A Microsoft Entra Connect szinkronizálása: a szűrés konfigurálása

A szűréssel szabályozhatja, hogy mely objektumok jelenjenek meg a Microsoft Entra-azonosítóban a helyszíni címtárból. Az alapértelmezett konfiguráció a konfigurált erdők összes tartományában lévő összes objektumot átveszi. Általában ez az ajánlott konfiguráció. A Microsoft 365 számítási feladatokat, például az Exchange Online-t és Skype Vállalati verzió használó felhasználók teljes globális címlistát használhatnak, hogy e-maileket küldjenek, és mindenkit meghívhatnak. Az alapértelmezett konfigurációval ugyanazt a felhasználói élményt biztosítanák, mint az Exchange vagy a Lync helyszíni implementációjával.

Bizonyos esetekben azonban módosítania kell az alapértelmezett konfigurációt. Íme néhány példa:

• Futtat egy próbaüzemet az Azure-hoz vagy a Microsoft 365-höz, és csak a Felhasználók egy részhalmazát szeretné használni a Microsoft Entra ID-ban. A kis próbaüzemben nem fontos, hogy teljes globális címlistával rendelkezzen a funkció bemutatásához.
• Számos olyan szolgáltatásfiókja és más nem személyes fiókja van, amelyeket nem szeretne a Microsoft Entra-azonosítóban használni.
• Megfelelőségi okokból nem töröl semmilyen helyszíni felhasználói fiókot. Csak letilthatja őket. A Microsoft Entra-azonosítóban azonban csak az aktív fiókokat szeretné megjeleníteni.

Ez a cikk bemutatja, hogyan konfigurálhatja a különböző szűrési módszereket.

Fontos

A Microsoft nem támogatja a Microsoft Entra Csatlakozás Sync módosítását vagy üzemeltetését a hivatalosan dokumentált műveleteken kívül. Ezen műveletek bármelyike a Microsoft Entra Csatlakozás Sync inkonzisztens vagy nem támogatott állapotát eredményezheti. Ennek eredményeképpen a Microsoft nem tud technikai támogatást nyújtani az ilyen üzemelő példányokhoz.

Alapismeretek és fontos megjegyzések

A Microsoft Entra Csatlakozás Syncben bármikor engedélyezheti a szűrést. Ha a címtár-szinkronizálás alapértelmezett konfigurációjával kezdi, majd konfigurálja a szűrést, a szűrt objektumok már nem lesznek szinkronizálva a Microsoft Entra-azonosítóval. A módosítás miatt a Microsoft Entra ID-ban korábban szinkronizált, majd szűrt objektumok törlődnek a Microsoft Entra-azonosítóból.

Mielőtt elkezdené módosítani a szűrést, tiltsa le a beépített ütemezőt , hogy ne exportálja véletlenül azokat a módosításokat, amelyeket még nem igazolt helyesnek.

Mivel a szűrés egyszerre több objektumot is eltávolíthat, mielőtt elkezdené exportálni a Módosításokat a Microsoft Entra-azonosítóba, győződjön meg arról, hogy az új szűrők helyesek. A konfigurációs lépések elvégzése után erősen javasoljuk, hogy az exportálás előtt kövesse az ellenőrzési lépéseket , és módosítsa a Microsoft Entra-azonosítót.

A "véletlen törlés megakadályozása" funkció alapértelmezés szerint be van kapcsolva, hogy megvédje önt számos objektum véletlen törlésétől. Ha számos objektumot töröl szűrés miatt (alapértelmezés szerint 500), akkor a jelen cikkben leírt lépéseket követve engedélyezheti a törléseket a Microsoft Entra-azonosítón.

Ha 2015 novembere előtt használ buildet (1.0.9125), módosítsa a szűrőkonfigurációt, és használja a jelszókivonat-szinkronizálást, akkor a konfiguráció befejezése után aktiválnia kell az összes jelszó teljes szinkronizálását. A jelszó teljes szinkronizálásának aktiválásával kapcsolatos lépésekért tekintse meg az összes jelszó teljes szinkronizálásának aktiválását ismertető témakört. Ha az 1.0.9125-ös vagy újabb builden dolgozik, akkor a rendszeres teljes szinkronizálási művelet azt is kiszámítja, hogy szinkronizálni kell-e a jelszavakat, és ha már nincs szükség erre a további lépésre.

