Synchronizace Azure AD Connect: Konfigurace filtrování

Pomocí filtrování můžete řídit, které objekty se zobrazí Azure Active Directory (Azure AD) z místního adresáře. Výchozí konfigurace přebírá všechny objekty ve všech doménách v nakonfigurovaných doménových strukturách. Obecně se jedná o doporučenou konfiguraci. Uživatelé, Microsoft 365 úlohy, jako jsou Exchange Online a Skype pro firmy, těží z kompletního globálního seznamu adres, aby mohli posílat e-maily a volat všechny. S výchozí konfigurací by měli stejné prostředí jako u místní implementace Exchange Lync.

V některých případech ale musíte provést některé změny výchozí konfigurace. Tady je několik příkladů:

• Plánujete použít adresářovou topologii multi-Azure AD. Pak musíte použít filtr, který řídí, které objekty se synchronizují do konkrétního adresáře Azure AD.
• Spustíte pilotní nasazení pro Azure nebo Microsoft 365 a chcete jen podmnožinu uživatelů v Azure AD. V malém pilotním projektu není důležité mít úplný seznam globálních adres, který by tuto funkci předvedl.
• Máte mnoho účtů služeb a dalších nelidských účtů, které ve službě Azure AD nechcete.
• Z důvodu dodržování předpisů se žádné místní uživatelské účty neodstraňovat. Jenom je zakážete. Ve službě Azure AD ale chcete, aby se k dispozici měly jenom aktivní účty.

Tento článek popisuje, jak nakonfigurovat různé metody filtrování.

Základní informace a důležité poznámky

V Azure AD Připojení synchronizaci můžete filtrování povolit kdykoli. Pokud začnete s výchozí konfigurací synchronizace adresářů a pak nakonfigurujete filtrování, vyfiltrované objekty se už nebudou synchronizovat se službou Azure AD. Z důvodu této změny se všechny objekty ve službě Azure AD, které byly dříve synchronizovány, ale následně filtrovány, odstraní ve službě Azure AD.

Než začnete provádět změny filtrování, nezapomeňte naplánovanou úlohu zakázat, abyste nechtěně neexportovali změny, které jste ještě neověřeli jako správné.

Vzhledem k tomu, že filtrování může současně odebrat mnoho objektů, měli byste se před zahájením exportu změn do Azure AD ujistit, že jsou nové filtry správné. Po dokončení kroků konfigurace důrazně doporučujeme před exportem a provedením změn v Azure AD provést postup ověření.

Pro ochranu před náhodným odstraněním mnoha objektů je funkce"zabránitnáhodnému odstranění" ve výchozím nastavení povolená. Pokud kvůli filtrování odstraníte mnoho objektů (ve výchozím nastavení je to 500), musíte postupovat podle kroků v tomto článku, abyste umožnili, aby odstranění prošly do Azure AD.

Pokud používáte sestavení před listopadem 2015 (1.0.9125),proveďte změnu konfigurace filtru a použijte synchronizaci hodnot hash hesel, musíte po dokončení konfigurace aktivovat úplnou synchronizaci všech hesel. Postup aktivace úplné synchronizace hesel najdete v tématu Aktivace úplné synchronizace všech hesel. Pokud používáte build 1.0.9125 nebo novější, pak běžná akce úplné synchronizace také vypočítá, jestli se mají hesla synchronizovat a jestli už tento dodatečný krok není potřeba.

Pokud se uživatelské objekty v Azure AD omylem odstranily kvůli chybě filtrování, můžete uživatelské objekty ve službě Azure AD znovu vytvořit odebráním konfigurací filtrování. Pak můžete adresáře znovu synchronizovat. Tato akce obnoví uživatele z odpadkové koše v Azure AD. Jiné typy objektů však nelze obnovit. Pokud například omylem odstraníte skupinu zabezpečení a ta se použila k seznamu ACL prostředku, nebude možné skupinu a její seznamy ACL obnovit.

