Servizio di sincronizzazione Azure AD Connect: apportare modifiche alla configurazione predefinitaAzure AD Connect sync: Make a change to the default configuration

Questo articolo illustra in dettaglio come apportare modifiche alla configurazione predefinita nel servizio di sincronizzazione Azure Active Directory (Azure AD) Connect. Include i passaggi per alcuni scenari comuni.The purpose of this article is to walk you through how to make changes to the default configuration in Azure Active Directory (Azure AD) Connect sync. It provides steps for some common scenarios. Con queste informazioni si potranno apportare semplici modifiche alla propria configurazione in base alle regole di business.With this knowledge, you should be able to make simple changes to your own configuration based on your own business rules.

Editor regole di sincronizzazioneSynchronization Rules Editor

L'editor delle regole di sincronizzazione viene usato per visualizzare e modificare la configurazione predefinita.The Synchronization Rules Editor is used to see and change the default configuration. È disponibile nel menu Start nel gruppo Azure AD Connect.You can find it on the Start menu under the Azure AD Connect group.
Menu Start con l'editor delle regole di sincronizzazioneStart menu with Sync Rule Editor

Quando si apre l'editor, vengono visualizzate le regole predefinite.When you open the editor, you see the default out-of-box rules.

Editor delle regole di sincronizzazione

Gli elenchi a discesa nella parte superiore dell'editor consentono di trovare rapidamente una regola specifica.Using the drop-downs at the top of the editor, you can quickly find a specific rule. Ad esempio, se si vogliono visualizzare le regole in cui è incluso l'attributo proxyAddresses, è possibile modificare gli elenchi a discesa come indicato di seguito:For example, if you want to see the rules where the attribute proxyAddresses is included, you can change the drop-downs to the following:
Filtro nell'editor delle regole di sincronizzazione
Per reimpostare il filtro e caricare una nuova configurazione, premere F5 sulla tastiera.To reset filtering and load a fresh configuration, press F5 on the keyboard.

Il pulsante Aggiungi nuova regola è disponibile in alto a destra.On the upper right is the Add new rule button. Usare questo pulsante per creare la regola personalizzata.You use this button to create your own custom rule.

Nella parte inferiore sono presenti i pulsanti per eseguire operazioni su una regola di sincronizzazione selezionata.At the bottom are buttons for acting on a selected sync rule. I pulsanti Edit (Modifica) e Delete (Elimina) eseguono le operazioni previste.Edit and Delete do what you expect them to. Export (Esporta) genera uno script di PowerShell per ricreare la regola di sincronizzazione.Export produces a PowerShell script for re-creating the sync rule. Questa procedura consente di spostare una regola di sincronizzazione da un server a un altro.With this procedure, you can move a sync rule from one server to another.

Creare la prima regola personalizzataCreate your first custom rule

Le modifiche più comuni riguardano i flussi degli attributi.The most common changes are to the attribute flows. I dati nella directory di origine potrebbero non corrispondere a quelli in Azure AD.The data in your source directory might not be the same as in Azure AD. Nell'esempio in questa sezione assicurarsi che il nome di un utente sia sempre nel formato corretto.In the example in this section, make sure the given name of a user is always in proper case.

Disabilitare l'utilità di pianificazioneDisable the scheduler

Per impostazione predefinita, l' utilità di pianificazione viene eseguita ogni 30 minuti.The scheduler runs every 30 minutes by default. Accertarsi che non venga avviata mentre si apportano modifiche e si risolvono i problemi delle nuove regole.Make sure it is not starting while you are making changes and troubleshooting your new rules. Per disabilitare temporaneamente l'utilità di pianificazione, avviare PowerShell ed eseguire Set-ADSyncScheduler -SyncCycleEnabled $false.To temporarily disable the scheduler, start PowerShell and run Set-ADSyncScheduler -SyncCycleEnabled $false.