Ha a felhasználói objektumokat véletlenül törölték a Microsoft Entra ID-ban szűrési hiba miatt, a szűrési konfigurációk eltávolításával újra létrehozhatja a felhasználói objektumokat a Microsoft Entra-azonosítóban. Ezután ismét szinkronizálhatja a címtárakat. Ez a művelet visszaállítja a felhasználókat a Microsoft Entra ID lomtárából. Más objektumtípusokat azonban nem lehet leválasztani. Ha például véletlenül töröl egy biztonsági csoportot, és az erőforrás ACL-hez lett használva, a csoport és a hozzá tartozó ACL-ek nem állíthatók helyre.

A Microsoft Entra Csatlakozás csak azokat az objektumokat törli, amelyeket egykor hatókörnek tekintett. Ha vannak olyan objektumok a Microsoft Entra-azonosítóban, amelyeket egy másik szinkronizálási motor hozott létre, és ezek az objektumok nincsenek hatókörben, a szűrés hozzáadása nem távolítja el őket. Ha például egy olyan DirSync-kiszolgálóval kezd, amely a teljes könyvtár teljes másolatát létrehozta a Microsoft Entra ID-ban, és egy új Microsoft Entra Csatlakozás Sync-kiszolgálót telepít az elejétől kezdve engedélyezett szűréssel párhuzamosan, a Microsoft Entra Csatlakozás nem távolítja el a DirSync által létrehozott további objektumokat.

A szűrési konfiguráció megmarad a Microsoft Entra újabb verziójára való telepítéskor vagy frissítéskor Csatlakozás. Az első szinkronizálási ciklus futtatása előtt mindig ajánlott ellenőrizni, hogy a konfiguráció véletlenül nem módosult-e egy újabb verzióra való frissítés után.

Ha több erdővel rendelkezik, akkor a jelen témakörben ismertetett szűrési konfigurációkat minden erdőre alkalmaznia kell (feltéve, hogy mindegyikhez ugyanazt a konfigurációt szeretné használni).

A szinkronizálásütemező letiltása

A szinkronizálási ciklust 30 percenként aktiváló beépített ütemező letiltásához kövesse az alábbi lépéseket:

1. Nyissa meg a Windows PowerShellt, importálja az ADSync modult, és tiltsa le az ütemezőt az alábbi parancsokkal

import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

2. Végezze el a cikkben dokumentált módosításokat. Ezután engedélyezze újra az ütemezőt az alábbi paranccsal

Set-ADSyncScheduler -SyncCycleEnabled $True

Szűrési beállítások

A következő szűrési konfigurációtípusokat alkalmazhatja a címtár-szinkronizálási eszközre:

• Csoportalapú: Az egyetlen csoporton alapuló szűrés csak a kezdeti telepítéskor konfigurálható a telepítővarázslóval.
• Tartományalapú: Ezzel a beállítással kiválaszthatja, hogy mely tartományok szinkronizálódnak a Microsoft Entra-azonosítóval. Tartományokat is hozzáadhat és eltávolíthat a szinkronizálási motor konfigurációjából, ha módosítja a helyszíni infrastruktúrát a Microsoft Entra Csatlakozás Sync telepítése után.
• Szervezeti egység (szervezeti egység)–alapú: Ezzel a beállítással kiválaszthatja, hogy mely szervezeti egységek szinkronizálódnak a Microsoft Entra-azonosítóval. Ez a beállítás a kijelölt szervezeti egységekben lévő összes objektumtípushoz használható.
• Attribútumalapú: Ezzel a beállítással az objektumok attribútumértékei alapján szűrheti az objektumokat. A különböző objektumtípusokhoz különböző szűrők is tartozhatnak.

Egyszerre több szűrési lehetőséget is használhat. Szervezeti egységalapú szűrés használatával például csak egy szervezeti egységben lévő objektumokat vehet fel. Ugyanakkor attribútumalapú szűrést is használhat az objektumok további szűréséhez. Ha több szűrési módszert használ, a szűrők egy logikai "AND" értéket használnak a szűrők között.