Azure AD Připojení odstraní pouze objekty, které jednou považuje za v oboru. Pokud jsou v Azure AD objekty vytvořené jiným synchronizačním strojem a tyto objekty nejsou v oboru, jejich přidáním filtrování se neodebere. Pokud například začnete se serverem DirSync, který vytvořil úplnou kopii celého adresáře ve službě Azure AD, a nainstalujete nový synchronizační server služby Azure AD Připojení paralelně s od začátku povoleným filtrováním, Azure AD Připojení neodebere další objekty vytvořené dirSync.

Konfigurace filtrování se zachová při instalaci nebo upgradu na novější verzi služby Azure AD Připojení. Před spuštěním prvního synchronizačního cyklu je vždy osvědčeným postupem ověřit, že se konfigurace po upgradu na novější verzi neúmyslně nezměnila.

Pokud máte více než jednu doménovou strukturu, musíte použít konfigurace filtrování popsané v tomto tématu pro každou doménovou strukturu (za předpokladu, že chcete stejnou konfiguraci pro všechny).

Zakázání naplánované úlohy

Pokud chcete zakázat integrovaný plánovač, který aktivuje synchronizační cyklus každých 30 minut, postupujte následovně:

1. Přejděte na příkazový řádek PowerShellu.
2. Spuštěním Set-ADSyncScheduler -SyncCycleEnabled $False zakažte plánovač.
3. Proveďte změny zdokumentované v tomto článku.
4. Spusťte Set-ADSyncScheduler -SyncCycleEnabled $True příkaz , aby se plánovač znovu povoloval.

Pokud používáte službu Azure AD Připojení před 1.1.105.0
Pokud chcete zakázat naplánovanou úlohu, která aktivuje synchronizační cyklus každé tři hodiny, postupujte následovně:

1. Spusťte Plánovač úloh z nabídky Start.
2. Přímo pod Plánovač úloh Library vyhledejte úlohu s názvem Azure AD Sync Scheduler, klikněte pravým tlačítkem a vyberte Zakázat.
   
3. Teď můžete provést změny konfigurace a spustit synchronizační modul ručně z konzoly Synchronization Service Manager počítače.

Po dokončení všech změn filtrování se nezapomeňte vrátit a znovu povolit úlohu.

Možnosti filtrování

V nástroji pro synchronizaci adresářů můžete použít následující typy konfigurace filtrování:

• Založené na skupině:Filtrování na základě jedné skupiny je možné nakonfigurovat pouze při počáteční instalaci pomocí průvodce instalací.
• Založené na doméně:Pomocí této možnosti můžete vybrat, které domény se budou synchronizovat s Azure AD. Domény můžete také přidávat a odebírat z konfigurace synchronizačního modulu, když po instalaci služby Azure AD Připojení infrastruktury změníte místní infrastrukturu.
• Organizační jednotka (OU):Pomocí této možnosti můžete vybrat, které organizační jednotky se budou synchronizovat se službou Azure AD. Tato možnost je pro všechny typy objektů ve vybraných OU.
• Na základě atributů:Pomocí této možnosti můžete filtrovat objekty na základě hodnot atributů u objektů. Můžete mít také různé filtry pro různé typy objektů.

Můžete použít více možností filtrování současně. Můžete například použít filtrování na základě OU a zahrnout pouze objekty do jedné OU. Zároveň můžete k dalšímu filtrování objektů použít filtrování na základě atributů. Když použijete více metod filtrování, filtry používají mezi filtry logickou hodnotu AND.

Filtrování na základě domény

V této části najdete postup konfigurace filtru domény. Pokud jste do doménové struktury přidali nebo odebrali domény po instalaci služby Azure AD Připojení, musíte také aktualizovat konfiguraci filtrování.

Preferovaným způsobem, jak změnit filtrování na základě domény, je spustit průvodce instalací a změnit filtrování domén a OU. Průvodce instalací automatizuje všechny úlohy, které jsou zdokumentované v tomto tématu.

Tento postup byste měli provést pouze v případě, že z nějakého důvodu nemůžete spustit průvodce instalací.

