使用 Exchange Online 和商務用 Skype 等 Microsoft 365 工作負載的使用者來說十分方便,因為如此一來,他們就可以傳送電子郵件和呼叫每個人。 使用預設設定時,所獲得的體驗與使用 Exchange 或 Lync 的內部部署實作相同。
注意
Microsoft Entra Cloud Sync 和 Microsoft Entra Connect Sync 會篩選掉任何 Active Directory 物件,其中 isCriticalSystemObject 屬性設定為 True。 這會篩選掉內建 AD 高權限物件,例如 Administrator、DomainAdmins、EnterpriseAdmins。 此篩選表示最後兩個群組預設不會同步至 Entra 識別碼。
不過,新增至這些高權限群組的其他物件 (DomainAdmins、EnterpriseAdmins) 不會從同步處理到雲端進行篩選。 例如,如果您將本機 AD 使用者新增至 EnterpriseAdmins 群組,該使用者仍會同步至 Microsoft Entra ID。
但是,您有時必須對預設組態進行一些變更。 以下列出一些範例:
- 您要執行 Azure 或 Microsoft 365 試驗,因此只想要使用 Microsoft Entra ID 中的部分使用者。 在進行小規模試驗時,並不需要用到完整的全域通訊清單來展示功能。
- Microsoft Entra ID 中有很多您不需要的服務帳戶和其他非個人帳戶。
- 為了符合法規,您不能刪除任何內部部署的使用者帳戶。 你只能停用它們。 但您只想要顯示 Microsoft Entra ID 內的使用中帳戶。
本文介紹如何設定不同的篩選方法。
重要
Microsoft 不支援在正式記載的動作以外修改和操作 Microsoft Entra Connect 同步。 任何這類動作都可能會導致 Microsoft Entra Connect 同步的不一致或不受支援狀態。如此一來,Microsoft 無法提供這類部署的技術支援人員。
基本概念和重要事項
在 Microsoft Entra Connect 同步處理中,您隨時都能啟用篩選功能。 如果您一開始是使用目錄同步作業的預設組態,接著設定了篩選,則篩選出的物件就不會再同步處理至 Microsoft Entra ID。 因為這項變更,系統會在 Microsoft Entra ID 中,刪除 Microsoft Entra ID 中先前已同步處理但接著篩選出的所有物件。
開始對篩選進行變更之前,請確定停用內建排程器,因此您不會不小心匯出尚未驗證為正確的變更。
因為篩選後會同時移除許多的物件,您必須先確定新的篩選器正確無誤,然後再開始將變更匯出至 Microsoft Entra ID。 在完成組態設定步驟後,建議您一定要先按照 驗證步驟 中的指示執行過一次,然後才對 Microsoft Entra ID 進行匯出和變更作業。
為了避免您意外刪除許多物件,預設會開啟「防止意外刪除」功能。 如果因為進行篩選而刪除了許多物件 (預設是 500 個),您需要遵循本文中的步驟,允許將刪除結果傳播至 Microsoft Entra ID。
如果您使用 2015 年 11 月 (1.0.9125) 之前的組建、變更篩選組態並使用密碼雜湊同步處理,則在完成組態設定之後,必須觸發所有密碼的完整同步處理。 如需如何觸發密碼的完整同步處理的步驟,請參閱 觸發所有密碼的完整同步處理。 如果您使用組建 1.0.9125 或更新版本,則一般的 完整同步處理 動作也會計算是否應同步處理密碼,以及是否不再需要進行這個額外步驟。
如果在 Microsoft Entra ID 中, 使用者 物件因為篩選錯誤而遭到意外刪除,您可以在 Microsoft Entra ID 中重新建立使用者物件,方法是移除您的篩選組態。 然後您可以再次同步處理您的目錄。 這個動作會還原 Microsoft Entra ID 資源回收筒中的使用者。 不過,您無法取消刪除其他物件類型。 例如,如果您意外刪除安全性群組,而該群組是用來對資源進行 ACL,則無法復原群組和其 ACL。
