Synchronisation d’Azure AD Connect : Configurer le filtrageAzure AD Connect sync: Configure filtering

L’utilisation du filtrage vous permet de contrôler les objets de votre annuaire local qui doivent apparaître dans Azure Active Directory (Azure AD).By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. La configuration par défaut concerne l’ensemble des objets présents dans tous les domaines des forêts configurées.The default configuration takes all objects in all domains in the configured forests. En général, il s’agit de la configuration recommandée.In general, this is the recommended configuration. Les utilisateurs qui utilisent les charges de travail Office 365, telles qu’Exchange Online et Skype Entreprise, peuvent tirer parti d’une liste d’adresses globale complète pour envoyer des courriers électroniques et appeler tout le monde.Users using Office 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. La configuration par défaut leur offre la même expérience qu’une implémentation locale d’Exchange ou de Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

Toutefois, dans certains cas, vous devez apporter certaines modifications à la configuration par défaut.In some cases however, you're required make some changes to the default configuration. Voici quelques exemples :Here are some examples:

  • Vous prévoyez d’utiliser la topologie multi-annuaire Azure AD.You plan to use the multi-Azure AD directory topology. Vous devez alors appliquer un filtre pour déterminer les objets qui sont synchronisés avec un annuaire Azure AD spécifique.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Vous exécutez un pilote pour Azure ou Office 365 et souhaitez uniquement disposer d’un sous-ensemble d’utilisateurs dans Azure AD.You run a pilot for Azure or Office 365 and you only want a subset of users in Azure AD. Dans le petit pilote, il n’est pas impératif de disposer d’une liste d’adresses globale complète pour illustrer la fonctionnalité.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Vous disposez d’un grand nombre de comptes de service et d’autres comptes non personnels dont vous ne voulez pas dans Azure AD.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • Pour des raisons de conformité, vous ne supprimez aucun compte d’utilisateur local.For compliance reasons, you don't delete any user accounts on-premises. Vous vous contentez de les désactiver.You only disable them. Toutefois, vous souhaitez qu’Azure AD ne comporte que des comptes actifs.But in Azure AD, you only want active accounts to be present.

Cet article explique comment configurer les différents modes de filtrage.This article covers how to configure the different filtering methods.

Important

Microsoft ne prend pas en charge la modification ou l’utilisation de la synchronisation Azure AD Connect en dehors des actions qui sont documentées de façon formelle.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Ces actions peuvent entraîner un état de synchronisation Azure AD Connect incohérent ou non pris en charge. Par conséquent, Microsoft ne peut pas fournir de support technique pour ces déploiements.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Principes de base et remarques importantesBasics and important notes

Dans Azure AD Connect Sync, vous pouvez activer le filtrage à tout moment.In Azure AD Connect sync, you can enable filtering at any time. Si vous avez commencé par une configuration de synchronisation d’annuaires par défaut et configuré le filtrage, les objets éliminés par le filtrage ne sont plus synchronisés avec Azure AD.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. En raison de ce changement, tous les objets présents dans Azure AD précédemment synchronisés puis filtrés sont supprimés d’Azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Avant d’apporter des modifications au filtrage, veillez à désactiver la tâche planifiée afin de ne pas exporter accidentellement des modifications dont vous n’avez pas encore vérifié l’exactitude.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Étant donné que le filtrage peut supprimer de nombreux objets simultanément, vous devez vous assurer que les nouveaux filtres sont corrects avant de commencer à exporter des modifications vers Azure AD.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. Une fois que vous avez terminé la procédure de configuration, nous vous recommandons vivement d’exécuter les étapes de vérification avant d’exporter et d’effectuer des modifications dans Azure AD.After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Pour vous protéger contre la suppression par inadvertance de nombreux objets, la fonctionnalité « Prévention des suppressions accidentelles » est activée par défaut.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. Si vous supprimez de nombreux objets suite à un filtrage (500 par défaut), vous devez exécuter les étapes décrites dans cet article pour que les suppressions soient appliquées à Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Si vous utilisez une version antérieure à novembre 2015 (1.0.9125), que vous modifiez une configuration de filtre et que vous utilisez une synchronisation de hachage du mot de passe, vous devez déclencher une synchronisation complète de tous les mots de passe une fois la configuration terminée.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Pour plus d’informations sur le déclenchement d’une synchronisation complète des mots de passe, consultez la section Déclencher une synchronisation complète de tous les mots de passe.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Si vous utilisez la version 1.0.9125 ou une version ultérieure, l’opération standard de synchronisation complète détermine également si les mots de passe doivent être ou non synchronisés et si cette étape supplémentaire n’est plus nécessaire.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Si des objets utilisateur ont été accidentellement supprimés d’Azure AD à la suite d’une erreur de filtrage, vous pouvez recréer ces objets utilisateur dans Azure AD en supprimant vos configurations de filtrage.If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. Vous pouvez ensuite resynchroniser vos annuaires.Then you can synchronize your directories again. Cette opération restaure les utilisateurs présents dans la corbeille d’Azure AD.This action restores the users from the recycle bin in Azure AD. Toutefois, vous ne pouvez pas annuler la suppression d’autres types d’objets.However, you can't undelete other object types. Par exemple, si vous supprimez accidentellement un groupe de sécurité et que ce dernier a été utilisé comme liste de contrôle d’accès (ACL, access-control list) d’une ressource, le groupe et ses ACL ne sont pas récupérables.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