Konfigurace filtrování na základě domény se skládá z těchto kroků:

1. Vyberte domény, které chcete do synchronizace zahrnout.
2. U každé přidané a odebrané domény upravte profily spuštění.
3. Použijte a ověřte změny.

Vyberte domény, které se budou synchronizovat.

Existují dva způsoby, jak vybrat domény, které se mají synchronizovat: - Použití synchronizační služby - Pomocí průvodce vytvořením Připojení Azure AD.

Vyberte domény, které se budou synchronizovat pomocí synchronizační služby.

Pokud chcete nastavit filtr domény, proveďte následující kroky:

1. Přihlaste se k serveru se spuštěnou službou Azure AD Připojení synchronizace pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.
2. Spusťte synchronizační službu z nabídky Start.
3. Vyberte Konektory a v seznamu Konektory vyberte Konektor s typem Active Directory Domain Services. V části Akce vyberte Vlastnosti.
   
4. Klikněte na Konfigurovat oddíly adresáře.
5. V seznamu Vybrat oddíly adresáře vyberte a podle potřeby zrušte výběr domén. Ověřte, že jsou vybrané pouze oddíly, které chcete synchronizovat.
   
   Pokud jste změnili infrastrukturu místní Active Directory domény a přidali nebo odebrali domény z doménové struktury, klikněte na tlačítko Aktualizovat a získejte aktualizovaný seznam. Při aktualizaci budete vyzváni k zadání přihlašovacích údajů. Zadejte všechny přihlašovací údaje s oprávněním ke čtení Windows Server Active Directory. Nemusí to být uživatel, který je v dialogovém okně předem naplnění.
   
6. Až skončíte, zavřete dialogové okno vlastnosti kliknutím na OK. Pokud jste z doménové struktury odebrali domény, zobrazí se automaticky otevírané okno se zprávou, že se odebrala doména a tato konfigurace se vyčistí.
7. Pokračujte v úpravách profilů spuštění.

vyberte domény, které se mají synchronizovat pomocí průvodce Azure AD Connect.

Chcete-li nastavit filtr domény, proveďte následující kroky:

1. spuštění průvodce Azure AD Connect
2. Klikněte na Konfigurovat.
3. Vyberte možnost přizpůsobit možnosti synchronizace a klikněte na tlačítko Další.
4. Zadejte svoje přihlašovací údaje služby Azure AD.
5. Na obrazovce připojené adresáře klikněte na Další.
6. Na stránce filtrování domén a organizačních jednotek klikněte na aktualizovat. Nové domény se nyní zobrazí a odstraněné domény zmizí.

Aktualizace profilů spuštění

Pokud jste aktualizovali svůj doménový filtr, budete také muset aktualizovat profily spuštění.

1. V seznamu konektory zkontrolujte, zda je zvolen konektor, který jste změnili v předchozím kroku. V Možnosti akce vyberte Konfigurovat profily spuštění.
   
2. Vyhledejte a Identifikujte následující profily:
   • Full Import
   • Úplná synchronizace
   • Rozdílový import
   • Rozdílová synchronizace
   • Export
3. Pro každý profil upravte přidané a odebrané domény.
   1. Pro každý z pěti profilů proveďte následující kroky pro každou přidanou doménu:
      1. Vyberte profil spuštění a klikněte na Nový krok.
      2. Na stránce Konfigurovat krok v rozevírací nabídce typ vyberte typ kroku se stejným názvem, jako má profil, který konfigurujete. Potom klikněte na Další.
         
      3. Na stránce Konfigurace konektoru v rozevírací nabídce oddíl vyberte název domény, kterou jste přidali do filtru domény.
         
      4. Zavřete dialogové okno Konfigurovat profil spuštění kliknutím na tlačítko Dokončit.
   2. Pro každý z pěti profilů proveďte následující kroky pro každou z odebraných domén:
      1. Vyberte profil spuštění.
      2. Pokud je hodnota atributu partition identifikátorem GUID, vyberte krok spuštění a klikněte na Odstranit krok.
         
