Servizio di sincronizzazione Azure AD Connect: come apportare modifiche alla configurazione predefinitaAzure AD Connect sync: How to make a change to the default configuration

Questo argomento illustra in dettaglio come apportare modifiche alla configurazione predefinita nel servizio di sincronizzazione Azure AD Connect. Include i passaggi per alcuni scenari comuni.The purpose of this topic is to walk you through how to make changes to the default configuration in Azure AD Connect sync. It provides steps for some common scenarios. Con queste informazioni si potranno apportare alcune semplici modifiche alla propria configurazione in base alle regole di business.With this knowledge, you should be able to make some simple changes to your own configuration based on your own business rules.

Editor regole di sincronizzazioneSynchronization Rules Editor

L'editor delle regole di sincronizzazione viene usato per visualizzare e modificare la configurazione predefinita.The Synchronization Rules Editor is used to see and change the default configuration. È disponibile nel menu Start nel gruppo Azure AD Connect .You can find it in the Start Menu under the Azure AD Connect group.
Menu Start con l'editor delle regole di sincronizzazioneStart Menu with Sync Rule Editor

Quando lo si apre, vengono visualizzate le regole predefinite.When you open it, you see the default out-of-box rules.

Editor delle regole di sincronizzazione

Gli elenchi a discesa nella parte superiore dell'editor consentono di trovare rapidamente una regola particolare.The drop-downs at the top of the editor allow you to quickly find a particular rule. Ad esempio, se si vogliono visualizzare le regole in cui è incluso l'attributo proxyAddresses, modificare gli elenchi a discesa come indicato di seguito: For example, if you want to see the rules where the attribute proxyAddresses is included, you would change the drop-downs to the following:
Filtro nell'editor delle regole di sincronizzazioneSRE filtering
Per reimpostare il filtro e caricare una nuova configurazione, premere F5 sulla tastiera.To reset filtering and load a fresh configuration, press F5 on the keyboard.

In alto a destra è presente il pulsante Add new Rule(Aggiungi nuova regola).To the top right, you have a button Add new rule. Questo pulsante viene usato per creare la regola personalizzata.This button is used to create your own custom rule.

Nella parte inferiore sono presenti i pulsanti per eseguire operazioni su una regola di sincronizzazione selezionata.At the bottom, you have buttons for acting on a selected sync rule. I pulsanti Edit (Modifica) e Delete (Elimina) eseguono le operazioni previste.Edit and Delete do what you expect them to. Export (Esporta) genera uno script di PowerShell per ricreare la regola di sincronizzazione.Export produces a PowerShell script for recreating the sync rule. Questa procedura consente di spostare una regola di sincronizzazione da un server a un altro.This procedure allows you to move a sync rule from one server to another.

Creare la prima regola personalizzataCreate your first custom rule

La modifica più comune riguarda i flussi degli attributi.The most common change is changes to the attribute flows. I dati nella directory di origine potrebbero non corrispondere a quelli in Azure AD.The data in your source directory might not be as in Azure AD. Nell'esempio in questa sezione si vuole assicurare che formato il nome di un utente sia sempre nel formato corretto.In the example in this section, you want to make sure the given name of a user is always in Proper case.

Disabilitare l'utilità di pianificazioneDisable the scheduler

Per impostazione predefinita, l' utilità di pianificazione viene eseguita ogni 30 minuti.The scheduler runs every 30 minutes by default. Si vuole garantire che non venga avviata mentre si apportano modifiche e si risolvono i problemi delle nuove regole.You want to make sure it is not starting while you are making changes and troubleshoot your new rules. Per disabilitare temporaneamente l'utilità di pianificazione, avviare PowerShell ed eseguire Set-ADSyncScheduler -SyncCycleEnabled $falseTo temporarily disable the scheduler, start PowerShell, and run Set-ADSyncScheduler -SyncCycleEnabled $false

Disabilitare l'utilità di pianificazione

Creare la regolaCreate the rule

  1. Fare clic su Add new rule(Aggiungi nuova regola).Click Add new rule.
  2. Nella pagina Description (Descrizione) immettere le informazioni seguenti:On the Description page enter the following:
    Filtro delle regole in ingressoInbound rule filtering
    • Name: (Nome) assegnare alla regola un nome descrittivo.Name: Give the rule a descriptive name.
    • Description: (Descrizione) alcuni chiarimenti che permettono a un altro utente può comprendere la funzione della regola.Description: Some clarification so someone else can understand what the rule is for.
    • Connected system: (Sistema connesso) sistema in cui è possibile trovare l'oggetto.Connected system: The system the object can be found in. In questo caso viene selezionato Active Directory Connector.In this case, select the Active Directory Connector.
    • Connected System/Metaverse Object Type: (Tipo di oggetto sistema connesso/Tipo di oggetto metaverse) selezionare rispettivamente User (Utente) e Person (Persona).Connected System/Metaverse Object Type: Select User and Person respectively.
    • Link Type: (Tipo di collegamento) modificare questo valore in Join(Unisci).Link Type: Change this value to Join.
    • Precedence: (Precedenza) fornire un valore univoco nel sistema.Precedence: Provide a value that is unique in the system. Un valore numerico inferiore indica una precedenza maggiore.A lower numeric value indicates higher precedence.
    • Tag: lasciare vuoto.Tag: Leave empty. È necessario popolare questa casella con un valore solo per le regole predefinite di Microsoft.Only out-of-box rules from Microsoft should have this box populated with a value.
  3. Nella pagina Scoping filter (Filtro di ambito) immettere givenName ISNOTNULL.On the Scoping filter page, enter givenName ISNOTNULL.
    Filtro dell'ambito per le regole in ingressoInbound rule scoping filter
    Questa sezione viene usata per definire gli oggetti a cui dovrà essere applicata la regola.This section is used to define which objects the rule should apply to. Se lasciata vuota, la regola verrà applicata a tutti gli oggetti utente,If left empty, the rule would apply to all user objects. ma includerà sale riunioni, account del servizio e altri oggetti utente non di persone.But that would include conference rooms, service accounts, and other non-people user objects.
  4. Lasciare vuoto il campo in Join rules(Regole di unione).On the Join rules, leave it empty.
  5. Nella pagina Transformations (Trasformazioni) modificare FlowType in Expression (Espressione).On the Transformations page, change the FlowType to Expression. Per Target Attribute (Attributo di destinazione) selezionare givenName e in Source (Origine) immettere PCase([givenName]).Select the Target Attribute givenName, and in Source enter PCase([givenName]). Trasformazioni di regole in ingressoInbound rule transformations
    Il motore di sincronizzazione fa distinzione tra maiuscole e minuscole sia nel nome della funzione che nel nome dell'attributo.The sync engine is case-sensitive both on the function name and the name of the attribute. Nel caso di un errore di digitazione, viene visualizzato un avviso quando si aggiunge la regola.If you type something wrong, you see a warning when you add the rule. L'editor consente di salvare e continuare, quindi si dovrà riaprire la regola e correggerla.The editor allows you to save and continue, so you would have to reopen the rule and correct the rule.
  6. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.

La nuova regola personalizzata sarà visibile insieme alle altre regole di sincronizzazione nel sistema.Your new custom rule should be visible with the other sync rules in the system.

Verificare la modificaVerify the change

Con questa nuova modifica si vuole verificare che funzioni come previsto e non generi errori.With this new change, you want to make sure it is working as expected and is not throwing any errors. A seconda del numero di oggetti disponibili, esistono due modi diversi per eseguire questo passaggio.Depending on the number of objects you have, there are two different ways to do this step.

  1. Eseguire una sincronizzazione completa in tutti gli oggettiRun a full sync on all objects
  2. Eseguire un'anteprima e una sincronizzazione completa in un singolo oggettoRun a preview and full sync on a single object

Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.Start Synchronization Service from the start menu. I passaggi in questa sezione fanno tutti parte di questo strumento.The steps in this section are all in this tool.