Tartományalapú szűrés

Ez a szakasz a tartományszűrő konfigurálásához szükséges lépéseket ismerteti. Ha a Microsoft Entra Csatlakozás telepítése után tartományokat adott hozzá vagy távolított el az erdőben, a szűrési konfigurációt is frissítenie kell.

A tartományalapú szűrés módosításához futtassa a telepítővarázslót: tartomány- és szervezeti egységszűrés. A telepítővarázsló automatizálja az ebben a témakörben dokumentált összes feladatot.

Szervezeti egységalapú szűrés

A szervezeti egységalapú szűrés módosításához futtassa a telepítési varázslót: tartomány- és szervezeti egységszűrés. A telepítővarázsló automatizálja az ebben a témakörben dokumentált összes feladatot.

Fontos

Ha kifejezetten kiválaszt egy szervezeti egységet a szinkronizáláshoz, a Microsoft Entra Csatlakozás felveszi a szervezeti egység megkülönböztető nevét a tartomány szinkronizálási hatókörének felvételi listájába. Ha azonban később átnevezi ezt a szervezeti egységet az Active Directoryban, a szervezeti egység megkülönböztető neve megváltozik, ezért a Microsoft Entra Csatlakozás a továbbiakban nem veszi figyelembe ezt a szervezeti egységet a szinkronizálási hatókörben. Ez nem okoz azonnali problémát, de egy teljes importálási lépés után a Microsoft Entra Csatlakozás újraértékeli a szinkronizálási hatókört, és törli (azaz elavult) a szinkronizálási hatókörön kívüli objektumokat, ami váratlan tömeges törlést okozhat a Microsoft Entra-azonosítóban lévő objektumokból. A probléma elkerülése érdekében a szervezeti egység átnevezése után futtassa a Microsoft Entra Csatlakozás varázslót, és jelölje ki újra a szervezeti egységet, hogy ismét szerepeljen a szinkronizálási hatókörben.

Attribútumalapú szűrés

Győződjön meg arról, hogy a 2015. novemberi (1.0.9125-ös) vagy újabb buildet használja ezeknek a lépéseknek a működéséhez.

Fontos

A Microsoft azt javasolja, hogy ne módosítsa a Microsoft Entra Csatlakozás által létrehozott alapértelmezett szabályokat. Ha módosítani szeretné a szabályt, klónozza, és tiltsa le az eredeti szabályt. Módosítsa a klónozott szabályt. Vegye figyelembe, hogy ezzel (az eredeti szabály letiltásával) kihagyja az adott szabályon keresztül engedélyezett hibajavításokat vagy funkciókat.

Az attribútumalapú szűrés a legrugalmasabb módszer az objektumok szűrésére. A deklaratív kiépítés segítségével szinte minden aspektusát szabályozhatja, amikor egy objektum szinkronizálva van a Microsoft Entra-azonosítóval.

Alkalmazhat bejövő szűrést az Active Directoryból a metaversere, a kimenő szűrést pedig a metaverseről a Microsoft Entra ID-ra. Javasoljuk, hogy alkalmazza a bejövő szűrést, mert ez a legegyszerűbben karbantartható. Csak akkor használjon kimenő szűrést, ha a kiértékelés előtt több erdő objektumait is össze kell illesztenie.

Bejövő szűrés

A bejövő szűrés az alapértelmezett konfigurációt használja, ahol a Microsoft Entra ID azonosítóra irányuló objektumoknak a cloudFiltered metaverzumattribútummal kell rendelkezniük, amely nem szinkronizálandó értékre van beállítva. Ha az attribútum értéke Igaz értékre van állítva, akkor az objektum nincs szinkronizálva. Nem szabad hamis értékre állítani, terv szerint. Annak érdekében, hogy más szabályok is hozzá tudjanak adni egy értéket, ennek az attribútumnak csak a True vagy a NULL (hiányzó) értékekkel kell rendelkeznie.