Microsoft Entra Connect 只會刪除其曾經認為是在範圍內的物件。 如果 Microsoft Entra ID 中有物件是由另一個同步處理引擎所建立且不在範圍內,則新增篩選並不會移除這些物件。 例如,如果您一開始是使用建立了整個 Microsoft Entra ID 目錄完整複本的 DirSync 伺服器,然後您在從一開始便啟用篩選的情況下平行安裝新的 Microsoft Entra Connect 同步處理伺服器,Microsoft Entra Connect 將不會移除 DirSync 所建立的額外物件。
當您安裝或升級至較新版本的 Microsoft Entra Connect 時,篩選組態將會保留。 在升級至較新版本之後且在首次執行同步處理循環之前,最好一律先確認設定並未遭到意外變更。
如果您有多個樹系,則您必須套用本主題中所說的篩選組態至每個樹系 (假設您想要讓所有樹系使用相同組態)。
停用同步處理排程器
若要停用每 30 分鐘觸發一次同步處理週期的內建排程器,請遵循下列步驟:
- 開啟 Windows Powershell、匯入 ADSync 模組,並使用下列命令停用排程器
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
- 依本文章中所述進行變更。 然後使用下列命令重新啟用排程器
Set-ADSyncScheduler -SyncCycleEnabled $True
篩選選項
您可以將以下篩選組態類型套用至目錄同步處理工具:
- 群組型:您只能在使用安裝精靈進行初始安裝時,設定以單一群組為基礎的篩選。
- 網域型:使用此選項可讓您選取要將哪些網域同步到 Microsoft Entra ID。 若您在安裝 Microsoft Entra Connect 同步之後對內部部署基礎結構進行變更,您也可以從同步引擎設定新增和移除網域。
- 組織單位 (OU) 型:使用此選項可讓您選取要將哪些 OU 同步到 Microsoft Entra ID。 此選項會套用在所選組織單位中的所有物件類型上。
- 屬性型:使用此選項可讓您根據物件上的屬性值來篩選物件。 您也可以讓不同物件類型透用不同篩選器。
您可以同時使用多個篩選選項。 例如,您可以使用組織單位型篩選僅將物件包含在一個 OU 中。 在此同時,您可以使用屬性型篩選來篩選物件。 當您使用多個篩選方法時,篩選器之間會使用邏輯 "AND"。
網域型篩選
本節提供您設定網域篩選的步驟。 如果您在安裝 Microsoft Entra Connect 之後新增或移除樹系中的網域,也必須更新篩選組態。
若要變更網域型篩選,請執行安裝精靈:網域和 OU 篩選。 安裝精靈將會自動執行本主題中記載的所有工作。
組織單位型篩選
若要變更 OU 型篩選,請執行安裝精靈:網域和 OU 篩選。 安裝精靈將會自動執行本主題中記載的所有工作。
重要
如果您明確選取要同步的 OU,Microsoft Entra Connect 會在網域同步範圍的包含清單中,新增該 OU 的 DistinguishedName。 但如果您稍後在 Active Directory 中重新命名該 OU,OU 的 DistinguishedName 會變更,所以 Microsoft Entra Connect 不再將該 OU 視為在同步範圍中。 這不會造成立即的問題,但在完整匯入步驟時,Microsoft Entra Connect 會重新評估同步範圍,並刪除 (也就是已淘汰的) 任何非同步範圍內的物件,所以可能造成 Microsoft Entra ID 中大量物件在非預期的情況下遭到刪除。 若要避免此問題,請重新命名 OU,然後執行 Microsoft Entra Connect 精靈並重新選取 OU,使其再次包含在同步範圍內。
屬性型篩選
請確定您是使用 2015 年 11 月 (1.0.9125) 或更新版本的組建,這些步驟才有作用。
重要
Microsoft 建議您不要修改 Microsoft Entra Connect 所建立的預設規則。 如果您想要修改規則,請加以複製,並停用原始規則。 對複製的檔案進行您要的變更。 請注意,這麼做 (停用原始規則) 會遺漏任何 Bug 修正或透過該規則啟用的功能。
屬性型篩選是最具彈性的物件篩選方式。 您可以使用宣告式佈建的強大功能來控制物件同步處理至 Microsoft Entra ID 時的大多數層面。