  1. Sincronizzazione completa in tutti gli oggettiFull sync on all objects
    Selezionare Connectors (Connettori) nella parte superiore.Select Connectors at the top. Identificare il connettore modificato nella sezione precedente, in questo caso Servizi di dominio Active Directory, e selezionarlo.Identify the Connector you made a change to in the previous section, in this case the Active Directory Domain Services, and select it. Selezionare Run (Esegui) in Actions (Azioni), selezionare Full Synchronization (Sincronizzazione completa) e quindi fare clic su OK.Select Run from Actions and select Full Synchronization and OK. Sincronizzazione completaFull sync
    Gli oggetti vengono aggiornati nel metaverse.The objects are now updated in the metaverse. Ora si vuole esaminare l'oggetto nel metaverse.You now want to look at the object in the metaverse.
  2. Anteprima e sincronizzazione completa in un singolo oggettoPreview and full sync on a single object
    Selezionare Connectors (Connettori) nella parte superiore.Select Connectors at the top. Identificare il connettore modificato nella sezione precedente, in questo caso Servizi di dominio Active Directory, e selezionarlo.Identify the Connector you made a change to in the previous section, in this case the Active Directory Domain Services, and select it. Selezionare Search Connector Space(Cerca spazio connettore).Select Search Connector Space. Usare l'ambito per trovare un oggetto che si vuole usare per testare la modifica.Use scope to find an object you want to use to test the change. Selezionare l'oggetto e fare clic su Preview(Anteprima).Select the object and click Preview. Nella nuova schermata selezionare Commit Preview(Anteprima commit).In the new screen, select Commit Preview.
    Commit previewCommit preview
    Viene eseguito il commit della modifica nel metaverse.The change is now committed to the metaverse.

Esaminare l'oggetto nel metaverseLook at the object in the metaverse
Si vogliono selezionare alcuni oggetti di esempio per assicurarsi che il valore sia previsto e la regola applicata.You now want to pick a few sample objects to make sure the value is expected and that the rule applied. Selezionare Metaverse Search (Ricerca metaverse) nella parte superiore.Select Metaverse Search from the top. Aggiungere il filtro necessario per trovare gli oggetti pertinenti.Add any filter you need to find the relevant objects. Dai risultati della ricerca aprire un oggetto.From the search result, open an object. Esaminare i valori dell'attributo e verificare anche che nella colonna Sync Rules (Regole di sincronizzazione) la regola sia applicata come previsto.Look at the attribute values and also verify in the Sync Rules column that the rule applied as expected.
Metaverse searchMetaverse search

Abilitare l'utilità di pianificazioneEnable the scheduler

Se è tutto come previsto, è possibile abilitare di nuovo l'utilità di pianificazione.If everything is as expected, you can enable the scheduler again. In PowerShell eseguire Set-ADSyncScheduler -SyncCycleEnabled $true.From PowerShell, run Set-ADSyncScheduler -SyncCycleEnabled $true.

Altre modifiche comuni del flusso dell'attributoOther common attribute flow changes

La sezione precedente descrive come apportare modifiche a un flusso dell'attributo.The previous section described how to make changes to an attribute flow. In questa sezione vengono forniti alcuni esempi aggiuntivi.In this section, some additional examples are provided. La procedura per creare la regola di sincronizzazione è abbreviata, ma è possibile trovare quella completa nella sezione precedente.The steps for how to create the sync rule is abbreviated, but you can find the full steps in the previous section.

Usare un attributo diverso da quello predefinitoUse another attribute than the default

In Fabrikam è disponibile una foresta in cui viene usato l'alfabeto locale per nome, cognome e nome visualizzato.At Fabrikam, there is a forest where the local alphabet is used for given name, surname, and display name. La rappresentazione in caratteri latini di questi attributi è disponibile negli attributi dell'estensione.The Latin character representation of these attributes can be found in the extension attributes. Quando viene compilato l'elenco indirizzi globale in Azure AD e Office 365, l'organizzazione vuole invece usare questi attributi.When building the global address list in Azure AD and Office 365, the organization wants these attributes to be used instead.

Con una configurazione predefinita, un oggetto della foresta locale avrà un aspetto simile al seguente: With a default configuration, an object from the local forest looks like this:
Flusso dell'attributo 1

Per creare una regola con altri flussi di attributi, eseguire queste operazioni:To create a rule with other attribute flows, do the following:

  • Avviare l' editor delle regole di sincronizzazione dal menu Start.Start Synchronization Rule Editor from the start menu.
  • Con la voce Inbound (In ingresso) ancora selezionata a sinistra, fare clic sul pulsante Add new rule (Aggiungi nuova regola).With Inbound still selected to the left, click the button Add new rule.
  • Assegnare alla regola un nome e una descrizione.Give the rule a name and description. Selezionare la directory Active Directory locale e i tipi di oggetto pertinenti.Select the on-premises Active Directory and the relevant object types. In Link Type (Tipo di collegamento) selezionare Join (Unisci).In Link Type, select Join. Per la precedenza scegliere un numero non usato da un'altra regola.For precedence, pick a number that is not used by another rule. Le regole predefinite iniziano con 100, quindi in questo esempio si può usare il valore 50.The out-of-box rules start with 100, so the value 50 can be used in this example. Flusso dell'attributo 2Attribute flow 2
  • Lasciare vuoto l'ambito, perché deve essere applicato a tutti gli oggetti utente della foresta.Leave scope empty (that is, should apply to all user objects in the forest).
  • Lasciare vuote le regole di unione, per consentire alla regola predefinita di gestire tutte le unioni.Leave join rules empty (that is, let the out-of-box rule handle any joins).
  • In Transformations (Trasformazioni) creare i flussi seguenti:In Transformations, create the following flows:
    Flusso dell'attributo 3
  • Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.
  • Passare a Synchronization Service Manager.Go to Synchronization Service Manager. In Connectors(Connettori) selezionare il connettore in cui è stata aggiunta la regola.On Connectors, select the Connector where we added the rule. Selezionare Run (Esegui) e Full Synchronization (Sincronizzazione completa).Select Run, and Full Synchronization. Una sincronizzazione completa ricalcola tutti gli oggetti usando le regole correnti.A Full Synchronization recalculates all objects using the current rules.

Di seguito è riportato il risultato per lo stesso oggetto con questa regola personalizzata: This is the result for the same object with this custom rule:
Flusso dell'attributo 4

Lunghezza degli attributiLength of attributes

Per impostazione predefinita, gli attributi di stringa sono configurati come indicizzabili e la lunghezza massima è di 448 caratteri.String attributes are by default set to be indexable and the maximum length is 448 characters. Se si utilizzano attributi di stringa che potrebbero contenere più caratteri, assicurarsi di includere il codice seguente nel flusso di attributi: If you are working with string attributes that might contain more, then make sure to include the following in the attribute flow:
attributeName <- Left([attributeName],448)

Modifica di userPrincipalSuffixChanging the userPrincipalSuffix

L'attributo userPrincipalName in Active Directory non è sempre noto agli utenti e potrebbe non essere adatto come ID di accesso.The userPrincipalName attribute in Active Directory is not always known by the users and might not be suitable as the sign-in ID. L'installazione guidata del servizio di sincronizzazione Azure AD Connect consente di scegliere un attributo diverso, ad esempio mail.The Azure AD Connect sync installation wizard allows picking a different attribute, for example mail. In alcuni casi è però necessario calcolare l'attributo.But in some cases the attribute must be calculated. Ad esempio, Contoso ha due directory di Azure AD, una per la produzione e una per i test.For example, the company Contoso has two Azure AD directories, one for production and one for testing. L'azienda vuole che gli utenti del tenant di test usino un altro suffisso nell'ID di accesso.They want the users in their test tenant to use another suffix in the sign-in ID.
userPrincipalName <- Word([userPrincipalName],1,"@") & "@contosotest.com"

In questa espressione selezionare tutti gli elementi che si trovano a sinistra del primo carattere @-sign (Word) e concatenarli con una stringa fissa.In this expression, take everything left of the first @-sign (Word) and concatenate with a fixed string.