Azure AD Connect supprime uniquement les objets qu’il a précédemment considérés comme étant compris dans l’étendue.Azure AD Connect only deletes objects that it has once considered to be in scope. Si certains objets d’Azure AD ont été créés par un autre moteur de synchronisation et ne figurent pas dans l’étendue, l’ajout d’un filtrage ne les supprime pas.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Par exemple, si vous démarrez avec un serveur de synchronisation d’annuaires DirSync qui a créé une copie complète de la totalité de votre annuaire dans Azure AD, puis que vous installez un nouveau serveur de synchronisation Azure AD Connect en parallèle avec le filtrage activé dès le départ, Azure AD Connect ne supprime pas les objets supplémentaires créés par DirSync.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

Les configurations de filtrage sont conservées lorsque vous effectuez une installation ou une mise à niveau vers une version plus récente d’Azure AD Connect.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. Avant d’exécuter le premier cycle de synchronisation, il est toujours recommandé de vérifier que la configuration n’a pas été modifiée par inadvertance après une mise à niveau vers une version plus récente.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

Si vous disposez de plusieurs forêts, vous devez appliquer les configurations de filtrage décrites dans cet article à chaque forêt (à condition que vous souhaitiez attribuer la même configuration à la totalité des forêts).If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

Désactiver la tâche planifiéeDisable the scheduled task

Pour désactiver le planificateur intégré qui déclenche un cycle de synchronisation toutes les 30 minutes, procédez comme suit :To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Accédez à une invite de commandes PowerShell.Go to a PowerShell prompt.
  2. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $False pour désactiver le planificateur.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Apportez les modifications qui sont décrites dans cet article.Make the changes that are documented in this article.
  4. Exécutez Set-ADSyncScheduler -SyncCycleEnabled $True pour réactiver le planificateur.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

Si vous utilisez une version d’Azure AD Connect antérieure à 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Pour désactiver la tâche planifiée qui déclenche un cycle de synchronisation toutes les trois heures, procédez comme suit :To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. Lancez Planificateur de tâches à partir du menu Démarrer.Start Task Scheduler from the Start menu.
  2. Directement sous Bibliothèque du Planificateur de tâches, trouvez la tâche Azure AD Sync Scheduler, cliquez dessus avec le bouton droit, puis sélectionnez Désactiver.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    Planificateur de tâchesTask Scheduler
  3. Vous pouvez désormais apporter des modifications à la configuration et exécuter le moteur de synchronisation manuellement à partir de la console Synchronization Service Manager.You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

Une fois toutes vos modifications de filtrage terminées, n’oubliez pas de revenir et de réactiver la tâche en cliquant sur Activer.After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Options de filtrageFiltering options

Les types de configurations de filtrage que vous pouvez appliquer à l’outil de synchronisation d’annuaires sont les suivants :You can apply the following filtering configuration types to the directory synchronization tool:

  • Basé sur un groupe : Un filtrage basé sur un seul groupe peut être configuré seulement lors de l’installation initiale à l’aide de l’Assistant Installation.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • Basé sur un domaine : Cette option vous permet de sélectionner les domaines à synchroniser avec Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. Vous pouvez également ajouter et supprimer des domaines au niveau de la configuration du moteur de synchronisation lorsque vous apportez des modifications à votre infrastructure locale après avoir installé la synchronisation Azure AD Connect.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • Basé sur une unité d’organisation : Cette option vous permet de sélectionner les unités d’organisation à synchroniser avec Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Cette option s’applique à tous les types d’objets présents dans les unités d’organisation sélectionnées.This option is for all object types in selected OUs.
  • Basé sur un attribut : Cette option vous permet de filtrer les objets en fonction de valeurs d’attribut sur les objets.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. Vous pouvez également avoir des filtres différents pour différents types d’objets.You can also have different filters for different object types.

Vous pouvez utiliser plusieurs options de filtrage en même temps.You can use multiple filtering options at the same time. Par exemple, vous pouvez utiliser le filtrage basé sur une unité d’organisation afin de n’inclure des objets que dans une seule unité d’organisation et,For example, you can use OU-based filtering to only include objects in one OU. dans le même temps, utiliser un filtrage basé sur un attribut pour filtrer davantage les objets.At the same time, you can use attribute-based filtering to filter the objects further. Lorsque vous utilisez plusieurs méthodes de filtrage, les filtres utilisent un « AND » logique entre les filtres.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Filtrage basé sur un domaineDomain-based filtering

Cette section explique comment configurer votre filtre de domaine.This section provides you with the steps to configure your domain filter. Si vous avez ajouté ou supprimé des domaines dans votre forêt après avoir installé Azure AD Connect, vous devez également mettre à jour la configuration du filtrage.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

La meilleure façon de modifier le filtrage basé sur un domaine consiste à exécuter l’Assistant Installation et à modifier le filtrage domaine et unité organisationnelle.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. L’Assistant Installation automatise toutes les tâches qui sont décrites dans cet article.The installation wizard automates all the tasks that are documented in this topic.

Vous ne devez suivre ces étapes que si vous ne parvenez pas à exécuter l’Assistant Installation pour une raison quelconque.You should only follow these steps if you're unable to run the installation wizard for some reason.