您可以從 Active Directory 將輸入篩選套用到 Metaverse,也可以從 Metaverse 將輸出篩選套用到 Microsoft Entra ID。 我們建議您套用輸入篩選,因為這是最容易的維護方式。 只有在必須先加入多個樹系中的物件再進行評估時,才應該使用輸出篩選。
輸入篩選
輸入篩選會使用預設組態,亦即,即將輸入 Microsoft Entra ID 的物件必須未將 Metaverse 屬性 cloudFiltered 設定為要同步處理的值。 如果這個屬性的值設定為 True,則不會同步處理物件。 就設計而言,此值不應設為 False。 為了確保其他規則能夠提供值,這個屬性的值應該只能是 True 或 NULL (不存在)。
請注意,Microsoft Entra Connect 是用於清除在 Microsoft Entra ID 中負責佈建的物件。 如果系統先前未在 Microsoft Entra ID 中佈建物件,但在匯入步驟期間取得 Microsoft Entra 物件,則會正確假設此物件是在其他系統的 Microsoft Entra ID 中建立。 Microsoft Entra Connect 不會清除這類 Microsoft Entra 物件,即使 Metaverse 屬性 cloudFiltered
設定為 True 也一樣。
在輸入篩選中,我們將利用「範圍」的強大功能來決定哪些物件應該或不應該同步處理。 您要在這裡進行調整以符合貴組織的需求。 範圍模組包含「群組」和「子句」,可用來決定何時要將某個同步規則納入範圍中。 「群組」會包含一個或多個「子句」。 多個子句之間會有邏輯 "AND",而多個群組之間會有邏輯 "OR"。
讓我們看看以下範例:
這應該解讀為 (department = IT) OR (department = Sales AND c = US)。
在下列範例和步驟中,您將以使用者物件做為例子,但您可以將此例子套用到所有物件類型。
在下列範例中,優先順序值以 50 為開頭。 這可以是任何未使用的數字,但是應該小於 100。
負面篩選:「不同步處理這些項目」
在下列範例中,您會篩除 (不同步處理) extensionAttribute15 的值為 NoSync 的所有使用者。
- 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
- 從 [開始] 功能表啟動 [同步處理規則編輯器]。
- 確定已選取 [輸入],然後按一下 [新增規則]。
- 為規則提供一個描述性名稱,例如 "In from AD – User DoNotSyncFilter"。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 50),然後按 [下一步]。
- 在 [範圍設定篩選] 中,按一下 [新增群組],然後按一下 [新增子句]。 在 [屬性] 中,選取 [ExtensionAttribute15]。 確定已將 [運算子] 設為 [EQUAL],然後在 [值] 方塊中輸入值 NoSync。 按一下 [下一步] 。
- 將 [聯結] 規則保留空白,然後按 [下一步]。
- 按一下 [新增轉換]、選取 [FlowType] 做為 [常數],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 文字方塊中,輸入 True。 按一下 [新增] 以儲存規則。
- 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。
正面篩選:「只同步處理這些項目」
表述正面篩選的程序比較困難,因為您必須同時考慮不是明顯需要同步處理的物件,例如會議室。 您也將覆寫全新規則 [In from AD - User Join] 中的預設篩選器。 當您建立自訂篩選時,請確定不包含 Microsoft Entra Connect 的關鍵性系統物件、複寫衝突物件、特殊信箱和服務帳戶。
正篩選選項需要兩個同步處理規則:一個同步處理規則 (或更多) 具有要同步處理之物件的正確範圍,以及篩選掉任何不應同步處理的剩餘物件的 catch-all 同步處理規則。
在下列範例中,您只會同步處理部門屬性值為 Sales的使用者物件。
- 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
- 從 [開始] 功能表啟動 [同步處理規則編輯器]。