Convertire un multivalore in un valore singoloConvert a multi-value to a single-value

Alcuni attributi in Active Directory sono di tipo multivalore nello schema, anche se compaiono come valore singolo in Utenti e computer di Active Directory,Some attributes in Active Directory are multi-valued in the schema even though they look single valued in Active Directory Users and Computers. ad esempio l'attributo description.An example is the description attribute.
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448))

Se in questa espressione l'attributo ha un valore, selezionare il primo elemento (Item) dell'attributo, rimuovere gli spazi iniziali e finali (Trim) e mantenere i primi 448 caratteri (Left) della stringa.In this expression in case the attribute has a value, take the first item (Item) in the attribute, remove leading and trailing spaces (Trim), and then keep the first 448 characters (Left) in the string.

Non trasmettere un attributoDo not flow an attribute

Per informazioni generali sullo scenario per questa sezione, vedere Controllare il processo del flusso dell'attributo.For background on the scenario for this section, see Control the attribute flow process.

Sono disponibili due modalità per non trasmettere un attributo.There are two ways to not flow an attribute. Il primo è disponibile nell'installazione guidata e consente di rimuovere gli attributi selezionati.The first is available in the installation wizard and allows you to remove selected attributes. Questa opzione funziona se l'attributo non è mai stato sincronizzato in precedenza.This option works if you have never synchronized the attribute before. Tuttavia, se si è iniziato a sincronizzare questo attributo e lo si rimuove in seguito con questa funzionalità, il motore di sincronizzazione interrompe la gestione dell'attributo e i valori esistenti rimangono in Azure AD.However, if you have started to synchronize this attribute and later remove it with this feature, then the sync engine stops managing the attribute and the existing values are left in Azure AD.

Se si vuole rimuovere il valore di un attributo e assicurarsi che non venga trasmesso in futuro, creare invece una regola personalizzata.If you want to remove the value of an attribute and make sure it does not flow in the future, you need create a custom rule instead.

In Fabrikam si è notato che alcuni degli attributi sincronizzati nel cloud non avrebbero dovuto esserlo.At Fabrikam, we have realized that some of the attributes we synchronize to the cloud should not be there. Si vuole accertarsi che questi attributi vengano rimossi da Azure AD.We want to make sure these attributes are removed from Azure AD.
Attributi di estensione non validi

  • Creare una nuova regola di sincronizzazione in ingresso e popolare la descrizioneCreate a new inbound Synchronization Rule and populate the description Descriptions
  • Creazione flussi di attributi di tipo Expression e con origine AuthoritativeNull.Create attribute flows of type Expression and with the source AuthoritativeNull. Il valore letterale AuthoritativeNull indica che il valore dovrebbe essere vuoto in MV anche se una regola di sincronizzazione di precedenza inferiore tenta di popolare il valore.The literal AuthoritativeNull indicates that the value should be empty in the MV even if a lower precedence sync rule tries to populate the value. Trasformazione per gli attributi di estensioneTransformation for Extension Attributes
  • Salvare la regola di sincronizzazioneSave the Sync Rule. Avviare il servizio di sincronizzazione, trovare il connettore, selezionare Run (Esegui) e avviare una sincronizzazione completa.Start Synchronization Service, find the Connector, select Run, and Full Synchronization. Questo passaggio consente di ricalcolare tutti i flussi degli attributi.This step recalculates all attribute flows.
  • Verificare che le modifiche richieste stiano per essere esportate mediante la ricerca dello spazio connettore.Verify that the intended changes are about to be exported by searching the connector space. Eliminazione di gestione temporaneaStaged delete

Creare regole con PowerShellCreate rules with PowerShell

L'uso dell'editor delle regole di sincronizzazione è ottimale quando le regole da modificare sono poche.Using the sync rule editor works fine when you only have a few changes to make. Se è necessario apportare molte modifiche, PowerShell è un'opzione migliore.If you need to make many changes, then PowerShell might be a better option. Alcune funzionalità avanzate sono disponibili solo con PowerShell.Some advanced features are only available with PowerShell.

Ottenere lo script di PowerShell per una regola predefinitaGet the PowerShell script for an out-of-box rule

Per visualizzare lo script di PowerShell con il quale è stata creata una regola predefinita, selezionare la regola nell'editor delle regole di sincronizzazione e fare clic su Esporta.To see the PowerShell script that created an out-of-box rule, select the rule in the sync rules editor and click Export. Questa azione fornisce lo script di PowerShell che ha creato la regola.This action gives you the PowerShell script that created the rule.

Precedenza avanzataAdvanced precedence

Le regole di sincronizzazione predefinite iniziano con un valore di precedenza pari a 100.The out-of-box sync rules start with a precedence value of 100. Se si dispone di molte forest ed è necessario apportare numerose modifiche personalizzate, 99 regole di sincronizzazione potrebbero non essere sufficienti.If you have many forests and you need to make many custom changes, then 99 sync rules might not be enough.

È possibile indicare al motore di sincronizzazione che si vuole inserire le regole aggiuntive prima di quelle predefinite.You can instruct the Sync Engine that you want additional rules inserted before the out-of-box rules. Per ottenere questo comportamento, seguire questa procedura:To get this behavior, follow these steps:

  1. Contrassegnare la prima regola di sincronizzazione predefinita (In from AD-User Join) nell'editor delle regole di sincronizzazione e selezionare Esporta.Mark the first out-of-box sync rule (this rule is the In from AD-User Join) in the sync rule editor and select Export. Copiare il valore dell'identificatore di SR.Copy the SR Identifier value.
    PowerShell prima della modificaPowerShell before change
  2. Creare la nuova regola di sincronizzazione.Create the new sync rule. Per creare la regole è possibile usare l'editor delle regole di sincronizzazione.You can use the sync rule editor to create it. Esportare la regola in uno script di PowerShell.Export the rule to a PowerShell script.
  3. Nella proprietà PrecedenceBefore, inserire il valore dell'identificatore della regola predefinita.In the property PrecedenceBefore, insert the identifier value from the out-of-box rule. Impostare la Precedenza su 0.Set the Precedence to 0. Assicurarsi che l'attributo dell'identificatore sia univoco e non si stia riusando il GUID di un'altra regola.Make sure the Identifier attribute is unique and you are not reusing a GUID from another rule. Assicurarsi inoltre che la proprietà ImmutableTag non sia impostata; questa proprietà deve essere impostata solo per una regola predefinita.Also make sure that the ImmutableTag property is not set; this property should only be set for an out-of-box rule. Salvare lo script di PowerShell ed eseguirlo.Save the PowerShell script and run it. Il risultato è che alla regola personalizzata viene assegnato un valore di precedenza pari a 100 e tutte le altre regole predefinite vengono incrementate.The result is that your custom rule is assigned the precedence value of 100 and all other out-of-box rules are incremented.
    PowerShell dopo la modificaPowerShell after change

È possibile configurare molte regole di sincronizzazione personalizzate usando lo stesso valore PrecedenceBefore quando necessario.You can have many custom sync rules using the same PrecedenceBefore value when needed.

Abilitare la sincronizzazione di PreferredDataLocationEnable synchronization of PreferredDataLocation

Per impostazione predefinita, le risorse di Office 365 per gli utenti si trovano nella stessa area come tenant di Azure AD.By default, Office 365 resources for your users are located in the same region as your Azure AD tenant. Ad esempio, se il tenant si trova in America del Nord quindi le cassette postali di Exchange degli utenti inoltre si trovano in America del Nord.For example, if your tenant is located in North America then the users Exchange mailboxes are also located in North America. Per un'organizzazione multinazionale questo potrebbe non essere ottimale.For a multi-national organization this might not be optimal. Impostando l'attributo preferredDataLocation area dell'utente può essere definito.By setting the attribute preferredDataLocation the user's region can be defined.

Le aree in Office 365 sono:The regions in Office 365 are:

RegionRegion DESCRIZIONEDescription
NAMNAM America del NordNorth America
EUREUR EuropaEurope
APCAPC Asia/PacificoAsia Pacific
JPNJPN GiapponeJapan
AUSTRALIAAUS AustraliaAustralia
POSSIBILECAN CanadaCanada
GBRGBR Gran BretagnaGreat Britain
LAMLAM America LatinaLatin America

Non tutti i carichi di lavoro di Office 365 supporta l'utilizzo dell'impostazione di area geografica dell'utente.Not all Office 365 workloads supports the use of setting a user's region.