Configuration de filtrage basé sur un domaine se compose des étapes suivantes :Domain-based filtering configuration consists of these steps:

  1. Sélectionnez les domaines que vous souhaitez inclure dans la synchronisation.Select the domains that you want to include in the synchronization.
  2. Pour chaque domaine ajouté et supprimé, ajustez les profils d'exécution.For each added and removed domain, adjust the run profiles.
  3. Appliquer et vérifier les modificationsApply and verify changes.

Sélectionner les domaines à synchroniserSelect the domains to be synchronized

Il existe 2 méthodes pour sélectionner les domaines à synchroniser :There are two ways to select the domains to be synchronized: - Utiliser le service de synchronisationUsing the Synchronization Service - Utiliser l’Assistant Azure AD ConnectUsing the Azure AD Connect wizard.

Sélectionner les domaines à synchroniser à l’aide du service de synchronisationSelect the domains to be synchronized using the Synchronization Service

Pour définir le filtre de domaine, procédez comme suit :To set the domain filter, do the following steps:

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Lancez Service de synchronisation à partir du menu Démarrer.Start Synchronization Service from the Start menu.
  3. Sélectionnez Connecteurs, puis, dans la liste Connecteurs, sélectionnez le connecteur présentant le type Services de domaine Active Directory.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. Dans Actions, sélectionnezPropriétés.In Actions, select Properties.
    Propriétés du connecteurConnector properties
  4. Cliquez sur Configurer des partitions d’annuaire.Click Configure Directory Partitions.
  5. Dans la liste Sélectionner des partitions d’annuaire , sélectionnez et désélectionnez des domaines en fonction de vos besoins.In the Select directory partitions list, select and unselect domains as needed. Vérifiez que seules les partitions que vous voulez synchroniser sont sélectionnées.Verify that only the partitions that you want to synchronize are selected.
    PartitionsPartitions
    Si vous avez modifié votre infrastructure Active Directory locale et ajouté ou supprimé des domaines dans la forêt, cliquez sur le bouton Actualiser pour obtenir une liste mise à jour.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Lorsque vous actualisez les données, des informations d’identification vous sont demandées.When you refresh, you're asked for credentials. Fournissez des informations d’identification disposant d’un accès en lecture à Windows Server Active Directory.Provide any credentials with read access to Windows Server Active Directory. Il ne s’agit pas nécessairement de l’utilisateur déjà renseigné dans la boîte de dialogue.It doesn't have to be the user that is prepopulated in the dialog box.
    Actualisation requiseRefresh needed
  6. Quand vous avez terminé, fermez la boîte de dialogue Propriétés en cliquant sur OK.When you're done, close the Properties dialog by clicking OK. Si vous avez supprimé des domaines de la forêt, un message contextuel vous indique qu’un domaine a été supprimé et que la configuration va être nettoyée.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Continuez à ajuster les profils d'exécution.Continue to adjust the run profiles.

Sélectionner les domaines à synchroniser à l’aide de l’Assistant Azure AD ConnectSelect the domains to be synchronized using the Azure AD Connect wizard

Pour définir le filtre de domaine, procédez comme suit :To set the domain filter, do the following steps:

  1. Lancez l’Assistant Azure AD Connect.Start the Azure AD Connect wizard
  2. Cliquez sur Configurer.Click Configure.
  3. Sélectionnez Personnaliser les options de synchronisation, puis cliquez sur Suivant.Select Customize Synchronization Options and click Next.
  4. Entrez vos informations d’identification Azure AD.Enter your Azure AD credentials
  5. Dans l’écran Répertoires connectés, cliquez sur Suivant.On the Connected Directories screen click Next.
  6. Dans la page Filtrage par domaine ou unité d’organisation, cliquez sur Actualiser.On the Domain and OU filtering page click Refresh. Les nouveaux domaines vont apparaître, tandis que les domaines supprimés vont disparaître.New domains ill now appear and deleted domains will disappear. PartitionsPartitions

Mettre à jour les profils d’exécutionUpdate the run profiles

Si vous avez mis à jour votre filtre de domaine, vous devez également procéder à la mise à jour des profils d’exécution.If you've updated your domain filter, you also need to update the run profiles.

  1. Dans la liste Connecteurs , assurez-vous que le connecteur que vous avez modifié à l’étape précédente est sélectionné.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. Dans Actions, sélectionnez Configurer des profils d’exécution.In Actions, select Configure Run Profiles.
    Profils d’exécution du connecteur 1Connector run profiles 1
  2. Recherchez et identifiez les profils suivants :Find and identify the following profiles:
    • Importation complèteFull Import
    • Synchronisation complèteFull Synchronization
    • Importation d’écartDelta Import
    • Synchronisation d’écartDelta Synchronization
    • ExporterExport
  3. Pour chaque profil, ajustez les domaines ajoutés et supprimés.For each profile, adjust the added and removed domains.
    1. Pour chacun des cinq profils, procédez comme suit pour chaque domaine ajouté :For each of the five profiles, do the following steps for each added domain:
      1. Sélectionnez le profil d’exécution, puis cliquez sur Nouvelle étape.Select the run profile and click New Step.
      2. Sur la page Configurer une étape, dans le menu déroulant Type, sélectionnez le type d’étape portant le même nom que le profil que vous configurez.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Cliquez ensuite sur Suivant.Then click Next.
        Profils d’exécution du connecteur 2Connector run profiles 2
      3. Sur la page Configuration du connecteur, dans le menu déroulant Partition, sélectionnez le nom du domaine que vous avez ajouté à votre filtre de domaine.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Profils d’exécution du connecteur 3Connector run profiles 3
      4. Pour fermer la boîte de dialogue Configurer un profil d’exécution, cliquez sur Terminer.To close the Configure Run Profile dialog, click Finish.
    2. Pour chacun des cinq profils, procédez comme suit pour chaque domaine supprimé :For each of the five profiles, do the following steps for each removed domain:
      1. Sélectionnez le profil d’exécution.Select the run profile.
      2. Si la valeur de l’attribut Partition est un identificateur global unique (GUID), sélectionnez l’étape d’exécution, puis cliquez sur Supprimer l’étape.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Profils d’exécution du connecteur 4Connector run profiles 4
    3. Vérifiez votre modification.Verify your change. Chaque domaine que vous souhaitez synchroniser doit normalement être répertorié en tant qu’étape dans chacun des profils d’exécution.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Pour fermer la boîte de dialogue Configurer des profils d’exécution, cliquez sur OK.To close the Configure Run Profiles dialog, click OK.
  5. Pour terminer la configuration, vous devez exécuter une importation intégrale et une synchronisation delta. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Filtrage basé sur une unité d’organisationOrganizational unit–based filtering