Fontos megjegyezni, hogy a Microsoft Entra Connect azon objektumok törlésére lett tervezve, amelyek Microsoft Entra ID-beli kiépítése is a feladata volt. Ha korábban nem a rendszer építette ki az objektumot a Microsoft Entra ID-ban, viszont egy importálási lépés során kapja meg a Microsoft Entra-objektumot, akkor helyesen feltételezi, hogy ezt az objektumot egy másik rendszer hozta létre a Microsoft Entra ID-ban. A Microsoft Entra Csatlakozás nem törli az ilyen típusú Microsoft Entra-objektumokat, még akkor sem, ha a metaverzum attribútum cloudFilteredértéke Igaz.

A bejövő szűrés során a hatókör segítségével meghatározhatja, hogy mely objektumokat szinkronizálja vagy ne szinkronizálja. Itt végezhet módosításokat a saját szervezet követelményeinek megfelelően. A hatókörmodul tartalmaz egy csoportot és egy záradékot , amely meghatározza, hogy egy szinkronizálási szabály mikor szerepel a hatókörben. Egy csoport egy vagy több záradékot tartalmaz. Több záradék között logikai "AND" és logikai "OR" van több csoport között.

Tekintsünk meg egy példát:

Ezt (részleg = IT) VAGY (részleg = Sales AND c = US) kell olvasni.

Az alábbi mintákban és lépésekben a felhasználói objektumot használja példaként, de ezt minden objektumtípushoz használhatja.

Az alábbi mintákban az elsőbbségi érték 50-zel kezdődik. Ez bármilyen szám lehet, amely nem használható, de 100-nál kisebbnek kell lennie.

Negatív szűrés: "ezeket ne szinkronizálja"

A következő példában kiszűri (nem szinkronizálja) azokat a felhasználókat, ahol az extensionAttribute15 értéke NoSync.

1. Jelentkezzen be a Microsoft Entra Csatlakozás Syncet futtató kiszolgálóra egy olyan fiókkal, amely az ADSync Rendszergazda s biztonsági csoport tagja.
2. Indítsa el a Szinkronizálási szabályok szerkesztőt a Start menüből.
3. Győződjön meg arról, hogy a bejövő forgalom ki van jelölve, és kattintson az Új szabály hozzáadása elemre.
4. Adjon egy leíró nevet a szabálynak, például :"In from AD – User DoNotSyncFilter". Jelölje ki a megfelelő erdőt, válassza a Felhasználót CS-objektumtípusként, és válassza a Személy lehetőséget MV objektumtípusként. A Hivatkozás típusa területen válassza a Csatlakozás lehetőséget. Az Elsőbbség mezőben írjon be egy olyan értéket, amelyet egy másik szinkronizálási szabály jelenleg nem használ (például 50), majd kattintson a Tovább gombra.
   
5. A Hatókörszűrőben kattintson a Csoport hozzáadása elemre, majd a Záradék hozzáadása parancsra. Az Attribútum területen válassza az ExtensionAttribute15 lehetőséget. Győződjön meg arról, hogy az Operátor ÉRTÉKE EGYENLŐSÉG, és írja be a NoSync értéket az Érték mezőbe. Kattintson a Tovább gombra.
   
6. Hagyja üresen az Illesztés szabályokat, majd kattintson a Tovább gombra.
7. Kattintson az Átalakítás hozzáadása gombra, válassza a FlowType állandóként, majd a CloudFiltered lehetőséget célattribútumként. A Forrás szövegmezőbe írja be a True (Igaz) szöveget. A szabály mentéséhez kattintson a Hozzáadás gombra.
   
8. A konfiguráció befejezéséhez teljes szinkronizálást kell futtatnia. Folytassa az Alkalmazás és a módosítások ellenőrzése című szakasz olvasását.

Pozitív szűrés: "csak ezeket szinkronizálja"

A pozitív szűrés kifejezése nagyobb kihívást jelenthet, mivel olyan objektumokat is figyelembe kell vennie, amelyek nem egyértelműek a szinkronizáláshoz, például konferenciatermek. Felül fogja bírálni az alapértelmezett szűrőt is az AD - User Join mezőn kívüli szabályban. Az egyéni szűrő létrehozásakor ügyeljen arra, hogy ne tartalmazzon kritikus rendszerobjektumokat, replikációs ütközési objektumokat, speciális postaládákat és a Microsoft Entra Csatlakozás szolgáltatásfiókjait.