   3. Ověřte změnu. Každá doména, kterou chcete synchronizovat, by měla být v jednotlivých profilech spuštění uvedena jako krok.
4. Chcete-li zavřít dialogové okno Konfigurovat profily spuštění , klikněte na tlačítko OK.
5. Chcete-li dokončit konfiguraci, je nutné spustit úplný import a rozdílovou synchronizaci. Pokračujte v čtení části použití a ověření změn.

Filtrování na základě organizační jednotky

Upřednostňovaným způsobem, jak změnit filtrování na základě organizační jednotky, je spuštění Průvodce instalací a změna filtrování domén a organizačních jednotek. Průvodce instalací automatizuje všechny úlohy popsané v tomto tématu.

Pokud z nějakého důvodu nemůžete spustit Průvodce instalací, měli byste postupovat podle těchto kroků.

Chcete-li nakonfigurovat filtrování na základě organizační jednotky, proveďte následující kroky:

1. přihlaste se k serveru, na kterém běží Azure AD Connect synchronizace pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins .
2. Spusťte synchronizační službu z nabídky Start .
3. Vyberte možnost konektory a v seznamu konektory vyberte konektor s typem Active Directory Domain Services. V Možnosti akce vyberte vlastnosti.
   
4. Klikněte na Konfigurovat oddíly adresáře, vyberte doménu, kterou chcete nakonfigurovat, a potom klikněte na kontejnery.
5. Po zobrazení výzvy zadejte přihlašovací údaje s oprávněním ke čtení vaší místní služby Active Directory. Nemusí se jednat o uživatele, který je předem vyplněný v dialogovém okně.
6. V dialogovém okně Vybrat kontejnery vymažte jednotky, které nechcete synchronizovat s adresářem cloudu, a klikněte na tlačítko OK.
   
   • aby byly počítače s Windows 10 úspěšně synchronizovány do Azure AD, je třeba vybrat kontejner počítače . Pokud jsou počítače připojené k doméně umístěné v jiných organizačních jednotkách, ujistěte se, že jsou vybrané.
   • Pokud máte několik doménových struktur se vztahem důvěryhodnosti, měl by být vybraný kontejner ForeignSecurityPrincipals. Tento kontejner umožňuje řešit členství ve skupinách zabezpečení napříč doménovými strukturami.
   • Pokud jste povolili funkci zpětného zápisu zařízení, měla by být vybraná organizační jednotka RegisteredDevices . Pokud používáte jinou funkci zpětného zápisu, třeba zpětný zápis skupiny, ujistěte se, že jsou tato umístění vybraná.
   • Vyberte všechny ostatní organizační jednotky, kde se nacházejí uživatelé, třídy iNetOrgPerson, skupiny, kontakty a počítače. Na obrázku jsou všechny tyto organizační jednotky umístěny v ManagedObjects organizační jednotce.
   • Pokud používáte filtrování na základě skupin, musí být zahrnutá organizační jednotka, ve které se skupina nachází.
   • Všimněte si, že můžete nakonfigurovat, jestli se nové organizační jednotky, které se přidají po dokončení konfigurace filtrování, synchronizují nebo nesynchronizují. Podrobnosti najdete v následující části.
7. Až skončíte, zavřete dialogové okno vlastnosti kliknutím na OK.
8. Chcete-li dokončit konfiguraci, je nutné spustit úplný import a rozdílovou synchronizaci. Pokračujte v čtení části použití a ověření změn.

Synchronizovat nové organizační jednotky

Nové organizační jednotky, které se vytvoří po filtrování, se standardně synchronizují. Tento stav je označen vybraným zaškrtávacím políčkem. Můžete také zrušit výběr některých dílčích organizačních jednotek. Chcete-li získat toto chování, klikněte na pole, dokud se neobjeví bíle s modrou značkou zaškrtnutí (výchozí stav). Pak zrušte výběr všech dílčích organizačních jednotek, které nechcete synchronizovat.

Pokud jsou všechny dílčí organizační jednotky synchronizovány, je pole bílá s modrou značkou zaškrtnutí.

Pokud se některé dílčí organizační jednotky zruší, je pole šedé s bílou značkou zaškrtnutí.