Azure AD Connect supporta la sincronizzazione dell'attributo PreferredDataLocation per gli oggetti Utente nella versione 1.1.524.0 e successive.Azure AD Connect supports synchronization of the PreferredDataLocation attribute for User objects in version 1.1.524.0 and after. In particolare, sono state introdotte le seguenti modifiche:More specifically, following changes have been introduced:

  • Lo schema del tipo di oggetto utente il connettore di Azure Active Directory viene esteso per includere l'attributo PreferredDataLocation, che è di tipo stringa a valore singolo.The schema of the object type User in the Azure AD Connector is extended to include PreferredDataLocation attribute, which is of type single-valued string.

  • Lo schema del tipo di oggetto Persona in Metaverse è stato esteso per poter includere l'attributo PreferredDataLocation, che ha un valore singolo ed è di tipo stringa.The schema of the object type Person in the Metaverse is extended to include PreferredDataLocation attribute, which is of type string and is single-valued.

Per impostazione predefinita, l'attributo PreferredDataLocation non è abilitato per la sincronizzazione perché non esiste alcun attributo PreferredDataLocation corrispondente in Active Directory locale.By default, the PreferredDataLocation attribute is not enabled for synchronization because there is no corresponding PreferredDataLocation attribute in on-premises Active Directory. È necessario abilitare la sincronizzazione manualmente.You must manually enable synchronization.

Importante

Attualmente, Azure AD consente la configurazione diretta dell'attributo PreferredDataLocation sia sugli oggetti Utente che sugli oggetti Utente cloud sincronizzati con Azure AD PowerShell.Currently, Azure AD allows the PreferredDataLocation attribute on both synchronized User objects and cloud User objects to be directly configured using Azure AD PowerShell. Dopo aver attivato la sincronizzazione dell'attributo PreferredDataLocation, è necessario interrompere l'uso di Azure AD PowerShell per configurare l'attributo su oggetti Utente sincronizzati, poiché Azure AD Connect eseguirà l'override su questi oggetti in base ai valori dell'attributo di origine in Active Directory locale.Once you have enabled synchronization of the PreferredDataLocation attribute, you must stop using Azure AD PowerShell to configure the attribute on synchronized User objects as Azure AD Connect will override them based on the source attribute values in on-premises Active Directory.

Importante

Dopo il 1 ° settembre 2017 Azure AD non consente l'attributo PreferredDataLocation su sincronizzati gli oggetti utente per essere configurate direttamente con Azure AD PowerShell.Since September 1, 2017, Azure AD no longer allows the PreferredDataLocation attribute on synchronized User objects to be directly configured using Azure AD PowerShell. Per configurare l'attributo PreferredLocation degli oggetti utente sincronizzati, è necessario utilizzare Azure AD Connect.To configure PreferredLocation attribute on synchronized User objects, you must use Azure AD Connect.

Prima di abilitare la sincronizzazione dell'attributo PreferredDataLocation, è necessario:Before enabling synchronization of the PreferredDataLocation attribute, you must:

  • Innanzitutto, decidere quale attributo di Active Directory locale usare come attributo di origine.First, decide which on-premises Active Directory attribute to be used as the source attribute. Deve essere di tipo stringa a valore singolo.It should be of type single-valued string. Nella procedura seguente uno degli attributi di extensionAttributes viene utilizzata.In the steps below one of the extensionAttributes is used.

  • Se in precedenza è stato configurato l'attributo PreferredDataLocation sugli oggetti Utente sincronizzati esistenti in Azure AD con Azure AD PowerShell, è necessario eseguire il backporting dei valori dell'attributo per gli oggetti Utente corrispondenti in Active Directory locale.If you have previously configured the PreferredDataLocation attribute on existing synchronized User objects in Azure AD using Azure AD PowerShell, you must backport the attribute values to the corresponding User objects in on-premises Active Directory.

    Importante

    Se non si esegue il backporting dei valori dell'attributo per gli oggetti Utente corrispondenti in Active Directory locale, Azure AD Connect rimuoverà i valori dell'attributo esistente in Azure AD quando è abilitata la sincronizzazione per l'attributo PreferredDataLocation.If you do not backport the attribute values to the corresponding User objects in on-premises Active Directory, Azure AD Connect will remove the existing attribute values in Azure AD when synchronization for the PreferredDataLocation attribute is enabled.

  • A questo punto è consigliabile configurare l'attributo di origine in almeno un paio di oggetti Utente di AD locale, che può essere usato per la verifica in un secondo momento.It is recommended you configure the source attribute on at least a couple of on-premises AD User objects now, which can be used for verification later.

La procedura per abilitare la sincronizzazione dell'attributo PreferredDataLocation può essere riepilogata come segue:The steps to enable synchronization of the PreferredDataLocation attribute can be summarized as:

  1. Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corsoDisable sync scheduler and verify there is no synchronization in progress
  2. Aggiungere l'attributo di origine allo schema di AD Connector localeAdd the source attribute to the on-premises AD Connector schema
  3. Aggiungere PreferredDataLocation allo schema di Azure AD ConnectorAdd PreferredDataLocation to the Azure AD Connector schema
  4. Creare una regola di sincronizzazione in entrata per trasmettere il valore dell'attributo da Active Directory localeCreate an inbound synchronization rule to flow the attribute value from on-premises Active Directory
  5. Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure ADCreate an outbound synchronization rule to flow the attribute value to Azure AD
  6. Eseguire un ciclo di sincronizzazione completoRun Full Synchronization cycle
  7. Abilitare l'utilità di pianificazione della sincronizzazioneEnable sync scheduler

Nota

La parte restante di questa sezione illustra la procedura in dettaglioThe rest of this section covers these steps in details. nel contesto di una distribuzione di Azure AD con topologia a foresta singola e senza regole di sincronizzazione personalizzate.They are described in the context of an Azure AD deployment with single-forest topology and without custom synchronization rules. Se sono stati configurati una topologia a più foreste e regole di sincronizzazione personalizzate o si dispone di un server di gestione temporanea, è necessario modificare di conseguenza i passaggi.If you have multi-forest topology, custom synchronization rules configured or have a staging server, you need to adjust the steps accordingly.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corsoStep 1: Disable sync scheduler and verify there is no synchronization in progress

Verificare che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione per evitare l'esportazione di modifiche accidentali in Azure AD.Ensure no synchronization takes place while you are in the middle of updating synchronization rules to avoid unintended changes being exported to Azure AD. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:To disable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell nel server di Azure AD Connect.Start a PowerShell session on the Azure AD Connect server.
  2. Disabilitare la sincronizzazione pianificata eseguendo il cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.Disable scheduled synchronization by running the cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Avviare il Synchronization Service Manager passando a avviare > servizio di sincronizzazione.Start the Synchronization Service Manager by going to START > Synchronization Service.
  4. Passare al operazioni scheda e verificare che nessuna operazione con lo stato in corso.Go to the Operations tab and confirm there is no operation with the status in progress.

Synchronization Service Manager: verificare che non ci siano operazioni in corso

Passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector localeStep 2: Add the source attribute to the on-premises AD Connector schema

Non tutti gli attributi di AD vengono importati in locale nello spazio di AD Connector locale.Not all AD attributes are imported into the on-premises AD Connector Space. Se si è scelto di utilizzare un attributo non sincronizzato per impostazione predefinita, è necessario importarlo.If you have selected to use an attribute not synchronized by default, then you need to import it. Per aggiungere l'attributo di origine all'elenco degli attributi importati:To add the source attribute to the list of the imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare doppio clic su di connettore di Active Directory locale e selezionare proprietà.Right-click the on-premises AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog, go to the Select Attributes tab.
  4. Verificare che l'attributo di origine che è stato scelto di utilizzare sia selezionata nell'elenco degli attributi.Make sure the source attribute you selected to use is checked in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save.