A pozitív szűrési beállításhoz két szinkronizálási szabály szükséges. Egy szabályra (vagy többre) van szükség, amely a szinkronizálandó objektumok megfelelő hatókörét használja. Szüksége van egy második catch-all szinkronizálási szabályra is, amely kiszűri az összes olyan objektumot, amelyet még nem azonosítottak szinkronizálandó objektumként.

Az alábbi példában csak azokat a felhasználói objektumokat szinkronizálja, ahol a részleg attribútuma a Sales értéket tartalmazza.

1. Jelentkezzen be a Microsoft Entra Csatlakozás Syncet futtató kiszolgálóra egy olyan fiókkal, amely az ADSync Rendszergazda s biztonsági csoport tagja.
2. Indítsa el a Szinkronizálási szabályok szerkesztőt a Start menüből.
3. Győződjön meg arról, hogy a bejövő forgalom ki van jelölve, és kattintson az Új szabály hozzáadása elemre.
4. Adjon a szabálynak egy leíró nevet, például :"In from AD – User Sales sync". Jelölje ki a megfelelő erdőt, válassza a Felhasználót CS-objektumtípusként, és válassza a Személy lehetőséget MV objektumtípusként. A Hivatkozás típusa területen válassza a Csatlakozás lehetőséget. Az Elsőbbség mezőben írjon be egy olyan értéket, amelyet egy másik szinkronizálási szabály jelenleg nem használ (például 51), majd kattintson a Tovább gombra.
   
5. A Hatókörszűrőben kattintson a Csoport hozzáadása elemre, majd a Záradék hozzáadása parancsra. Az Attribútum területen válassza ki a részleget. Győződjön meg arról, hogy az Operátor értéke EGYENLŐSÉG, és írja be az Értékesítés értéket az Érték mezőbe. Kattintson a Tovább gombra.
   
6. Hagyja üresen az Illesztés szabályokat, majd kattintson a Tovább gombra.
7. Kattintson az Átalakítás hozzáadása gombra, válassza az Állandó lehetőséget FlowType-ként, és válassza ki a cloudFiltered elemet célattribútumként. A Forrás mezőbe írja be a False (Hamis) kifejezést. A szabály mentéséhez kattintson a Hozzáadás gombra.
   
   Ez egy speciális eset, amelyben a cloudFiltered értéket kifejezetten False értékre állítja.
8. Most létre kell hoznunk a catch-all szinkronizálási szabályt. Adjon a szabálynak egy leíró nevet, például "In from AD – User Catch-all filter". Jelölje ki a megfelelő erdőt, válassza a Felhasználót CS-objektumtípusként, és válassza a Személy lehetőséget MV objektumtípusként. A Hivatkozás típusa területen válassza a Csatlakozás lehetőséget. Az Elsőbbség mezőben írjon be egy olyan értéket, amelyet egy másik szinkronizálási szabály jelenleg nem használ (például 99). Az előző szinkronizálási szabálynál magasabb (alacsonyabb) elsőbbségi értéket választott. De hagyott egy kis helyet is, hogy később további szűrési szinkronizálási szabályokat adjon hozzá, amikor további részlegeket szeretne szinkronizálni. Kattintson a Tovább gombra.
   
9. Hagyja üresen a hatókörszűrőt, és kattintson a Tovább gombra. Az üres szűrő azt jelzi, hogy a szabályt minden objektumra alkalmazni kell.
10. Hagyja üresen az Illesztés szabályokat, majd kattintson a Tovább gombra.
11. Kattintson az Átalakítás hozzáadása elemre, válassza az Állandót FlowTypeként, és válassza a cloudFiltered lehetőséget célattribútumként. A Forrás mezőbe írja be a True (Igaz) értéket. A szabály mentéséhez kattintson a Hozzáadás gombra.
    
12. A konfiguráció befejezéséhez teljes szinkronizálást kell futtatnia. Folytassa az Alkalmazás és a módosítások ellenőrzése című szakasz olvasását.

Szükség esetén létrehozhat további szabályokat az első típusból, ahol több objektumot is felvehet a szinkronizálásba.