V této konfiguraci je synchronizovaná nová organizační jednotka vytvořená v rámci ManagedObjects.

průvodce instalací Azure AD Connect vždy vytvoří tuto konfiguraci.

Nesynchronizovat nové organizační jednotky

Po dokončení konfigurace filtrování můžete nakonfigurovat synchronizační modul tak, aby nesynchronizoval nové organizační jednotky. Tento stav je uveden v uživatelském rozhraní pomocí pole s plnou šedou barvou bez zaškrtnutí. Chcete-li získat toto chování, klikněte na pole, dokud se nevrátí do bílé bez zaškrtnutí. Pak vyberte dílčí organizační jednotky, které chcete synchronizovat.

V této konfiguraci není synchronizovaná nová organizační jednotka vytvořená v rámci ManagedObjects.

Filtrování na základě atributů

Ujistěte se, že k práci s těmito kroky používáte Build 2015 (1.0.9125) nebo novější.

Filtrování na základě atributů je nejpružnější způsob, jak filtrovat objekty. Výkon deklarativního zřizování můžete využít k řízení téměř všech aspektů při synchronizaci objektu s Azure AD.

Můžete použít příchozí filtrování ze služby Active Directory do úložiště metaverse a odchozí filtrování z úložiště metaverse do Azure AD. Doporučujeme použít filtrování příchozích zpráv, protože je nejjednodušší je udržovat. Filtrování odchozího připojení byste měli použít pouze v případě, že je vyžadováno pro připojení objektů z více než jedné doménové struktury před provedením vyhodnocení.

Příchozí filtrování

Příchozí filtrování používá výchozí konfiguraci, kdy objekty, které přechádnou do Azure AD, musí mít atribut úložiště metaverse cloudFiltered, který není nastavený na hodnotu, která se má synchronizovat. Pokud je hodnota tohoto atributu nastavená na Hodnotu True, objekt se nesynchronní. Neměla by být nastavená na hodnotu False (Nepravda). Aby ostatní pravidla měla možnost přispívat hodnotou, měl by tento atribut mít pouze hodnoty True nebo NULL (chybějící).

Upozorňujeme, že služba Azure AD Připojení je navržená tak, aby vyčistěla objekty, které zodpovídá za zřizování ve službě Azure AD. Pokud systém v minulosti objekt v Azure AD nezřioval, ale během kroku importu získá objekt Azure AD, správně předpokládá, že tento objekt byl vytvořen v Azure AD některým jiným systémem. Azure AD Připojení tyto typy objektů Azure AD nevyčte, ani když je atribut úložiště metaverse cloudFiltered nastavený na hodnotu True.

Při příchozím filtrování můžete pomocí výkonu oboru určit, které objekty se mají synchronizovat nebo které se nemají synchronizovat. Tady můžete provádět úpravy tak, aby odpovídaly požadavkům vaší organizace. Modul oboru obsahuje skupinu a klauzuli, které určují, kdy je pravidlo synchronizace v oboru. Skupina obsahuje jednu nebo více klauzulí. Mezi více klauzulemi a logickým operátorem "OR" mezi více skupinami existuje logická klauzule AND.

Podívejme se na příklad:

Mělo by se načíst jako (oddělení = IT) NEBO (oddělení = prodej a c = USA).

V následujících příkladech a krocích použijete objekt user jako příklad, ale můžete ho použít pro všechny typy objektů.

V následujících ukázkách začíná hodnota priority 50. Může to být libovolné číslo, které se nepoužít, ale mělo by být nižší než 100.

Záporné filtrování: "Nesynchronhronovat je"

V následujícím příkladu vyfiltrujete (nesynchronizaci) všechny uživatele, u kterých má extensionAttribute15 hodnotu NoSync.

1. Přihlaste se k serveru se spuštěnou službou Azure AD Připojení synchronizace pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.
2. Spusťte Editor synchronizačních pravidel z nabídky Start.
3. Ujistěte se, že je vybraná možnost Příchozí, a klikněte na Přidat nové pravidlo.
4. Zadejte popisný název pravidla, například "In from AD – User DoNotSyncFilter". Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Osoba. V části Link Type (Typ odkazu) vyberte Join (Připojit). Do pole Priorita zadejte hodnotu, kterou aktuálně nevyuží vlastní jiné synchronizační pravidlo (například 50), a potom klikněte na Další.
   