La meilleure façon de modifier le filtrage basé sur une unité d’organisation consiste à exécuter l’Assistant Installation et à modifier le filtrage domaine et unité organisationnelle.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. L’Assistant Installation automatise toutes les tâches qui sont décrites dans cet article.The installation wizard automates all the tasks that are documented in this topic.

Vous ne devez suivre ces étapes que si vous ne parvenez pas à exécuter l’Assistant Installation pour une raison quelconque.You should only follow these steps if you're unable to run the installation wizard for some reason.

Pour configurer le filtrage basé sur l’unité d’organisation, procédez comme suit :To configure organizational unit–based filtering, do the following steps:

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Lancez Service de synchronisation à partir du menu Démarrer.Start Synchronization Service from the Start menu.
  3. Sélectionnez Connecteurs, puis, dans la liste Connecteurs, sélectionnez le connecteur présentant le type Services de domaine Active Directory.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. Dans Actions, sélectionnezPropriétés.In Actions, select Properties.
    Propriétés du connecteurConnector properties
  4. Cliquez sur Configurer des partitions d’annuaire, sélectionnez le domaine que vous voulez configurer, puis cliquez sur Conteneurs.Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Lorsque vous y êtes invité, fournissez des informations d’identification disposant d’un accès en lecture à votre service d’annuaire Active Directory local.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Il ne s’agit pas nécessairement de l’utilisateur déjà renseigné dans la boîte de dialogue.It doesn't have to be the user that is prepopulated in the dialog box.
  6. Dans la boîte de dialogue Sélectionner des conteneurs, désactivez les unités d’organisation que vous ne voulez pas synchroniser avec l’annuaire cloud, puis cliquez sur OK.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Unités d’organisation dans la boîte de dialogue Sélectionner des conteneursOUs in the Select Containers dialog box
    • Le conteneur Ordinateurs doit être sélectionné pour vos ordinateurs Windows 10 afin de réussir la synchronisation avec Azure AD.The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Si les ordinateurs joints à un domaine sont situés dans d’autres unités d’organisation, assurez-vous que ces dernières sont sélectionnées.If your domain-joined computers are located in other OUs, make sure those are selected.
    • Le conteneur ForeignSecurityPrincipals doit être sélectionné si vous disposez de plusieurs forêts avec approbations.The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Ce conteneur permet de résoudre l’appartenance au groupe de sécurité inter-forêts.This container allows cross-forest security group membership to be resolved.
    • Si vous avez activé la fonctionnalité d’écriture différée des appareils, l’unité d’organisation RegisteredDevices doit être sélectionnée.The RegisteredDevices OU should be selected if you enabled the device writeback feature. Si vous utilisez une autre fonction d’écriture différée telle que l’écriture différée de groupe, assurez-vous que ces emplacements sont sélectionnés.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Sélectionnez une autre unité d’organisation dans laquelle les utilisateurs, iNetOrgPersons, groupes, contacts et ordinateurs sont localisés.Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. Dans l’illustration, toutes ces unités d’organisation se trouvent dans l’unité d’organisation ManagedObjects.In the picture, all these OUs are located in the ManagedObjects OU.
    • Si vous utilisez le filtrage basé sur le groupe, l’unité d’organisation où se trouve le groupe doit être incluse.If you use group-based filtering, then the OU where the group is located must be included.
    • Notez que vous pouvez spécifier si les nouvelles unités d’organisation ajoutées après la configuration du filtrage sont ou non synchronisées.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. Pour plus d'informations, consultez la section suivante.See the next section for details.
  7. Quand vous avez terminé, fermez la boîte de dialogue Propriétés en cliquant sur OK.When you're done, close the Properties dialog by clicking OK.
  8. Pour terminer la configuration, vous devez exécuter une importation intégrale et une synchronisation delta. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Synchroniser les nouvelles unités d’organisationSynchronize new OUs

Les nouvelles unités d’organisation qui sont créées après la configuration du filtrage sont synchronisées par défaut.New OUs that are created after filtering has been configured are synchronized by default. Cet état est indiqué par une case cochée.This state is indicated by a selected check box. Vous pouvez également désélectionner certaines unités d’organisation secondaires.You can also unselect some sub-OUs. Pour obtenir ce comportement, cliquez sur la case jusqu’à ce qu’elle devienne blanche avec une coche bleue (état par défaut).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Puis désélectionnez les unités d’organisation secondaires que vous ne souhaitez pas synchroniser.Then unselect any sub-OUs that you don't want to synchronize.