Disabilitare l'utilità di pianificazione

Creare la regolaCreate the rule

  1. Fare clic su Add new rule(Aggiungi nuova regola).Click Add new rule.
  2. Nella pagina Description (Descrizione) immettere le informazioni seguenti:On the Description page, enter the following:
    Filtro delle regole in ingressoInbound rule filtering
    • Name: (Nome) assegnare alla regola un nome descrittivo.Name: Give the rule a descriptive name.
    • Description: (Descrizione) visualizza alcuni chiarimenti che permettono a un altro utente di comprendere la funzione della regola.Description: Give some clarification so someone else can understand what the rule is for.
    • Connected System: (Sistema connesso) sistema in cui è possibile trovare l'oggetto.Connected System: This is the system in which the object can be found. In questo caso è selezionato Active Directory Connector.In this case, select Active Directory Connector.
    • Connected System/Metaverse Object Type: (Tipo di oggetto sistema connesso/Tipo di oggetto metaverse) selezionare rispettivamente User (Utente) e Person (Persona).Connected System/Metaverse Object Type: Select User and Person, respectively.
    • Link Type: (Tipo di collegamento) modificare questo valore in Join (Unisci).Link Type: Change this value to Join.
    • Precedence: (Precedenza) fornire un valore univoco nel sistema.Precedence: Provide a value that is unique in the system. Un valore numerico inferiore indica una precedenza maggiore.A lower numeric value indicates higher precedence.
    • Tag: lasciare vuoto questo campo.Tag: Leave this empty. È necessario popolare questa casella con un valore solo per le regole predefinite di Microsoft.Only out-of-box rules from Microsoft should have this box populated with a value.
  3. Nella pagina Scoping filter (Filtro di ambito) immettere givenName ISNOTNULL.On the Scoping filter page, enter givenName ISNOTNULL.
    Filtro dell'ambito per le regole in ingressoInbound rule scoping filter
    Questa sezione viene usata per definire gli oggetti a cui dovrà essere applicata la regola.This section is used to define to which objects the rule should apply. Se lasciata vuota, la regola verrà applicata a tutti gli oggetti utente,If it's left empty, the rule would apply to all user objects. ma includerà sale riunioni, account del servizio e altri oggetti utente non di persone.However, that would include conference rooms, service accounts, and other non-people user objects.
  4. Nella pagina Join rules (Regole di unione) lasciare vuoto il campo.On the Join rules page, leave the field empty.
  5. Nella pagina Transformations (Trasformazioni) modificare FlowType in Expression (Espressione).On the Transformations page, change FlowType to Expression. Per Target Attribute (Attributo di destinazione) selezionare givenName.For Target Attribute, select givenName. Per Source (Origine) immettere PCase([givenName]).And for Source, enter PCase([givenName]). Trasformazioni di regole in ingressoInbound rule transformations
    Il motore di sincronizzazione fa distinzione tra maiuscole e minuscole sia nel nome della funzione che nel nome dell'attributo.The sync engine is case-sensitive for both the function name and the name of the attribute. Nel caso di un errore di digitazione, viene visualizzato un avviso quando si aggiunge la regola.If you type something wrong, you see a warning when you add the rule. È possibile salvare e continuare, ma è necessario riaprire e correggere la regola.You can save and continue, but you need to reopen and correct the rule.
  6. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.

La nuova regola personalizzata sarà visibile insieme alle altre regole di sincronizzazione nel sistema.Your new custom rule should be visible with the other sync rules in the system.

Verificare la modificaVerify the change

Con questa nuova modifica si vuole verificare che funzioni come previsto e non generi errori.With this new change, you want to make sure it is working as expected and is not throwing any errors. A seconda del numero di oggetti disponibili, esistono due modi per eseguire questo passaggio:Depending on the number of objects you have, there are two ways to do this step:

  • Eseguire una sincronizzazione completa in tutti gli oggetti.Run a full sync on all objects.
  • Eseguire un'anteprima e una sincronizzazione completa in un singolo oggetto.Run a preview and full sync on a single object.

Aprire Synchronization Service (Servizio di sincronizzazione) dal menu Start.Open the Synchronization Service from the Start menu. I passaggi in questa sezione fanno tutti parte di questo strumento.The steps in this section are all in this tool.