5. V části Filtr oborů klikněte na Přidat skupinu a pak klikněte na Přidat klauzuli. V části Atribut vyberte ExtensionAttribute15. Ujistěte se, že je možnost Operátor nastavená na HODNOTU EQUAL a do pole Hodnota zadejte hodnotu NoSync. Klikněte na Next (Další).
   
6. Ponechte pravidla spojení prázdná a pak klikněte na Další.
7. Klikněte na Přidat transformaci, jako Typ toku vyberte Konstanta a jako Cílový atribut vyberte cloudFiltered. Do textového pole Zdroj zadejte True. Kliknutím na Přidat pravidlo uložte.
   
8. Abyste konfiguraci dokončili, musíte spustit úplnou synchronizaci. Pokračujte v části Použití a ověřte změny.

Kladné filtrování: "Synchronizovat pouze tyto"

Vyjádření pozitivního filtrování může být náročnější, protože musíte také zvážit objekty, které není zřejmé, že se synchronizují, jako jsou konferenční místnosti. Zároveň přepíšete výchozí filtr v předřazených pravidlech V ze služby AD – Připojení uživatele. Při vytváření vlastního filtru se ujistěte, že neobsahuje důležité systémové objekty, objekty konfliktů replikace, speciální poštovní schránky a účty služeb pro službu Azure AD Připojení.

Možnost pozitivního filtrování vyžaduje dvě pravidla synchronizace. Potřebujete jedno (nebo několik) pravidel se správným oborem objektů, které se mají synchronizovat. Potřebujete také druhé pravidlo synchronizace catch-all, které odfiltruje všechny objekty, které ještě nebyly identifikované jako objekt, který by se měl synchronizovat.

V následujícím příkladu synchronizujete pouze uživatelské objekty, u kterých má atribut oddělení hodnotu Sales.

1. Přihlaste se k serveru se spuštěnou službou Azure AD Připojení synchronizace pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.
2. Spusťte Editor synchronizačních pravidel z nabídky Start.
3. Ujistěte se, že je vybraná možnost Příchozí, a klikněte na Přidat nové pravidlo.
4. Zadejte popisný název pravidla, například "In from AD – User Sales sync". Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Osoba. V části Link Type (Typ odkazu) vyberte Join (Připojit). Do pole Priorita zadejte hodnotu, kterou aktuálně nevyuží vlastní jiné synchronizační pravidlo (například 51), a potom klikněte na Další.
   
5. V části Filtr oborů klikněte na Přidat skupinu a pak klikněte na Přidat klauzuli. V části Atribut vyberte oddělení. Ujistěte se, že je možnost Operátor nastavená na HODNOTU EQUAL a do pole Hodnota zadejte hodnotu Sales. Klikněte na Next (Další).
   
6. Ponechte pravidla spojení prázdná a pak klikněte na Další.
7. Klikněte na Add Transformation(Přidat transformaci), jako FlowType (Typ toku) vyberte Constant (Konstanta) a jako Target Attribute (Cílový atribut) vyberte cloudFiltered. Do pole Zdroj zadejte False. Kliknutím na Přidat pravidlo uložte.
   
   Jedná se o zvláštní případ, kdy explicitně nastavíte cloudFiltered na False.
8. Teď musíme vytvořit pravidlo synchronizace catch-all. Zadejte popisný název pravidla, například "In from AD – User Catch-all filter". Vyberte správnou doménovou strukturu, jako typ objektu CS vyberte Uživatel a jako typ objektu MV vyberte Osoba. V části Link Type (Typ odkazu) vyberte Join (Připojit). Do pole Priorita zadejte hodnotu, kterou aktuálně jiné synchronizační pravidlo nevyuží vlastní (například 99). Vybrali jste hodnotu priority, která je vyšší (nižší priorita) než předchozí pravidlo synchronizace. Nechali jste ale také nějaké místo, abyste mohli později přidat další pravidla synchronizace filtrování, až budete chtít začít synchronizovat další oddělení. Klikněte na Next (Další).
   