Si toutes les unités d’organisation secondaires sont synchronisées, la case est blanche avec une coche bleue.If all sub-OUs are synchronized, then the box is white with a blue check mark.
Unité d’organisation avec toutes les cases activées

Si certaines unités d’organisation secondaires ont été désélectionnées, la case est grise avec une coche blanche.If some sub-OUs have been unselected, then the box is gray with a white check mark.
Unité d’organisation avec des unités d’organisation secondaires désélectionnées

Avec cette configuration, une unité d’organisation qui a été créée sous ManagedObjects est synchronisée.With this configuration, a new OU that was created under ManagedObjects is synchronized.

L’Assistant d’installation d’Azure AD Connect crée toujours cette configuration.The Azure AD Connect installation wizard always creates this configuration.

Ne pas synchroniser les nouvelles unités d’organisationDon't synchronize new OUs

Vous pouvez configurer le moteur de synchronisation de façon qu’il ne synchronise pas les nouvelles unités d’organisation après la configuration du filtrage.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. Cet état est indiqué dans l’interface utilisateur par une case grise sans coche.This state is indicated in the UI by the box appearing solid gray with no check mark. Pour obtenir ce comportement, cliquez sur la case jusqu’à ce qu’elle devienne blanche sans coche.To get this behavior, click the box until it becomes white with no check mark. Puis sélectionnez les unités d’organisation secondaires que vous souhaitez synchroniser.Then select the sub-OUs that you want to synchronize.

Unité d’organisation avec la racine non sélectionnée

Avec cette configuration, une unité d’organisation qui a été créée sous ManagedObjects n’est pas synchronisée.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Filtrage par attributAttribute-based filtering

Avant d’exécuter ces étapes, vérifiez que vous utilisez la version de novembre 2015 (1.0.9125) ou une version ultérieure.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Important

Microsoft recommande de ne pas modifier les règles par défaut créés par Azure AD Connect.Microsoft recommends to not modify the default rules created by Azure AD Connect. Si vous voulez modifier la règle, clonez-la, puis désactivez la règle d’origine.If you want to modify the rule, then clone it, and disable the original rule. Apportez les modifications souhaitées à la règle clonée.Make any changes to the cloned rule. Notez qu’en procédant ainsi (désactiver la règle d’origine), vous ne bénéficiez pas des résolutions de bogues ou des fonctionnalités activées via cette règle.Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

Le filtrage basé sur un attribut est le moyen le plus simple de filtrer des objets.Attribute-based filtering is the most flexible way to filter objects. Vous pouvez exploiter les possibilités de l’approvisionnement déclaratif pour contrôler la quasi-totalité des aspects qui déterminent le moment où un objet est synchronisé avec Azure AD.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

Vous pouvez appliquer un filtrage entrant d’Active Directory vers le métaverse, et un filtrage sortant du métaverse vers Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. Nous vous recommandons d’appliquer le filtrage entrant, car il est le plus simple à gérer.We recommend that you apply inbound filtering because that is the easiest to maintain. N’utilisez le filtrage sortant que s’il est nécessaire de joindre des objets issus de forêts différentes pour que l’évaluation puisse avoir lieu.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Filtrage entrantInbound filtering

Le filtrage entrant utilise la configuration par défaut dans laquelle l’attribut métaverse cloudFiltered des objets transmis à Azure AD ne doit pas être défini sur une valeur à synchroniser.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Si cet attribut présente la valeur True, l’objet n’est pas synchronisé.If this attribute's value is set to True, then the object isn't synchronized. De par sa conception, cet attribut ne doit pas être défini sur la valeur False.It shouldn't be set to False, by design. Pour vous assurer que les autres règles peuvent apporter une valeur, cet attribut est supposé n’accepter que les valeurs True ou NULL (absent).To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

Dans le cadre du filtrage entrant, vous utilisez les possibilités de l’étendue pour déterminer les objets à synchroniser ou non.In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. C’est à ce stade que vous réalisez des ajustements en fonction des besoins particuliers de votre organisation.This is where you make adjustments to fit your own organization's requirements. Le module d’étendue dispose d’un groupe et d’une clause pour déterminer les cas dans lesquels une règle de synchronisation figure dans l’étendue.The scope module has a group and a clause to determine when a sync rule is in scope. Un groupe contient une ou plusieurs clauses.A group contains one or many clauses. Il existe un « AND » logique entre plusieurs clauses, et un « OR » logique entre plusieurs groupes.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Intéressons-nous à un exemple :Let us look at an example:
PortéeScope
Voici la lecture qu’il faut en faire (service = Informatique) OU (service = Ventes et c = US) .This should be read as (department = IT) OR (department = Sales AND c = US).

Dans les exemples et étapes ci-après, vous vous servez de l’objet utilisateur en guise d’exemple, mais vous pouvez l’utiliser pour tous les types d’objets.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

Dans les exemples suivants, la valeur de précédence commence à 50.In the following samples, the precedence value starts with 50. Il peut s’agir de n’importe quel nombre non utilisé, mais la valeur doit être inférieure à 100.This can be any number not used, but should be lower than 100.