Aggiungere l'attributo di origine allo schema di AD Connector locale

Passaggio 3: Aggiungere PreferredDataLocation allo schema di Azure AD ConnectorStep 3: Add PreferredDataLocation to the Azure AD Connector schema

Per impostazione predefinita, l'attributo PreferredDataLocation non viene importato nello spazio del connettore Azure AD.By default, the PreferredDataLocation attribute is not imported into the Azure AD connector space. Per aggiungere l'attributo PreferredDataLocation all'elenco di attributi importati:To add the PreferredDataLocation attribute to the list of imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare doppio clic su di connettore Azure AD e selezionare proprietà.Right-click the Azure AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog, go to the Select Attributes tab.
  4. Selezionare l'attributo PreferredDataLocation nell'elenco degli attributi.Select the PreferredDataLocation attribute in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save.

Aggiungere l'attributo di origine allo schema di AD Connector

Passaggio 4: Creare una regola di sincronizzazione in entrata per trasmettere il valore dell'attributo da Active Directory localeStep 4: Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory

La regola di sincronizzazione in entrata consente la trasmissione del valore dell'attributo dall'attributo di origine di Active Directory locale a Metaverse:The inbound synchronization rule permits the attribute value to flow from the source attribute from on-premises Active Directory to the Metaverse:

  1. Avviare il Editor regole di sincronizzazione passando a avviare > Editor regole di sincronizzazione.Start the Synchronization Rules Editor by going to START > Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione su In arrivo.Set the search filter Direction to be Inbound.
  3. Fare clic sul pulsante Aggiungi nuova regola per creare una nuova regola in entrata.Click Add new rule button to create a new inbound rule.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, "In entrata da AD - Utente PreferredDataLocation"For example, “In from AD – User PreferredDataLocation”
    DESCRIZIONEDescription Fornire una descrizione personalizzataProvide a custom description
    Connected SystemConnected System Scegliere il connettore di AD localePick the on-premises AD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1 – 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1 – 99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.Do not pick a value that is used by another synchronization rule.
  5. Mantenere il definizione ambito filtro vuoto per includere tutti gli oggetti.Keep the Scoping filter empty to include all objects. Potrebbe essere necessario perfezionare il filtro ambito in base alla distribuzione di Azure AD Connect.You may need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:Go to the Transformation tab and implement the following transformation rule:

    Flow TypeFlow Type Target AttributeTarget Attribute SorgenteSource Applicare una sola voltaApply Once Tipi di unioneMerge Type
    DirettoDirect PreferredDataLocationPreferredDataLocation Selezionare l'attributo di originePick the source attribute Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in entrata.Click Add to create the inbound rule.

Creare una regola di sincronizzazione in ingresso

Passaggio 5: Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure ADStep 5: Create an outbound synchronization rule to flow the attribute value to Azure AD

La regola di sincronizzazione in uscita consente la trasmissione del valore dell'attributo da Metaverse all'attributo PreferredDataLocation in Azure AD:The outbound synchronization rule permits the attribute value to flow from the Metaverse to the PreferredDataLocation attribute in Azure AD:

  1. Passare all'editor Regole di sincronizzazione.Go to the Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione da In uscita.Set the search filter Direction to be Outbound.
  3. Fare clic sul pulsante Aggiungi nuova regola.Click Add new rule button.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, "In uscita verso AAD - Utente PreferredDataLocation"For example, “Out to AAD – User PreferredDataLocation”
    DESCRIZIONEDescription Inserire una descrizioneProvide a description
    Connected SystemConnected System Selezionare il connettore di AADSelect the AAD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1 – 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1 – 99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.Do not pick a value that is used by another synchronization rule.
  5. Passare alla scheda Scoping filter (Ambito filtro) e aggiungere un gruppo dell'ambito filtro singolo con le due clausole:Go to the Scoping filter tab and add a single scoping filter group with two clauses:

    AttributoAttribute OperatoreOperator ValoreValue
    sourceObjectTypesourceObjectType EQUALEQUAL UtenteUser
    cloudMasteredcloudMastered NOTEQUALNOTEQUAL True True

    L'ambito del filtro determina a quali oggetti di Azure AD viene applicata la regola di sincronizzazione in uscita.Scoping filter determines which Azure AD objects this outbound synchronization rule is applied to. In questo esempio, viene usato lo stesso ambito filtro della regola di sincronizzazione OOB "In uscita verso Ad - Identità utente".In this example, we use the same scoping filter from “Out to AD – User Identity” OOB synchronization rule. Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente che non vengono sincronizzati da Active Directory locale.It prevents the synchronization rule from being applied to User objects which are not synchronized from on-premises Active Directory. Potrebbe essere necessario perfezionare il filtro ambito in base alla distribuzione di Azure AD Connect.You may need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Andare alla scheda Trasformazione e implementare la regola di trasformazione seguente:Go to the Transformation tab and implement the following transformation rule:

    Flow TypeFlow Type Target AttributeTarget Attribute SorgenteSource Applicare una sola voltaApply Once Tipi di unioneMerge Type
    DirettoDirect PreferredDataLocationPreferredDataLocation PreferredDataLocationPreferredDataLocation Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in uscita.Close Add to create the outbound rule.

Creare una regola di sincronizzazione in uscita

Passaggio 6: Eseguire un ciclo di sincronizzazione completoStep 6: Run Full Synchronization cycle

In generale, il ciclo di sincronizzazione completo è necessario perché sono stati aggiunti nuovi attributi per gli schemi di AD e Azure AD Connector e sono state introdotte regole di sincronizzazione personalizzate.In general, full synchronization cycle is required since we have added new attributes to both the AD and Azure AD Connector schema, and introduced custom synchronization rules. È consigliabile controllare le modifiche prima di esportarle in Azure AD.It is recommended that you verify the changes before exporting them to Azure AD. È possibile usare la procedura seguente per controllare le modifiche, eseguendo al contempo manualmente i passaggi che compongono il ciclo di sincronizzazione completo.You can use the following steps to verify the changes while manually running the steps that make up a full synchronization cycle.

  1. Eseguire il passaggio Importazione completa nel connettore di Active Directory locale:Run Full import step on the on-premises AD Connector:

    1. Passare alla scheda Operazioni in Synchronization Service Manager.Go to the Operations tab in the Synchronization Service Manager.

    2. Fare doppio clic su di connettore di Active Directory locale e selezionare Esegui... .Right-click the on-premises AD Connector and select Run....

    3. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog, select Full Import and click OK.

    4. Attendere il completamento dell'operazione.Wait for operation to complete.

      Nota

      È possibile ignorare l'importazione completa in AD Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati.You can skip Full Import on the on-premises AD Connector if the source attribute is already included in the list of imported attributes. In altre parole, non è necessario apportare modifiche durante il passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector locale.In other words, you did not have to make any change during Step 2: Add the source attribute to the on-premises AD Connector schema.

  2. Eseguire il passaggio Importazione completa in Azure AD Connector:Run Full import step on the Azure AD Connector:

    1. Fare clic con il tasto destro del mouse sul connettore di Azure AD e selezionare Esegui...Right-click the Azure AD Connector and select Run...

    2. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog, select Full Import and click OK.

    3. Attendere il completamento dell'operazione.Wait for operation to complete.

  3. Controllare le modifiche alle regole di sincronizzazione in un oggetto Utente esistente:Verify the synchronization rule changes on an existing User object:

L'attributo di origine da locali Active Directory e PreferredDataLocation da Azure AD sono stati importati nello spazio del connettore corrispondente.The source attribute from on-premises Active Directory and PreferredDataLocation from Azure AD have been imported into the respective connector space. Prima di procedere con il passaggio di sincronizzazione completa, è consigliabile effettuare un anteprima a un utente esistente dell'oggetto in locale nello spazio connettore di Active Directory.Before proceeding with the Full Synchronization step, it is recommended that you do a Preview on an existing User object in the on-premises AD connector space. L'attributo di origine dell'oggetto selezionato deve essere popolato.The object you picked should have the source attribute populated. Un'anteprima corretta che mostra PreferredDataLocation popolato in Metaverse indica che l'utente ha configurato correttamente le regole di sincronizzazione.A successful Preview with the PreferredDataLocation populated in the Metaverse is a good indicator that you have configured the synchronization rules correctly. Per informazioni sull'esecuzione dell'anteprima, fare riferimento alla sezione Verify the change (Verificare le modifiche).For information about how to do a Preview, refer to section Verify the change.