Sincronizzazione completa in tutti gli oggettiFull sync on all objects

  1. Selezionare Connectors (Connettori) nella parte superiore.Select Connectors at the top. Identificare il connettore modificato nella sezione precedente, in questo caso Active Directory Domain Services, e selezionarlo.Identify the connector that you changed in the previous section (in this case, Active Directory Domain Services), and select it.
  2. In Actions (Azioni) selezionare Run (Esegui).For Actions, select Run.
  3. Selezionare Full Synchronization (Sincronizzazione completa) e quindi OK.Select Full Synchronization, and then select OK. Sincronizzazione completaFull sync
    Gli oggetti vengono aggiornati nel metaverse.The objects are now updated in the metaverse. Verificare le modifiche esaminando l'oggetto nel metaverse.Verify your changes by looking at the object in the metaverse.

Anteprima e sincronizzazione completa in un singolo oggettoPreview and full sync on a single object

  1. Selezionare Connectors (Connettori) nella parte superiore.Select Connectors at the top. Identificare il connettore modificato nella sezione precedente, in questo caso Active Directory Domain Services, e selezionarlo.Identify the connector that you changed in the previous section (in this case, Active Directory Domain Services), and select it.
  2. Selezionare Search Connector Space(Cerca spazio connettore).Select Search Connector Space.
  3. Usare l'ambito per trovare un oggetto che si vuole usare per testare la modifica.Use Scope to find an object that you want to use to test the change. Selezionare l'oggetto e fare clic su Preview(Anteprima).Select the object and click Preview.
  4. Nella nuova schermata selezionare Commit Preview(Anteprima commit).On the new screen, select Commit Preview.
    Commit previewCommit preview
    Viene eseguito il commit della modifica nel metaverse.The change is now committed to the metaverse.

Visualizzare l'oggetto nel metaverseView the object in the metaverse

  1. Selezionare alcuni oggetti di esempio per assicurarsi che il valore sia previsto e la regola applicata.Pick a few sample objects to make sure that the value is expected and that the rule applied.
  2. Selezionare Metaverse Search (Ricerca metaverse) nella parte superiore.Select Metaverse Search from the top. Aggiungere il filtro necessario per trovare gli oggetti pertinenti.Add any filter that you need to find the relevant objects.
  3. Dai risultati della ricerca aprire un oggetto.From the search result, open an object. Esaminare i valori dell'attributo e verificare anche che nella colonna Sync Rules (Regole di sincronizzazione) la regola sia applicata come previsto.Look at the attribute values, and also verify in the Sync Rules column that the rule applied as expected.
    Ricerca metaverseMetaverse search

Abilitare l'utilità di pianificazioneEnable the scheduler

Se è tutto come previsto, è possibile abilitare di nuovo l'utilità di pianificazione.If everything is as expected, you can enable the scheduler again. In PowerShell eseguire Set-ADSyncScheduler -SyncCycleEnabled $true.From PowerShell, run Set-ADSyncScheduler -SyncCycleEnabled $true.

Altre modifiche comuni del flusso dell'attributoOther common attribute flow changes

La sezione precedente descrive come apportare modifiche a un flusso dell'attributo.The previous section described how to make changes to an attribute flow. In questa sezione vengono forniti alcuni esempi aggiuntivi.In this section, some additional examples are provided. La procedura per creare la regola di sincronizzazione è abbreviata, ma è possibile trovare quella completa nella sezione precedente.The steps for how to create the sync rule is abbreviated, but you can find the full steps in the previous section.

Usare un attributo diverso da quello predefinitoUse an attribute other than the default

In questo scenario relativo a Fabrikam è disponibile una foresta in cui viene usato l'alfabeto locale per nome, cognome e nome visualizzato.In this Fabrikam scenario, there is a forest where the local alphabet is used for given name, surname, and display name. La rappresentazione in caratteri latini di questi attributi è disponibile negli attributi dell'estensione.The Latin character representation of these attributes can be found in the extension attributes. Per la compilazione dell'elenco indirizzi globale in Azure AD e Office 365, l'organizzazione vuole invece usare questi attributi.For building a global address list in Azure AD and Office 365, the organization wants to use these attributes instead.