Filtrage négatif : « ne pas synchroniser »Negative filtering: "do not sync these"

Dans l’exemple qui suit, vous excluez (ne synchronisez pas) tous les utilisateurs dont l’élément extensionAttribute15 présente la valeur NoSync.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.Start Synchronization Rules Editor from the Start menu.
  3. Assurez-vous que l’option Entrante est sélectionnée, puis cliquez sur Ajouter une nouvelle règle.Make sure Inbound is selected, and click Add New Rule.
  4. Attribuez à la règle un nom descriptif, par exemple «Entrée depuis AD – Utilisateur DoNotSyncFilter».Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Dans Type de lien, sélectionnez Jointure.In Link Type, select Join. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 50), puis cliquez sur Suivant.In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    1 description entranteInbound 1 description
  5. Dans la zone Filtre d’étendue, cliquez sur Ajouter un groupe, puis sur Ajouter une clause.In Scoping filter, click Add Group, and click Add Clause. Dans la zone Attribut, sélectionnez ExtensionAttribute15.In Attribute, select ExtensionAttribute15. Vérifiez que la zone Opérateur est définie sur EQUAL, puis tapez la valeur NoSync dans la zone Valeur.Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Cliquez sur Suivant.Click Next.
    2 étendue entranteInbound 2 scope
  6. Laissez les règles de Jointure, puis cliquez sur Suivant.Leave the Join rules empty, and then click Next.
  7. Cliquez sur Ajouter une transformation, définissez la zone Type de flux sur Constante, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible.Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. Dans la zone de texte Source, tapez True.In the Source text box, type True. Cliquez sur Ajouter pour enregistrer la règle.Click Add to save the rule.
    3 transformation entranteInbound 3 transformation
  8. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Filtrage positif : « synchroniser uniquement ces éléments »Positive filtering: "only sync these"

L’expression d’un filtrage positif peut se révéler plus complexe, car vous devez également prendre en compte des objets qui ne sont pas évidents à synchroniser, notamment les salles de conférence.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. Vous allez également remplacer le filtre par défaut dans la règle prête à l’emploi In from AD - User Join.You are also going to override the default filter in the out-of-box rule In from AD - User Join. Lorsque vous créez votre filtre personnalisé, veillez à ne pas inclure les objets système critiques, les objets de conflit de réplication, les boîtes aux lettres spéciales et les comptes de service pour Azure AD Connect.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

L’option de filtrage positif nécessite deux règles de synchronisation :The positive filtering option requires two sync rules. une (ou plusieurs) règles présentant l’étendue correcte des objets à synchroniser,You need one rule (or several) with the correct scope of objects to synchronize. ainsi qu’une deuxième règle de synchronisation fourre-tout excluant tous les objets qui n’ont pas encore été identifiés en tant qu’objets à synchroniser.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

Dans l’exemple suivant, vous synchronisez uniquement les objets utilisateur dont l’attribut « service » a pour valeur Ventes:In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.Start Synchronization Rules Editor from the Start menu.
  3. Assurez-vous que l’option Entrante est sélectionnée, puis cliquez sur Ajouter une nouvelle règle.Make sure Inbound is selected, and click Add New Rule.
  4. Attribuez à la règle un nom descriptif, par exemple «Entrée depuis AD - Sync Ventes utilisateur».Give the rule a descriptive name, such as "In from AD – User Sales sync". Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Dans Type de lien, sélectionnez Jointure.In Link Type, select Join. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 51), puis cliquez sur Suivant.In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    4 description entranteInbound 4 description
  5. Dans la zone Filtre d’étendue, cliquez sur Ajouter un groupe, puis sur Ajouter une clause.In Scoping filter, click Add Group, and click Add Clause. Dans la zone Attribut, sélectionnez department.In Attribute, select department. Vérifiez que l’opérateur est défini sur EQUAL, puis tapez la valeur Sales dans la zone Valeur.Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Cliquez sur Suivant.Click Next.
    5 étendue entranteInbound 5 scope
  6. Laissez les règles de Jointure, puis cliquez sur Suivant.Leave the Join rules empty, and then click Next.
  7. Cliquez sur Ajouter une transformation, sélectionnez la valeur Constante dans la zone Type de flux, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible.Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. Dans la zone Source, tapez False.In the Source box, type False. Cliquez sur Ajouter pour enregistrer la règle.Click Add to save the rule.
    6 transformation entranteInbound 6 transformation
    Il s’agit d’un cas particulier dans lequel vous définissez explicitement cloudFiltered sur la valeur False.This is a special case where you explicitly set cloudFiltered to False.
  8. Nous devons maintenant créer la règle de synchronisation fourre-tout.We now have to create the catch-all sync rule. Donnez à la règle un nom descriptif, par exemple «Entrée depuis Active Directory - Filtre fourre-tout utilisateur».Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Sélectionnez la forêt appropriée, puis sélectionnez Utilisateur en tant que Type d’objet système connecté, et Personne en tant que Type d’objet de métaverse.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Dans Type de lien, sélectionnez Jointure.In Link Type, select Join. Dans la zone Précédence, tapez une valeur actuellement non utilisée par une autre règle de synchronisation (par exemple, 99).In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). Vous avez sélectionné une valeur de précédence supérieure (précédence moindre) à la règle de synchronisation précédente.You've selected a precedence value that is higher (lower precedence) than the previous sync rule. Toutefois, vous avez également laissé de la place de façon à pouvoir ajouter des règles de synchronisation de filtrage par la suite si vous souhaitez procéder à la synchronisation de services supplémentaires.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Cliquez sur Suivant.Click Next.
    7 description entranteInbound 7 description
  9. Laissez l’option Filtre d’étendue vide, puis cliquez sur Suivant.Leave Scoping filter empty, and click Next. Un filtre vide indique que la règle doit être appliquée à tous les objets.An empty filter indicates that the rule is to be applied to all objects.
  10. Laissez les règles de Jointure, puis cliquez sur Suivant.Leave the Join rules empty, and then click Next.
  11. Cliquez sur Ajouter une transformation, sélectionnez la valeur Constante dans la zone Type de flux, puis sélectionnez l’attribut cloudFiltered dans la zone Attribut cible.Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. Dans la zone Source, tapez True.In the Source box, type True. Cliquez sur Ajouter pour enregistrer la règle.Click Add to save the rule.
    3 transformation entranteInbound 3 transformation
  12. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