9. Filtr oborů ponechte prázdný a klikněte na Další. Prázdný filtr označuje, že se pravidlo má použít pro všechny objekty.
10. Ponechte pravidla spojení prázdná a pak klikněte na Další.
11. Klikněte na Add Transformation(Přidat transformaci), jako FlowType (Typ toku) vyberte Constant (Konstanta) a jako Target Attribute (Cílový atribut) vyberte cloudFiltered . Do pole Zdroj zadejte True. Kliknutím na Přidat pravidlo uložte.
    
12. Abyste konfiguraci dokončili, musíte spustit úplnou synchronizaci. Pokračujte v části Použití a ověřte změny.

V případě potřeby můžete vytvořit další pravidla prvního typu, ve kterých do synchronizace zahrníte více objektů.

Odchozí filtrování

V některých případech je nutné filtrování provést až po připojení objektů v metaverse. Například může být nutné se podívat na atribut mail z doménové struktury prostředků a atribut userPrincipalName z doménové struktury účtu, abyste zjistili, jestli se má objekt synchronizovat. V těchto případech vytvoříte filtrování podle pravidla odchozích přenosů.

V tomto příkladu změníte filtrování tak, aby se synchronizovala pouze uživatelé, kteří mají koncovou hodnotu mail i @contoso.com userPrincipalName:

1. Přihlaste se k serveru se spuštěnou službou Azure AD Připojení synchronizace pomocí účtu, který je členem skupiny zabezpečení ADSyncAdmins.
2. Spusťte Editor synchronizačních pravidel z nabídky Start.
3. V části Typ pravidel klikněte na Odchozí.
4. V závislosti na verzi služby Připojení, vyhledejte pravidlo s názvem Out to Azure AD – User Join nebo Out to Azure AD – User Join SOAInAD a klikněte na Edit (Upravit).
5. V automaticky otevíraně se zobrazí odpověď Ano, abyste vytvořili kopii pravidla.
6. Na stránce Popis změňte Prioritu na nepoužívanou hodnotu, například 50.
7. V levém navigačním panelu klikněte na Filtr oborů a pak klikněte na Přidat klauzuli. V části Atribut vyberte mail. V části Operátor vyberte ENDSWITH. Do pole Hodnota zadejte @ contoso.com a potom klikněte na Přidat klauzuli. V části Atribut vyberte userPrincipalName. V operátoru vyberte ENDSWITH. Do hodnoty zadejte @ contoso.com.
8. Klikněte na Uložit.
9. Chcete-li dokončit konfiguraci, je nutné spustit úplnou synchronizaci. Pokračujte v čtení části použití a ověření změn.

Použít a ověřit změny

Po provedení změn konfigurace je musíte použít pro objekty, které jsou již v systému k dispozici. Může to také být, že by se měly zpracovat objekty, které nejsou aktuálně v synchronizačním modulu (a synchronizační modul potřebuje znovu načíst zdrojový systém a ověřit jeho obsah).

Pokud jste změnili konfiguraci pomocí filtrování domén nebo organizační jednotky , musíte provést úplný import a následně rozdílovou synchronizaci.

Pokud jste změnili konfiguraci pomocí filtrování atributů , je nutné provést úplnou synchronizaci.

Proveďte následující kroky:

1. Spusťte synchronizační službu z nabídky Start .
2. Vyberte konektory. V seznamu konektory vyberte konektor, ve kterém jste dříve provedli změnu konfigurace. V Možnosti akce vyberte Spustit.
   
3. V části profily spuštění vyberte operaci, která byla zmíněna v předchozí části. Pokud potřebujete spustit dvě akce, spusťte druhý po dokončení první operace. ( Stavový sloupec je nečinný pro vybraný konektor.)

Po synchronizaci jsou všechny změny připravené k exportu. Než skutečně provedete změny ve službě Azure AD, budete chtít ověřit, že jsou všechny tyto změny správné.