Con una configurazione predefinita, un oggetto della foresta locale avrà un aspetto simile al seguente: With a default configuration, an object from the local forest looks like this:
Flusso dell'attributo 1

Per creare una regola con altri flussi di attributi, eseguire queste operazioni:To create a rule with other attribute flows, do the following:

  1. Aprire l'editor delle regole di sincronizzazione dal menu Start.Open the Synchronization Rules Editor from the Start menu.
  2. Con la voce Inbound (In ingresso) ancora selezionata a sinistra fare clic sul pulsante Add new rule (Aggiungi nuova regola).With Inbound still selected to the left, click the Add new rule button.
  3. Assegnare alla regola un nome e una descrizione.Give the rule a name and description. Selezionare l'istanza della directory Active Directory locale e i tipi di oggetto pertinenti.Select the on-premises Active Directory instance and the relevant object types. In Link Type (Tipo di collegamento) selezionare Join (Unisci).In Link Type, select Join. Nel campo Precedence (Precedenza) scegliere un numero non usato da un'altra regola.For Precedence, pick a number that is not used by another rule. Le regole predefinite iniziano con 100, quindi in questo esempio si può usare il valore 50.The out-of-box rules start with 100, so the value 50 can be used in this example. Flusso dell'attributo 2Attribute flow 2
  4. Lasciare vuoto il campo Scoping filter (Filtro di ambito).Leave Scoping filter empty. L'ambito deve essere applicato a tutti gli oggetti utente della foresta.(That is, it should apply to all user objects in the forest.)
  5. Lasciare vuoto il campo Join rules (Regole di unione).Leave Join rules empty. In questo modo alla regola predefinita viene consentito di gestire tutte le unioni.(That is, let the out-of-box rule handle any joins.)
  6. In Transformations (Trasformazioni) creare i flussi seguenti:In Transformations, create the following flows:
    Flusso dell'attributo 3Attribute flow 3
  7. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.
  8. Passare a Synchronization Service Manager.Go to Synchronization Service Manager. In Connectors(Connettori) selezionare il connettore in cui è stata aggiunta la regola.On Connectors, select the connector where you added the rule. Selezionare Run (Esegui) e quindi Full Synchronization (Sincronizzazione completa).Select Run, and then select Full Synchronization. Una sincronizzazione completa ricalcola tutti gli oggetti usando le regole correnti.A full synchronization recalculates all objects by using the current rules.

Di seguito è riportato il risultato per lo stesso oggetto con questa regola personalizzata: This is the result for the same object with this custom rule:
Flusso dell'attributo 4

Lunghezza degli attributiLength of attributes

Gli attributi di stringa sono indicizzabili per impostazione predefinita e la lunghezza massima è di 448 caratteri.String attributes are indexable by default, and the maximum length is 448 characters. Se si usano attributi di stringa che potrebbero contenere più caratteri, assicurarsi di includere il codice seguente nel flusso di attributi:If you are working with string attributes that might contain more, make sure to include the following in the attribute flow:
attributeName <- Left([attributeName],448).attributeName <- Left([attributeName],448).

Modifica di userPrincipalSuffixChanging the userPrincipalSuffix

L'attributo userPrincipalName in Active Directory non è sempre noto agli utenti e potrebbe non essere adatto come ID di accesso.The userPrincipalName attribute in Active Directory is not always known by the users and might not be suitable as the sign-in ID. L'installazione guidata del servizio di sincronizzazione Azure AD Connect consente di scegliere un attributo diverso, ad esempio mail.With the Azure AD Connect sync installation wizard, you can choose a different attribute--for example, mail. In alcuni casi è però necessario calcolare l'attributo.But in some cases, the attribute must be calculated.

Ad esempio, Contoso ha due directory di Azure AD, una per la produzione e una per i test.For example, the company Contoso has two Azure AD directories, one for production and one for testing. L'azienda vuole che gli utenti del tenant di test usino un altro suffisso nell'ID di accesso:They want the users in their test tenant to use another suffix in the sign-in ID:
userPrincipalName <- Word([userPrincipalName],1,"@") & "@contosotest.com".userPrincipalName <- Word([userPrincipalName],1,"@") & "@contosotest.com".

In questa espressione selezionare tutti gli elementi che si trovano a sinistra del primo carattere @-sign (Word) e concatenarli con una stringa fissa.In this expression, take everything left of the first @-sign (Word) and concatenate with a fixed string.