- 確定已選取 [輸入],然後按一下 [新增規則]。
- 為規則提供一個描述性名稱,例如 "In from AD – User Sales sync"。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 51),然後按 [下一步]。
- 在 [範圍設定篩選] 中,按一下 [新增群組],然後按一下 [新增子句]。 在 [屬性] 中,選取 [部門]。 確定已將 [運算子] 設為 [EQUAL],然後在 [值] 方塊中輸入值 Sales。 按一下 [下一步] 。
- 將 [聯結] 規則保留空白,然後按 [下一步]。
- 按一下 [新增轉換]、選取 [常數] 做為 [FlowType],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 方塊中,輸入 False。 按一下 [新增] 以儲存規則。
這是一個特殊案例,在此您會將 cloudFiltered 明確設定為 False。 - 我們現在必須建立全面涵蓋同步處理規則。 為規則提供一個描述性名稱,例如 "In from AD – User Catch-all filter"。 選取正確的樹系,亦即選取 [使用者] 作為 [CS 物件類型],以及選取 [人員] 作為 [MV 物件類型]。 在 [連結類型] 中,選取 [聯結]。 在 [優先順序] 中,輸入目前沒有被其他「同步化規則」使用的值 (例如 99)。 您已選取高於 (較低優先順序) 先前同步處理規則的優先順序值。 但是,您也留一些空間,這樣當您稍後要開始同步處理其他部門時,可以新增更多篩選同步處理規則。 按一下 [下一步] 。
- 將 [範圍設定篩選] 保留空白,然後按 [下一步]。 空白篩選器表示規則會套用至所有物件。
- 將 [聯結] 規則保留空白,然後按 [下一步]。
- 按一下 [新增轉換]、選取 [常數] 做為 [FlowType],選取 [cloudFiltered] 做為 [目標屬性]。 在 [來源] 方塊中,輸入 True。 按一下 [新增] 以儲存規則。
- 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。
如有需要,您可以建立更多第一種類型的規則,以在同步處理作業中納入更多物件。
輸出篩選
在某些情況下,只有在 Metaverse 中聯結物件之後,才需進行篩選。 例如,可能需要從資源樹系的 mail 屬性以及帳戶樹系的 userPrincipalName 屬性,來判斷是否應同步處理物件。 在這些情況下,您將在輸出規則上建立篩選。
在此範例中,您將變更篩選,讓系統只同步處理 mail 和 userPrincipalName 的結尾都是 @contoso.com 的使用者:
- 使用隸屬於 ADSyncAdmins 安全性群組的帳戶,登入執行 Microsoft Entra Connect 同步處理的伺服器。
- 從 [開始] 功能表啟動 [同步處理規則編輯器]。
- 在 [規則類型] 下方按一下 [輸出]。
- 根據您使用的 Connect 版本,請尋找名為 Out to Microsoft Entra ID – User Join 或 Out to Microsoft Entra ID - User Join SOAInAD 的規則,然後按一下 [編輯]。
- 在快顯視窗中,回答 [是] 來建立規則的複本。
- 在 [描述] 頁面上,將 [優先順序] 變更為一個未使用的值,例如 50。
- 按一下左邊導覽列上的 [範圍設定篩選],然後按一下 [新增子句]。 在 [屬性] 中,選取 [郵件]。 在 [運算子] 中,選取 [ENDSWITH]。 在 [值] 中,輸入 @contoso.com,然後按一下 [新增子句]。 在 [屬性] 中,選取 [userPrincipalName]。 在 [運算子] 中,選取 [ENDSWITH]。 在 [值] 中,輸入 @contoso.com。
- 按一下 [檔案] 。
- 若要完成組態,您必須執行「完整同步處理」。繼續閱讀套用並驗證變更一節。
套用並驗證變更
在變更組態後,必須將這些變更套用至系統中已有的物件。 情況也可能是目前不在同步處理引擎中的物件應受到處理,因此同步處理引擎需要再次讀取來源系統,以確認其內容。