En cas de besoin, vous pouvez créer d’autres règles du premier type avec lesquelles inclure davantage d’objets dans la synchronisation.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Filtrage sortantOutbound filtering

Dans certains cas, l’exécution du filtrage n’est requise qu’après la jonction des objets dans le métaverse.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Par exemple, pour déterminer si un objet doit être synchronisé, il peut être nécessaire d’examiner l’attribut mail à partir de la forêt de ressources et l’attribut userPrincipalName à partir de la forêt de comptes.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. Le cas échéant, vous créez le filtrage sur la règle de trafic sortant.In these cases, you create the filtering on the outbound rule.

Dans cet exemple, vous modifiez le filtrage afin que seuls les utilisateurs dont les attributs mail et userPrincipalName se terminent par @contoso.com soient synchronisés :In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Connectez-vous au serveur qui exécute Azure AD Connect Sync en utilisant un compte membre du groupe de sécurité ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Lancez Éditeur de règles de synchronisation à partir du menu Démarrer.Start Synchronization Rules Editor from the Start menu.
  3. Sous Type de règles, cliquez sur Sortant.Under Rules Type, click Outbound.
  4. Selon la version de Connect que vous utilisez, trouvez la règle nommée Out to AAD – User Join ou Out to AAD - User Join SOAInAD, puis cliquez sur Modifier.Depending on the version of Connect you use, either find the rule named Out to AAD – User Join or Out to AAD - User Join SOAInAD, and click Edit.
  5. Dans la fenêtre contextuelle, sélectionnez Oui pour créer une copie de la règle.In the pop-up, answer Yes to create a copy of the rule.
  6. Sur la page Description, redéfinissez la zone Précédence sur une valeur inutilisée, telle que 50.On the Description page, change Precedence to an unused value, such as 50.
  7. Dans la barre de navigation gauche, cliquez sur Filtre d’étendue, puis cliquez sur Ajouter une clause.Click Scoping filter on the left-hand navigation, and then click Add clause. Dans la zone Attribut, sélectionnez mail.In Attribute, select mail. Dans la zone Opérateur, sélectionnez ENDSWITH.In Operator, select ENDSWITH. Dans valeur, tapez @contoso.com, puis cliquez sur Ajouter une clause.In Value, type @contoso.com, and then click Add clause. Dans la zone Attribut, sélectionnez userPrincipalName.In Attribute, select userPrincipalName. Dans la zone Opérateur, sélectionnez ENDSWITH.In Operator, select ENDSWITH. Dans valeur, tapez @contoso.com.In Value, type @contoso.com.
  8. Cliquez sur Enregistrer.Click Save.
  9. Pour terminer la configuration, vous devez exécuter une synchronisation complète. Poursuivez votre lecture de la section Appliquer et vérifier les modifications.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Appliquer et vérifier les modificationsApply and verify changes

Une fois que vous avez modifié votre configuration, vous devez l’appliquer aux objets déjà présents dans le système.After you've made your configuration changes, you must apply them to the objects that are already present in the system. Il est également possible que des objets ne figurant pas actuellement dans le moteur de synchronisation doivent être traités (et que le moteur de synchronisation doive consulter de nouveau le système source pour en vérifier le contenu).It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Si vous avez modifié la configuration à l’aide d’un filtrage par domaine ou par unité d’organisation, vous devez procéder à une importation intégrale suivie d’une synchronisation delta.If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

Si vous avez modifié la configuration en utilisant un filtrage par attribut, vous devez exécuter une synchronisation complète.If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Procédez comme suit :Do the following steps:

  1. Lancez Service de synchronisation à partir du menu Démarrer.Start Synchronization Service from the Start menu.
  2. Sélectionnez Connecteurs.Select Connectors. Dans la liste Connecteurs, sélectionnez le connecteur dont vous avez modifié la configuration précédemment.In the Connectors list, select the Connector where you made a configuration change earlier. Dans Actions, sélectionnez Exécuter.In Actions, select Run.
    Exécution de connecteurConnector run
  3. Dans Profils d’exécution, sélectionnez l’opération mentionnée à la section précédente.In Run profiles, select the operation that was mentioned in the previous section. Si vous devez exécuter deux actions, n’exécutez la seconde qu’une fois la première terminée.If you need to run two actions, run the second after the first one has finished. (La colonne État correspondant au connecteur sélectionné présente la valeur Inactif.)(The State column is Idle for the selected connector.)