Convertire un attributo multivalore in un valore singoloConvert a multi-value attribute to single value

Alcuni attributi in Active Directory sono di tipo multivalore nello schema, anche se compaiono come valore singolo in Utenti e computer di Active Directory,Some attributes in Active Directory are multi-valued in the schema, even though they look single-valued in Active Directory Users and Computers. ad esempio l'attributo description:An example is the description attribute:
description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).description <- IIF(IsNullOrEmpty([description]),NULL,Left(Trim(Item([description],1)),448)).

Se in questa espressione l'attributo ha un valore, selezionare il primo elemento (Item) dell'attributo, rimuovere gli spazi iniziali e finali (Trim) e mantenere i primi 448 caratteri (Left) della stringa.In this expression, if the attribute has a value, take the first item (Item) in the attribute, remove leading and trailing spaces (Trim), and then keep the first 448 characters (Left) in the string.

Non trasmettere un attributoDo not flow an attribute

Per informazioni generali sullo scenario per questa sezione, vedere Controllare il processo del flusso dell'attributo.For background on the scenario for this section, see Control the attribute flow process.

Sono disponibili due modalità per non trasmettere un attributo.There are two ways to not flow an attribute. Il primo prevede l'uso dell'installazione guidata per rimuovere gli attributi selezionati.The first is by using the installation wizard to remove selected attributes. Questa opzione funziona se l'attributo non è mai stato sincronizzato in precedenza.This option works if you have never synchronized the attribute before. Tuttavia, se si è iniziato a sincronizzare questo attributo e lo si rimuove in seguito con questa funzionalità, il motore di sincronizzazione interrompe la gestione dell'attributo e i valori esistenti rimangono in Azure AD.However, if you have started to synchronize this attribute and later remove it with this feature, the sync engine stops managing the attribute and the existing values are left in Azure AD.

Se si vuole rimuovere il valore di un attributo e assicurarsi che non venga trasmesso in futuro, creare una regola personalizzata.If you want to remove the value of an attribute and make sure it does not flow in the future, you need create a custom rule.

In questo scenario relativo a Fabrikam si è notato che alcuni degli attributi sincronizzati nel cloud non avrebbero dovuto esserlo.In this Fabrikam scenario, we have realized that some of the attributes we synchronize to the cloud should not be there. Si vuole accertarsi che questi attributi vengano rimossi da Azure AD.We want to make sure these attributes are removed from Azure AD.
Attributi di estensione non validi

  1. Creare una nuova regola di sincronizzazione in ingresso e popolare la descrizione.Create a new inbound synchronization rule and populate the description. DescrizioniDescriptions
  2. Creare flussi di attributi impostando Expression per FlowType e AuthoritativeNull per Source.Create attribute flows with Expression for FlowType and with AuthoritativeNull for Source. Il valore letterale AuthoritativeNull indica che il valore dovrebbe essere vuoto nel metaverse anche se una regola di sincronizzazione di precedenza inferiore tenta di popolare il valore.The literal AuthoritativeNull indicates that the value should be empty in the metaverse, even if a lower-precedence sync rule tries to populate the value. Trasformazione per gli attributi di estensioneTransformation for extension attributes
  3. Salvare la regola di sincronizzazione.Save the sync rule. Avviare il servizio di sincronizzazione, trovare il connettore, selezionare Run (Esegui) e quindi Full Synchronization (Sincronizzazione completa).Start the Synchronization Service, find the connector, select Run, and then select Full Synchronization. Questo passaggio consente di ricalcolare tutti i flussi degli attributi.This step recalculates all attribute flows.
  4. Verificare che le modifiche richieste stiano per essere esportate mediante la ricerca dello spazio connettore.Verify that the intended changes are about to be exported by searching the Connector Space. Eliminazione di gestione temporaneaStaged delete

Creare regole con PowerShellCreate rules with PowerShell

L'uso dell'editor delle regole di sincronizzazione è ottimale quando le regole da modificare sono poche.Using the sync rule editor works fine when you only have a few changes to make. Se è necessario apportare molte modifiche, PowerShell è un'opzione migliore.If you need to make many changes, PowerShell might be a better option. Alcune funzionalità avanzate sono disponibili solo con PowerShell.Some advanced features are only available with PowerShell.