1. Spusťte příkazový řádek a pokračujte na %ProgramFiles%\Microsoft Azure AD Sync\bin .
2. Spusťte csexport "Name of Connector" %temp%\export.xml /f:x.
   Název konektoru je v synchronizační službě. Má název podobný řetězci "contoso.com – Azure AD" pro Azure AD.
3. Spusťte CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. Nyní máte soubor v% Temp% s názvem export.csv, který lze prozkoumat v Microsoft Excel. Tento soubor obsahuje všechny změny, které mají být exportovány.
5. Proveďte potřebné změny dat nebo konfigurace a znovu spusťte tyto kroky (import, synchronizace a ověření), dokud nebudou změny, které se chystáte exportovat, odpovídat na to, co očekáváte.

Až budete spokojeni, exportujte změny do Azure AD.

1. Vyberte konektory. V seznamu konektory vyberte konektor Azure AD. V Možnosti akce vyberte Spustit.
2. V profilu spuštění vyberte exportovat.
3. Pokud se změní konfigurace odstranit mnoho objektů, zobrazí se při exportu chyba, pokud je počet vyšší než nastavená prahová hodnota (ve výchozím nastavení 500). Pokud se zobrazí tato chyba, musíte dočasně zakázat funkcizabránit nechtěnému odstranění.

Teď je čas znovu povolit Plánovač.

1. Spusťte Plánovač úloh v nabídce Start .
2. přímo v rámci knihovny Plánovač úloh vyhledejte úkol s názvem Azure AD Sync Scheduler, klikněte pravým tlačítkem myši a vyberte povolit.

Filtrování na základě skupin

filtrování na základě skupin můžete nakonfigurovat při první instalaci Azure AD Connect pomocí vlastní instalace. Je určený pro pilotní nasazení, kde chcete synchronizovat jenom malou sadu objektů. Pokud zakážete filtrování na základě skupin, nebude možné ho znovu povolit. Použití filtrování na základě skupin ve vlastní konfiguraci se nepodporuje . Tato funkce se podporuje jenom pomocí Průvodce instalací. Až dokončíte pilotní nasazení, použijte jednu z dalších možností filtrování v tomto tématu. Při použití filtrování na základě organizačních jednotek ve spojení s filtrováním podle skupin musí být k dispozici organizační jednotky, kde se nachází skupina a její členové.

Při synchronizaci více doménových struktur AD můžete nakonfigurovat filtrování založené na skupinách zadáním jiné skupiny pro každý konektor služby AD. Pokud chcete synchronizovat uživatele v jedné doménové struktuře služby AD a stejný uživatel má jeden nebo více odpovídajících objektů v jiných doménových strukturách služby AD, musíte zajistit, aby byl objekt uživatele a všechny jeho odpovídající objekty v oboru filtrování na základě skupiny. Příklady:

• Máte uživatele v jedné doménové struktuře, který má odpovídající objekt FSP (cizí objekt zabezpečení) v jiné doménové struktuře. Oba objekty musí být v oboru filtrování založeném na skupině. V opačném případě se uživatel nesynchronizuje do Azure AD.

• Máte uživatele v jedné doménové struktuře, který má odpovídající účet prostředku (například propojenou poštovní schránku) v jiné doménové struktuře. dále jste nakonfigurovali Azure AD Connect k propojení uživatele s účtem prostředků. Oba objekty musí být v oboru filtrování založeném na skupině. V opačném případě se uživatel nesynchronizuje do Azure AD.

• Máte uživatele v jedné doménové struktuře, který má odpovídající e-mailový kontakt v jiné doménové struktuře. dále jste nakonfigurovali Azure AD Connect pro připojení uživatele k e-mailovým kontaktům. Oba objekty musí být v oboru filtrování založeném na skupině. V opačném případě se uživatel nesynchronizuje do Azure AD.

Další kroky

• přečtěte si další informace o Azure AD Connect konfiguraci synchronizace .
• Přečtěte si další informace o integraci místních identit s Azure AD.