Kimenő szűrés

Bizonyos esetekben a szűrést csak azután kell elvégezni, hogy az objektumok csatlakoztak a metaverzumhoz. Előfordulhat például, hogy meg kell vizsgálni az erőforráserdő levelezési attribútumát és a fiókerdő userPrincipalName attribútumát annak megállapításához, hogy szinkronizálni kell-e egy objektumot. Ezekben az esetekben a kifelé irányuló szabályon hozza létre a szűrést.

Ebben a példában @contoso.com úgy módosítja a szűrést, hogy csak azokat a felhasználókat szinkronizálja a rendszer, akiknek a levelezése és a userPrincipalName végződése is van:

1. Jelentkezzen be a Microsoft Entra Csatlakozás Syncet futtató kiszolgálóra egy olyan fiókkal, amely az ADSync Rendszergazda s biztonsági csoport tagja.
2. Indítsa el a Szinkronizálási szabályok szerkesztőt a Start menüből.
3. A Szabályok típusa csoportban kattintson a Kimenő gombra.
4. A használt Csatlakozás verziójától függően keresse meg a Ki a Microsoft Entra-azonosítóra – Felhasználói csatlakozás vagy a Microsoft Entra-azonosítóra való kiléptetés – Felhasználói csatlakozás SOAInAD nevű szabályt, és kattintson a Szerkesztés gombra.
5. Az előugró ablakban válassza az Igen választ a szabály másolatának létrehozásához.
6. A Leírás lapon módosítsa az Elsőbbség értékét egy nem használt értékre, például 50-re.
7. A bal oldali navigációs sávon kattintson a Hatókörszűrő elemre, majd a Záradék hozzáadása parancsra. Az Attribútum területen válassza a Levelezés lehetőséget. Az Operátor területen válassza a ENDSWITH lehetőséget. Az Érték mezőbe írja be a @contoso.com kifejezést, majd kattintson a Záradék hozzáadása parancsra. Az Attribútum területen válassza a userPrincipalName lehetőséget. Az Operátor területen válassza a ENDSWITH lehetőséget. Az Érték mezőbe írja be a @contoso.com.
8. Kattintson a Mentés gombra.
9. A konfiguráció befejezéséhez teljes szinkronizálást kell futtatnia. Folytassa az Alkalmazás és a módosítások ellenőrzése című szakasz olvasását.

Módosítások alkalmazása és ellenőrzése

Miután végrehajtotta a konfigurációs módosításokat, alkalmaznia kell őket a rendszerben már meglévő objektumokra. Az is előfordulhat, hogy a szinkronizálási motorban jelenleg nem szereplő objektumokat fel kell dolgozni (és a szinkronizálási motornak újra be kell olvasnia a forrásrendszert a tartalmának ellenőrzéséhez).

Ha tartomány- vagy szervezeti egységszűréssel módosította a konfigurációt, akkor teljes importálást kell végrehajtania, amelyet a Delta szinkronizálása követ.

Ha attribútumszűréssel módosította a konfigurációt, teljes szinkronizálást kell végeznie.

Hajtsa végre a következő lépéseket:

1. Indítsa el a Szinkronizálási szolgáltatást a Start menüből.
2. Válassza ki a Csatlakozás orokat. A Csatlakozás orok listájában válassza ki azt a Csatlakozás ort, ahol korábban módosította a konfigurációt. A Műveletek területen válassza a Futtatás lehetőséget.
   
3. A Futtatási profilokban válassza ki az előző szakaszban említett műveletet. Ha két műveletet kell futtatnia, futtassa a másodikat az első után. (A Az állapotoszlop tétlena kijelölt összekötőhöz.)

A szinkronizálás után az összes módosítást exportálni kell. Mielőtt ténylegesen elvégezené a módosításokat a Microsoft Entra-azonosítóban, ellenőriznie kell, hogy ezek a módosítások helyesek-e.

1. Indítsa el a parancssort, és lépjen a következőre %ProgramFiles%\Microsoft Azure AD Sync\bin: .
2. Run csexport "Name of Connector" %temp%\export.xml /f:x.
   A Csatlakozás or neve a Szinkronizálási szolgáltatásban található. Neve hasonló a Microsoft Entra ID "contoso.com – Microsoft Entra ID" nevéhez.
3. Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. Most már rendelkezik egy %temp% nevű export.csv fájllal, amely a Microsoft Excelben vizsgálható. Ez a fájl tartalmazza az exportálni kívánt összes módosítást.
5. Végezze el a szükséges módosításokat az adatokon vagy a konfiguráción, és futtassa újra ezeket a lépéseket (importálás, szinkronizálás és ellenőrzés), amíg az exportálni kívánt módosítások nem lesznek a vártak.