  1. Eseguire il passaggio Sincronizzazione completa nel connettore di Active Directory locale:Run Full Synchronization step on the on-premises AD Connector:

    1. Fare doppio clic su di connettore di Active Directory locale e selezionare Esegui... .Right-click the on-premises AD Connector and select Run....

    2. Nella finestra di dialogo popup selezionare Sincronizzazione completa e fare clic su OK.In the pop-up dialog, select Full Synchronization and click OK.

    3. Attendere il completamento dell'operazione.Wait for operation to complete.

  2. Verificare le esportazioni in sospeso per Azure AD:Verify Pending Exports to Azure AD:

    1. Fare doppio clic su di connettore Azure AD e selezionare spazio connettore ricerca.Right-click the Azure AD Connector and select Search Connector Space.

    2. Nella finestra popup Search Connector Space (Spazio connettore di ricerca):In the Search Connector Space pop-up dialog:

      1. Impostare Ambito su Pending Export (Esportazione in sospeso).Set Scope to Pending Export.

      2. Selezionare tutte e 3 le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.Check all three checkboxes, including Add, Modify, and Delete.

      3. Fare clic sul pulsante Ricerca per ottenere l'elenco degli oggetti con le modifiche da esportare.Click the Search button to get the list of objects with changes to be exported. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.To examine the changes for a given object, double-click the object.

      4. Verificare le modifiche previste.Verify the changes are expected.

  3. Eseguire il passaggio Esportazione in Azure AD ConnectorRun Export step on the Azure AD Connector

    1. Fare doppio clic su di connettore Azure AD e selezionare Esegui... .Right-click the Azure AD Connector and select Run....

    2. Nella finestra popup Run Connector (Esegui connettore) selezionare Esporta e fare clic su OK.In the Run Connector pop-up dialog, select Export and click OK.

    3. Attendere il completamento dell'esportazione in Azure AD.Wait for Export to Azure AD to complete.

Nota

È possibile notare che i passaggi non includono il passaggio di sincronizzazione completa del connettore di Azure AD e l'esportazione del connettore di Active Directory.You may notice that the steps do not include the Full Synchronization step on the Azure AD connector and Export on the AD connector. Questi passaggi non sono necessari perché i valori dell'attributo si trasmettono solo da Active Directory locale ad Azure AD.The steps are not required since the attribute values are flowing from on-premises Active Directory to Azure AD only.

Passaggio 7: Riattivare l'utilità di pianificazione della sincronizzazioneStep 7: Re-enable sync scheduler

Riabilitare l'utilità di pianificazione della sincronizzazione predefinita:Re-enable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell.Start PowerShell session.
  2. Riabilitare la sincronizzazione pianificata eseguendo di cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $trueRe-enable scheduled synchronization by running cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Abilitare la sincronizzazione di UserTypeEnable synchronization of UserType

Supporta la sincronizzazione di Azure AD Connect di UserType attributo per utente oggetti nella versione 1.1.524.0 e dopo.Azure AD Connect supports synchronization of the UserType attribute for User objects in version 1.1.524.0 and after. In particolare, sono state introdotte le seguenti modifiche:More specifically, following changes have been introduced:

  • Lo schema del tipo di oggetto utente nel connettore Azure AD viene esteso per includere l'attributo UserType, che è a valore singolo ed è di tipo stringa.The schema of the object type User in the Azure AD Connector is extended to include UserType attribute, which is of type string and is single-valued.
  • Lo schema del tipo di oggetto persona nel Metaverse viene esteso per includere l'attributo UserType, che è a valore singolo ed è di tipo stringa.The schema of the object type Person in the Metaverse is extended to include UserType attribute, which is of type string and is single-valued.

Per impostazione predefinita, l'attributo UserType non è abilitato per la sincronizzazione perché non esiste alcun attributo di UserType corrispondente in Active Directory locale.By default, the UserType attribute is not enabled for synchronization because there is no corresponding UserType attribute in on-premises Active Directory. È necessario abilitare la sincronizzazione manualmente.You must manually enable synchronization. Prima di abilitare la sincronizzazione dell'attributo UserType, è necessario annotare il seguente comportamento applicato da Azure AD:Before enabling synchronization of the UserType attribute, you must take note of the following behavior enforced by Azure AD:

  • Azure AD accetta solo due valori per l'attributo UserType – membro e Guest.Azure AD only accepts two values for the UserType attribute – Member and Guest.
  • Se l'attributo UserType non è abilitato per la sincronizzazione in Azure AD Connect, gli utenti di Azure AD viene creati attraverso la sincronizzazione della directory avrebbe UserType attributo impostato su membro.If the UserType attribute is not enabled for synchronization in Azure AD Connect, Azure AD users created through directory synchronization would have UserType attribute set to Member.
  • Azure Active Directory non supporta l'attributo UserType sugli utenti di Azure AD esistenti per essere modificato da Azure AD Connect.Azure AD does not permit the UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Può essere impostata solo durante la creazione di utenti di Azure AD.It can only be set during the creation of the Azure AD users.

Prima di abilitare la sincronizzazione dell'attributo UserType, è innanzitutto necessario decidere come il UserType attributo verrà derivare da AD locale.Before enabling synchronization of the UserType attribute, you must first decide how the UserType attribute will be derived from on-premises AD. Due approcci comuni includono:Two common approaches include:

  • Designare un inutilizzati attributo di Active Directory (ad esempio, extensionAttribute1) da utilizzare come attributo di origine locale.Designate an unused on-premises AD attribute (e.g., extensionAttribute1) to be used as the source attribute. Designata attributo di Active Directory deve essere di tipo on-premise stringa, è a valore singolo e contiene valore membro o Guest.The designated on-premises AD attribute should be of type string, is single-valued and contains value Member or Guest. Se si sceglie questo approccio, è necessario assicurarsi che l'attributo designato viene popolato con il valore corretto per tutti esistente gli oggetti utente in Active Directory locale che vengono sincronizzati con Azure AD prima di abilitare la sincronizzazione dell'attributo UserType .If you choose this approach, you must ensure that the designated attribute is populated with the correct value for all existing user objects in on-premises Active Directory that are synchronized to Azure AD before enabling synchronization of the UserType attribute.
  • In alternativa, è possibile derivare il valore dell'attributo UserType da altre proprietà.Alternatively, you can derive the value for UserType attribute from other properties. Ad esempio, si desidera sincronizzare tutti gli utenti come Guest se locale attributo AD UserPrincipalName termina con una parte del dominio "@partners.fabrikam123.org".For example, you want to synchronize all users as Guest if their on-premises AD UserPrincipalName attribute ends with domain part “@partners.fabrikam123.org”. Come accennato in precedenza, Azure AD Connect non consente l'attributo UserType sugli utenti di Azure AD esistenti per essere modificato da Azure AD Connect.As mentioned previously, Azure AD Connect does not permit UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Pertanto, è necessario assicurarsi che la logica in cui che si è deciso è coerente con l'attributo UserType già configurazione per tutti gli utenti nel tenant di Azure AD.Therefore, you must ensure that the logic you have decided is consistent with how the UserType attribute is already configured for all existing Azure AD users in your tenant.

I passaggi per abilitare la sincronizzazione dell'attributo UserType possono essere riepilogati come:The steps to enable synchronization of the UserType attribute can be summarized as:

Nota

Il resto di questa sezione vengono illustrati tali passaggi.The rest of this section covers these steps. nel contesto di una distribuzione di Azure AD con topologia a foresta singola e senza regole di sincronizzazione personalizzate.They are described in the context of an Azure AD deployment with single-forest topology and without custom synchronization rules. Se sono stati configurati una topologia a più foreste e regole di sincronizzazione personalizzate o si dispone di un server di gestione temporanea, è necessario modificare di conseguenza i passaggi.If you have multi-forest topology, custom synchronization rules configured or have a staging server, you need to adjust the steps accordingly.