Après la synchronisation, toutes les modifications sont indexées pour l’exportation.After the synchronization, all changes are staged to be exported. Avant d’apporter les modifications dans Azure AD, il est préférable de vérifier qu’elles sont toutes correctes.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Démarrez une invite de commandes, puis accédez à %ProgramFiles%\Microsoft Azure AD Sync\bin.Start a command prompt, and go to %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Exécutez csexport "Name of Connector" %temp%\export.xml /f:x.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    Le nom du connecteur figure dans le service de synchronisation.The name of the Connector is in Synchronization Service. Le nom est similaire à « contoso.com – AAD » pour Azure AD.It has a name similar to "contoso.com – AAD" for Azure AD.
  3. Exécutez CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Vous disposez maintenant d’un fichier dans %temp% nommé export.csv qui peuvent être examiné dans Microsoft Excel.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Ce fichier contient toutes les modifications sur le point d’être exportées.This file contains all the changes that are about to be exported.
  5. Apportez les modifications nécessaires aux données ou à la configuration, puis réexécutez ces opérations (importer, synchroniser et vérifier) jusqu’à ce que les modifications sur le point d’être exportées soient conformes à vos attentes.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

Lorsque vous êtes satisfait, exportez les modifications vers Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Sélectionnez Connecteurs.Select Connectors. Dans la liste Connecteurs, sélectionnez le connecteur Azure AD.In the Connectors list, select the Azure AD Connector. Dans Actions, sélectionnez Exécuter.In Actions, select Run.
  2. Dans Profils d’exécution, sélectionnez Exporter.In Run profiles, select Export.
  3. Lorsque vos modifications de configuration suppriment de nombreux objets, une erreur d’exportation s’affiche si leur nombre est supérieur au seuil configuré (par défaut, 500).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). Le cas échéant, vous devez désactiver provisoirement la fonctionnalité « Prévention des suppressions accidentelles ».If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

À présent, il est temps de réactiver le planificateur.Now it's time to enable the scheduler again.

  1. Lancez Planificateur de tâches à partir du menu Démarrer.Start Task Scheduler from the Start menu.
  2. Directement sous Bibliothèque du Planificateur de tâches, trouvez la tâche Azure AD Sync Scheduler, cliquez dessus avec le bouton droit et sélectionnez Activer.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Filtrage de groupeGroup-based filtering

Vous pouvez configurer le filtrage basé sur un groupe la première fois que vous installez Azure AD Connect à l’aide de l’installation personnalisée.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Ce filtrage est conçu pour un déploiement pilote dans lequel vous ne souhaitez synchroniser qu’un petit ensemble d’objets.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. Lorsque vous désactivez le filtrage basé sur un groupe, vous ne pouvez plus le réactiver.When you disable group-based filtering, it can't be enabled again. L’utilisation du filtrage basé sur un groupe dans une configuration personnalisée n’est pas prise en charge.It's not supported to use group-based filtering in a custom configuration. La configuration de cette fonctionnalité n’est possible que par le biais de l’Assistant Installation.It's only supported to configure this feature by using the installation wizard. Lorsque vous avez terminé votre pilote, utilisez l’une des autres options de filtrage indiquées dans cet article.When you've completed your pilot, then use one of the other filtering options in this topic. Si vous utilisez le filtrage basé sur l’unité d’organisation avec le filtrage basé sur les groupes, l’unité d’organisation dans laquelle se trouvent les objets de groupe et de membre doit être incluse.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

Lors de la synchronisation de plusieurs forêts Active Directory, vous pouvez configurer le filtrage basé sur les groupes en spécifiant un groupe différent pour chaque connecteur Active Directory.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Si vous voulez synchroniser un utilisateur dans une forêt Active Directory, alors que cet utilisateur dispose d’un ou de plusieurs objets correspondants dans d’autres forêts Active Directory, vous devez veiller à ce que l’objet utilisateur et tous ses objets correspondants soient compris dans l’étendue du filtrage basé sur les groupes.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Exemples :For examples:

  • Vous avez un utilisateur dans une forêt qui dispose d’un objet FSP (entité de sécurité externe) correspondant dans une autre forêt.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe.Both objects must be within group-based filtering scope. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Vous avez un utilisateur dans une forêt qui dispose d’un compte de ressource correspondant (par exemple, une boîte aux lettres liée) dans une autre forêt.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. De plus, vous avez configuré Azure AD Connect pour lier l’utilisateur au compte de ressource.Further, you have configured Azure AD Connect to link the user with the resource account. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe.Both objects must be within group-based filtering scope. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Vous avez un utilisateur dans une forêt qui dispose d’un contact par e-mail correspondant dans une autre forêt.You have a user in one forest that has a corresponding mail contact in another forest. De plus, vous avez configuré Azure AD Connect pour lier l’utilisateur au contact par e-mail.Further, you have configured Azure AD Connect to link the user with the mail contact. Les deux objets doivent se trouver dans l’étendue de filtrage par groupe.Both objects must be within group-based filtering scope. Dans le cas contraire, l’utilisateur n’est pas synchronisé sur Azure AD.Otherwise, the user will not be synchronized to Azure AD.

Étapes suivantesNext steps