如果您已使用「網域」或「組織單位」篩選來變更組態,您就必須在執行「完整匯入」之後執行「差異同步處理」。
如果您已使用「屬性」篩選來變更組態,則必須執行「完整同步處理」。
執行下列步驟:
- 從 [開始] 功能表啟動 [同步處理服務]。
- 選取連接器。 在 [連接器] 清單中,選取稍早進行過組態變更的連接器。 在 [動作] 中,選取 [執行]。
- 在 [執行設定檔] 中,選取上一節中提到的作業。 如果您需要執行兩個動作,請於第一個完成之後再執行第二個。 (所選取連接器的 [狀態] 資料行是 [閒置]。)
在進行過同步處理後,所有變更會進入匯出階段。 實際在 Microsoft Entra ID 中進行變更之前,您會想要先驗證所有變更是否正確。
- 啟動命令提示字元,並移至
%ProgramFiles%\Microsoft Azure AD Sync\bin
。 - 執行
csexport "Name of Connector" %temp%\export.xml /f:x
。
連接器名稱在同步處理服務中。 其名稱類似使用於 Microsoft Entra ID 的「contoso.com」。 - 執行
CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
。 - 現在您在 %temp% 中已經有名稱為 export.csv 的檔案,可在 Microsoft Excel 中加以檢查。 此檔案包含即將匯出的所有變更。
- 對資料或組態進行必要的變更並再次執行這些步驟 (匯入、同步處理、驗證),直到要匯出的變更皆如您所預期進行。
在感到滿意後,將變更匯出至 Microsoft Entra ID。
- 選取連接器。 在 [連接器] 清單中,選取 [Microsoft Entra 連接器]。 在 [動作] 中,選取 [執行]。
- 在 [執行設定檔] 中,選取 [匯出]。
- 如果您的組態變更將會刪除許多物件,且數目超過設定的臨界值 (預設值為 500),則會在匯出時看到錯誤。 如果看到這個錯誤,您必須先暫時停用「防止意外刪除」功能。
現在該重新啟用排程器了。
- 從 [開始] 功能表啟動 [工作排程器]。
- 在 [工作排程器程式庫] 正下方尋找名稱為 [Azure AD 同步排程器] 的工作,在該工作上按一下滑鼠右鍵,然後選取 [啟用]。
群組型篩選
您可以在首次安裝 Microsoft Entra Connect 時,使用自訂安裝來設定群組型篩選。 它適用於試驗部署,其中您只要同步小型物件集合。 當您停用群組型篩選時,無法將它重新啟用。 不支援在自訂設定中使用群組型篩選。 只支援使用安裝精靈來設定此功能。 完成試驗時,使用此主題中的其他篩選選項之一。 當將 OU 型篩選搭配群組型篩選使用時,必須包含群組及其成員所在的 OU。
同步處理多個 AD 樹系時,您可藉由為每個 AD 連接器指定不同的群組,設定以群組為基礎的篩選。 如果您想要同步處理某個 AD 樹系中的使用者,而相同的使用者在其他 AD 樹系中有一或多個對應的物件,您必須確定該使用者物件及其對應的所有物件,都位於以群組為基礎的篩選範圍內。 例如:
您有位於某個樹系,並在另一個樹系中具有相對應 FSP (外部安全性主體) 物件的使用者。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,系統將不會將該使用者同步處理至 Microsoft Entra ID。
您有位於某個樹系,並在另一個樹系中具有相對應資源帳戶 (例如連結的信箱) 的使用者。 此外,您已將 Microsoft Entra Connect 設定為與具有該資源帳戶的使用者連結。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,系統將不會將該使用者同步處理至 Microsoft Entra ID。
您有位於某個樹系,並在另一個樹系中具有相對應郵件連絡人的使用者。 此外,您已設定 Microsoft Entra Connect,以連結使用者與郵件連絡人。 這兩個物件都必須位於以群組為基礎的篩選範圍內。 否則,系統將不會將該使用者同步處理至 Microsoft Entra ID。
下一步
- 深入瞭解 Microsoft Entra Connect Sync 設定。
- 深入瞭解如何整合內部部署身分識別與 Microsoft Entra ID。