  1. Disabilitare dell'utilità di pianificazione di sincronizzazione e verificare che vi è alcuna sincronizzazione in corsoDisable sync scheduler and verify there is no synchronization in progress
  2. Aggiungere il attributo di origine per on-premise dello schema di Active Directory ConnectorAdd the source attribute to the on-premises AD Connector schema
  3. Aggiungere UserType allo schema del connettore Azure ADAdd UserType to the Azure AD Connector schema
  4. Creare una regola di sincronizzazione in entrata per trasmettere il valore dell'attributo da Active Directory localeCreate an inbound synchronization rule to flow the attribute value from on-premises Active Directory
  5. Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure ADCreate an outbound synchronization rule to flow the attribute value to Azure AD
  6. Eseguire sincronizzazione completa cicloRun Full Synchronization cycle
  7. Abilitare dell'utilità di pianificazione di sincronizzazioneEnable sync scheduler

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corsoStep 1: Disable sync scheduler and verify there is no synchronization in progress

Verificare che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione per evitare l'esportazione di modifiche accidentali in Azure AD.Ensure no synchronization takes place while you are in the middle of updating synchronization rules to avoid unintended changes being exported to Azure AD. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:To disable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell nel server di Azure AD Connect.Start PowerShell session on the Azure AD Connect server.
  2. Disabilitare la sincronizzazione pianificata eseguendo di cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $falseDisable scheduled synchronization by running cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false
  3. Avviare Synchronization Service Manager passando ad AVVIA → Servizio di sincronizzazione.Start the Synchronization Service Manager by going to START → Synchronization Service.
  4. Andare nella scheda Operazioni e verificare che nessuna operazione presenti lo stato "in corso".Go to the Operations tab and confirm there is no operation whose status is “in progress.”

Synchronization Service Manager: verificare che non ci siano operazioni in corso

Passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector localeStep 2: Add the source attribute to the on-premises AD Connector schema

Non tutti gli attributi di AD vengono importati in locale nello spazio di AD Connector locale.Not all AD attributes are imported into the on-premises AD Connector Space. Per aggiungere l'attributo di origine all'elenco degli attributi importati:To add the source attribute to the list of the imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare clic con il tasto destro del mouse sul connettore di AD locale e selezionare Proprietà.Right-click on the on-premises AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog, go to the Select Attributes tab.
  4. Assicurarsi che l'attributo di origine sia selezionato nell'elenco degli attributi.Make sure the source attribute is checked in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save. Aggiungere l'attributo di origine locale dello schema di Active Directory ConnectorAdd source attribute to on-premises AD Connector schema

Passaggio 3: Aggiungere UserType allo schema di Azure Active Directory ConnectorStep 3: Add UserType to the Azure AD Connector schema

Per impostazione predefinita, l'attributo UserType non viene importato nello spazio di connettersi AD Azure.By default, the UserType attribute is not imported into the Azure AD Connect Space. Per aggiungere l'attributo UserType all'elenco di attributi importati:To add the UserType attribute to the list of imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare clic con il tasto destro del mouse sul connettore di Azure AD e selezionare Proprietà.Right-click on the Azure AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog, go to the Select Attributes tab.
  4. Assicurarsi che l'attributo PreferredDataLocation sia selezionato nell'elenco degli attributi.Make sure the PreferredDataLocation attribute is checked in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save.

Aggiungere l'attributo di origine allo schema di AD Connector

Passaggio 4: Creare una regola di sincronizzazione in entrata per trasmettere il valore dell'attributo da Active Directory localeStep 4: Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory

La regola di sincronizzazione in entrata consente la trasmissione del valore dell'attributo dall'attributo di origine di Active Directory locale a Metaverse:The inbound synchronization rule permits the attribute value to flow from the source attribute from on-premises Active Directory to the Metaverse:

  1. Avviare l'editor per le regole di sincronizzazione passando ad AVVIA → Synchronization Rules Editor (Editor per le regole di sincronizzazione).Start the Synchronization Rules Editor by going to START → Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione su In arrivo.Set the search filter Direction to be Inbound.
  3. Fare clic sul pulsante Aggiungi nuova regola per creare una nuova regola in entrata.Click Add new rule button to create a new inbound rule.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, "In from AD – utente UserType"For example, “In from AD – User UserType”
    DESCRIZIONEDescription Inserire una descrizioneProvide a description
    Connected SystemConnected System Scegliere il connettore di AD localePick the on-premises AD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1 – 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1 – 99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.Do not pick a value that is used by another synchronization rule.
  5. Passare alla scheda Scoping filter (Ambito filtro) e aggiungere un gruppo dell'ambito filtro singolo con la clausola seguente:Go to the Scoping filter tab and add a single scoping filter group with the following clause:

    AttributoAttribute OperatoreOperator ValoreValue
    adminDescriptionadminDescription NOTSTARTWITHNOTSTARTWITH Utente_User_

    L'ambito del filtro determina a quali oggetti di AD locale viene applicata la regola di sincronizzazione in entrata.Scoping filter determines which on-premises AD objects this inbound synchronization rule is applied to. In questo esempio, si utilizza lo stesso filtro ambito utilizzato come "In from AD – utente comune" regola di sincronizzazione fuori banda, che impedisce di applicare agli oggetti utente, viene creati attraverso la funzionalità di writeback di utenti di Azure AD la regola di sincronizzazione.In this example, we use the same scoping filter used as “In from AD – User Common” OOB synchronization rule, which prevents the synchronization rule from being applied to User objects created through Azure AD User writeback feature. Potrebbe essere necessario perfezionare il filtro ambito in base alla distribuzione di Azure AD Connect.You may need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Passare al scheda trasformazione e implementare la regola di trasformazione desiderata.Go to the Transformation tab and implement the desired transformation rule. Ad esempio, hanno designato un inutilizzati attributo di Active Directory (ad esempio, extensionAttribute1) locale come attributo di origine di UserType, è possibile implementare un flusso di attributi diretto:For example, you have designated an unused on-premises AD attribute (e.g., extensionAttribute1) as the source attribute for UserType, you can implement a direct attribute flow:

    Flow TypeFlow Type Target AttributeTarget Attribute SorgenteSource Applicare una sola voltaApply Once Tipi di unioneMerge Type
    DirettoDirect UserTypeUserType extensionAttribute1extensionAttribute1 Non selezionatoUnchecked AggiornamentoUpdate

    Un altro esempio: si desidera derivare il valore di attributo UserType da altre proprietà.Another example – You want to derive the value for UserType attribute from other properties. Ad esempio, si desidera sincronizzare tutti gli utenti come Guest se locale attributo AD UserPrincipalName termina con una parte del dominio "@partners.fabrikam123.org".For example, you want to synchronize all users as Guest if their on-premises AD UserPrincipalName attribute ends with domain part “@partners.fabrikam123.org”. È possibile implementare un'espressione:You can implement an expression:

    Flow TypeFlow Type Target AttributeTarget Attribute SorgenteSource Applicare una sola voltaApply Once Tipi di unioneMerge Type
    DirettoDirect UserTypeUserType IIf(IsPresent([userPrincipalName]),IIf(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0) "Member", "Guest"), errore ("UserPrincipalName non è presente per determinare UserType"))IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in entrata.Click Add to create the inbound rule.