Ha elégedett, exportálja a módosításokat a Microsoft Entra-azonosítóba.

1. Válassza ki a Csatlakozás orokat. A Csatlakozás orok listájában válassza ki a Microsoft Entra Csatlakozás ort. A Műveletek területen válassza a Futtatás lehetőséget.
2. A Futtatási profilok területen válassza az Exportálás lehetőséget.
3. Ha a konfigurációmódosítások számos objektumot törölnek, akkor hibaüzenet jelenik meg az exportálásban, ha a szám meghaladja a konfigurált küszöbértéket (alapértelmezés szerint 500). Ha ezt a hibát látja, ideiglenesen le kell tiltania a "véletlen törlés megakadályozása" funkciót.

Most itt az ideje, hogy újra engedélyezze az ütemezőt.

1. Indítsa el a Feladatütemezőt a Start menüből.
2. Közvetlenül a Feladatütemezőtár területen keresse meg a Azure AD-szinkronizáló Ütemező nevű feladatot, kattintson a jobb gombbal, és válassza az Engedélyezés lehetőséget.

Csoportalapú szűrés

Egyéni telepítéssel konfigurálhatja a csoportalapú szűrést a Microsoft Entra Csatlakozás első telepítésekor. Olyan próbatelepítéshez készült, ahol csak egy kis objektumkészletet szeretne szinkronizálni. Ha letiltja a csoportalapú szűrést, az nem engedélyezhető újra. Egyéni konfigurációban nem használható csoportalapú szűrés. Ezt a funkciót csak a telepítővarázslóval lehet konfigurálni. Ha befejezte a próbaüzemet, használja a jelen témakör többi szűrési lehetőségének egyikét. Ha szervezeti egységalapú szűrést használ a csoportalapú szűréssel együtt, azokat a szervezeti egységeket kell tartalmaznia, ahol a csoport és tagjai találhatók.

Több AD-erdő szinkronizálása esetén konfigurálhatja a csoportalapú szűrést úgy, hogy minden AD-összekötőhöz egy másik csoportot ad meg. Ha egy felhasználót egy AD-erdőben szeretne szinkronizálni, és ugyanaz a felhasználó egy vagy több kapcsolódó objektummal rendelkezik a többi AD-erdőben, győződjön meg arról, hogy a felhasználói objektum és annak összes kapcsolódó objektuma csoportalapú szűrési hatókörön belül van. Példák:

• Van egy felhasználója az egyik erdőben, amelynek egy megfelelő FSP (Foreign Security Principal) objektuma van egy másik erdőben. Mindkét objektumnak csoportalapú szűrési hatókörön belül kell lennie. Ellenkező esetben a rendszer nem szinkronizálja a felhasználót a Microsoft Entra-azonosítóval.

• Az egyik erdőben van egy felhasználó, akinek van egy megfelelő erőforrásfiókja (például csatolt postaláda) egy másik erdőben. Emellett úgy konfigurálta a Microsoft Entra Csatlakozás, hogy összekapcsolja a felhasználót az erőforrásfiókkal. Mindkét objektumnak csoportalapú szűrési hatókörön belül kell lennie. Ellenkező esetben a rendszer nem szinkronizálja a felhasználót a Microsoft Entra-azonosítóval.

• Van egy felhasználója az egyik erdőben, akinek van egy levelezőkapcsolata egy másik erdőben. Emellett konfigurálta a Microsoft Entra Csatlakozás, hogy összekapcsolja a felhasználót a levelezési partnerrel. Mindkét objektumnak csoportalapú szűrési hatókörön belül kell lennie. Ellenkező esetben a rendszer nem szinkronizálja a felhasználót a Microsoft Entra-azonosítóval.

További lépések

• További információ a Microsoft Entra Csatlakozás Sync konfigurációjáról.
• További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.