Creare una regola di sincronizzazione in ingresso

Passaggio 5: Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure ADStep 5: Create an outbound synchronization rule to flow the attribute value to Azure AD

La regola di sincronizzazione in uscita consente la trasmissione del valore dell'attributo da Metaverse all'attributo PreferredDataLocation in Azure AD:The outbound synchronization rule permits the attribute value to flow from the Metaverse to the PreferredDataLocation attribute in Azure AD:

  1. Passare all'editor Regole di sincronizzazione.Go to the Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione da In uscita.Set the search filter Direction to be Outbound.
  3. Fare clic sul pulsante Aggiungi nuova regola.Click Add new rule button.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, "Out di Azure ad – utente UserType"For example, “Out to AAD – User UserType”
    DESCRIZIONEDescription Inserire una descrizioneProvide a description
    Connected SystemConnected System Selezionare il connettore di AADSelect the AAD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1 – 99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1 – 99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.YDo not pick a value that is used by another synchronization rule.
  5. Passare alla scheda Scoping filter (Ambito filtro) e aggiungere un gruppo dell'ambito filtro singolo con le due clausole:Go to the Scoping filter tab and add a single scoping filter group with two clauses:

    AttributoAttribute OperatoreOperator ValoreValue
    sourceObjectTypesourceObjectType EQUALEQUAL UtenteUser
    cloudMasteredcloudMastered NOTEQUALNOTEQUAL True True

    L'ambito del filtro determina a quali oggetti di Azure AD viene applicata la regola di sincronizzazione in uscita.Scoping filter determines which Azure AD objects this outbound synchronization rule is applied to. In questo esempio, viene usato lo stesso ambito filtro della regola di sincronizzazione OOB "In uscita verso Ad - Identità utente".In this example, we use the same scoping filter from “Out to AD – User Identity” OOB synchronization rule. Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente che non vengono sincronizzati da Active Directory locale.It prevents the synchronization rule from being applied to User objects which are not synchronized from on-premises Active Directory. Potrebbe essere necessario perfezionare il filtro ambito in base alla distribuzione di Azure AD Connect.You may need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Andare alla scheda Trasformazione e implementare la regola di trasformazione seguente:Go to the Transformation tab and implement the following transformation rule:

    Flow TypeFlow Type Target AttributeTarget Attribute SorgenteSource Applicare una sola voltaApply Once Tipi di unioneMerge Type
    DirettoDirect UserTypeUserType UserTypeUserType Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in uscita.Close Add to create the outbound rule.

Creare una regola di sincronizzazione in uscita

Passaggio 6: Eseguire un ciclo di sincronizzazione completoStep 6: Run Full Synchronization cycle

In generale, il ciclo di sincronizzazione completo è necessario perché sono stati aggiunti nuovi attributi per gli schemi di AD e Azure AD Connector e sono state introdotte regole di sincronizzazione personalizzate.In general, full synchronization cycle is required since we have added new attributes to both the AD and Azure AD Connector schema, and introduced custom synchronization rules. È consigliabile controllare le modifiche prima di esportarle in Azure AD.It is recommended that you verify the changes before exporting them to Azure AD. È possibile usare la procedura seguente per controllare le modifiche, eseguendo al contempo manualmente i passaggi che compongono il ciclo di sincronizzazione completo.You can use the following steps to verify the changes while manually running the steps that make up a full synchronization cycle.

  1. Eseguire il passaggio Importazione completa nel connettore di Active Directory locale:Run Full import step on the on-premises AD Connector:

    1. Passare alla scheda Operazioni in Synchronization Service Manager.Go to the Operations tab in the Synchronization Service Manager.
    2. Fare clic con il tasto destro del mouse sul connettore di AD locale e selezionare Esegui...Right-click on the on-premises AD Connector and select Run...
    3. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog, select Full Import and click OK.
    4. Attendere il completamento dell'operazione.Wait for operation to complete.

      Nota

      È possibile ignorare un'importazione completa in locale in Active Directory Connector se l'attributo di origine è già incluso nell'elenco di importati gli attributi.You can skip a Full Import on the on-premises AD Connector if the source attribute is already included in the list of imported attributes. In altre parole, non è necessario apportare modifiche durante il passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector locale.In other words, you did not have to make any change during Step 2: Add the source attribute to the on-premises AD Connector schema.

  2. Eseguire il passaggio Importazione completa in Azure AD Connector:Run Full import step on the Azure AD Connector:

    1. Fare clic con il tasto destro del mouse sul connettore di Azure AD e selezionare Esegui...Right-click on the Azure AD Connector and select Run...
    2. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog, select Full Import and click OK.
    3. Attendere il completamento dell'operazione.Wait for operation to complete.
  3. Controllare le modifiche alle regole di sincronizzazione in un oggetto Utente esistente:Verify the synchronization rule changes on an existing User object:

    L'attributo di origine da locali Active Directory e UserType da Azure AD sono stati importati nel rispettivo spazio connettore.The source attribute from on-premises Active Directory and UserType from Azure AD have been imported into the respective Connecter Space. Prima di procedere con il passaggio Sincronizzazione completa, è consigliabile eseguire un'Anteprima su un oggetto Utente esistente nello spazio del connettore AD locale.Before proceeding with Full Synchronization step, it is recommended that you do a Preview on an existing User object in the on-premises AD Connector Space. L'attributo di origine dell'oggetto selezionato deve essere popolato.The object you picked should have the source attribute populated. Una corretta anteprima con UserType popolato nel Metaverse è un buon indicatore di aver configurato la sincronizzazione delle regole in modo corretto.A successful Preview with UserType populated in the Metaverse is a good indicator that you have configured the synchronization rules correctly. Per informazioni sull'esecuzione dell'anteprima, fare riferimento alla sezione Verify the change (Verificare le modifiche).For information about how to do a Preview, refer to section Verify the change.

  4. Eseguire il passaggio Sincronizzazione completa nel connettore di Active Directory locale:Run Full Synchronization step on the on-premises AD Connector:

    1. Fare clic con il tasto destro del mouse sul connettore di AD locale e selezionare Esegui...Right-click on the on-premises AD Connector and select Run...
    2. Nella finestra di dialogo popup selezionare Sincronizzazione completa e fare clic su OK.In the pop-up dialog, select Full Synchronization and click OK.
    3. Attendere il completamento dell'operazione.Wait for operation to complete.
  5. Verificare le esportazioni in sospeso per Azure AD:Verify Pending Exports to Azure AD:

    1. Fare clic con il tasto destro del mouse sul connettore di Azure AD e selezionare Search Connector Space (Spazio connettore di ricerca).Right-click on the Azure AD Connector and select Search Connector Space.

    2. Nella finestra popup Search Connector Space (Spazio connettore di ricerca):In the Search Connector Space pop-up dialog:

      1. Impostare Ambito su Pending Export (Esportazione in sospeso).Set Scope to Pending Export.
      2. Selezionare tutte e 3 le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.Check all three checkboxes, including Add, Modify, and Delete.
      3. Fare clic sul pulsante Ricerca per ottenere l'elenco degli oggetti con le modifiche da esportare.Click the Search button to get the list of objects with changes to be exported. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.To examine the changes for a given object, double-click the object.
      4. Verificare le modifiche previste.Verify the changes are expected.
  6. Eseguire il passaggio Esportazione in Azure AD ConnectorRun Export step on the Azure AD Connector

    1. Fare clic con il tasto destro del mouse sul connettore di Azure AD e selezionare Esegui...Right-click the Azure AD Connector and select Run...
    2. Nella finestra popup Run Connector (Esegui connettore) selezionare Esporta e fare clic su OK.In the Run Connector pop-up dialog, select Export and click OK.
    3. Attendere che l'esportazione in Azure AD per il completamento.Wait for the Export to Azure AD to complete.

Nota

È possibile notare che la procedura non include il passaggio di sincronizzazione completa e quello di esportazione su Azure AD Connector.You may notice that the steps do not include the Full Synchronization step and Export step on the Azure AD Connector. Questi passaggi non sono necessari perché i valori dell'attributo si trasmettono solo da Active Directory locale ad Azure AD.The steps are not required since the attribute values are flowing from on-premises Active Directory to Azure AD only.

Passaggio 7: Riattivare l'utilità di pianificazione della sincronizzazioneStep 7: Re-enable sync scheduler

Riabilitare l'utilità di pianificazione della sincronizzazione predefinita:Re-enable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell.Start PowerShell session.
  2. Riabilitare la sincronizzazione pianificata eseguendo di cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $trueRe-enable scheduled synchronization by running cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Passaggi successiviNext steps

Argomenti generaliOverview topics