Ottenere lo script di PowerShell per una regola predefinitaGet the PowerShell script for an out-of-box rule

Per visualizzare lo script di PowerShell con il quale è stata creata una regola predefinita, selezionare la regola nell'editor delle regole di sincronizzazione e fare clic su Esporta.To see the PowerShell script that created an out-of-box rule, select the rule in the sync rules editor and click Export. Questa azione fornisce lo script di PowerShell che ha creato la regola.This action gives you the PowerShell script that created the rule.

Precedenza avanzataAdvanced precedence

Le regole di sincronizzazione predefinite iniziano con un valore di precedenza pari a 100.The out-of-box sync rules start with a precedence value of 100. Se si dispone di molte forest ed è necessario apportare numerose modifiche personalizzate, 99 regole di sincronizzazione potrebbero non essere sufficienti.If you have many forests and you need to make many custom changes, then 99 sync rules might not be enough.

È possibile indicare al motore di sincronizzazione che si vuole inserire le regole aggiuntive prima di quelle predefinite.You can instruct the sync engine that you want additional rules inserted before the out-of-box rules. Per ottenere questo comportamento, seguire questa procedura:To get this behavior, follow these steps:

  1. Contrassegnare la prima regola di sincronizzazione predefinita (In from AD-User Join) nell'editor delle regole di sincronizzazione e selezionare Esporta.Mark the first out-of-box sync rule (In from AD-User Join) in the sync rules editor and select Export. Copiare il valore dell'identificatore di SR.Copy the SR Identifier value.
    PowerShell prima della modificaPowerShell before change
  2. Creare la nuova regola di sincronizzazione.Create the new sync rule. Per creare la regola, è possibile usare l'editor delle regole di sincronizzazione.You can use the sync rules editor to create it. Esportare la regola in uno script di PowerShell.Export the rule to a PowerShell script.
  3. Nella proprietà PrecedenceBefore inserire il valore dell'identificatore della regola predefinita.In the property PrecedenceBefore, insert the Identifier value from the out-of-box rule. Impostare la Precedenza su 0.Set the Precedence to 0. Assicurarsi che l'attributo dell'identificatore sia univoco e non si stia riusando il GUID di un'altra regola.Make sure the Identifier attribute is unique and that you are not reusing a GUID from another rule. Assicurarsi anche che la proprietà ImmutableTag non sia impostata.Also make sure that the ImmutableTag property is not set. Questa proprietà deve essere impostata solo per una regola predefinita.This property should be set only for an out-of-box rule.
  4. Salvare lo script di PowerShell ed eseguirlo.Save the PowerShell script and run it. Il risultato è che alla regola personalizzata viene assegnato un valore di precedenza pari a 100 e tutte le altre regole predefinite vengono incrementate.The result is that your custom rule is assigned the precedence value of 100 and all other out-of-box rules are incremented.
    PowerShell dopo la modifica

È possibile configurare molte regole di sincronizzazione personalizzate usando lo stesso valore PrecedenceBefore quando necessario.You can have many custom sync rules by using the same PrecedenceBefore value when needed.

Abilitare la sincronizzazione di UserTypeEnable synchronization of UserType

Azure AD Connect supporta la sincronizzazione dell'attributo UserType per gli oggetti Utente nella versione 1.1.524.0 e successive.Azure AD Connect supports synchronization of the UserType attribute for User objects in version 1.1.524.0 and later. In particolare, sono state introdotte le seguenti modifiche:More specifically, the following changes have been introduced:

  • Lo schema del tipo di oggetto Utente in Azure AD Connector è stato esteso per poter includere l'attributo UserType, che è di tipo stringa a valore singolo.The schema of the object type User in the Azure AD Connector is extended to include the UserType attribute, which is of the type string and is single-valued.
  • Lo schema del tipo di oggetto Persona nel metaverse è stato esteso per poter includere l'attributo UserType, che è di tipo stringa a valore singolo.The schema of the object type Person in the metaverse is extended to include the UserType attribute, which is of the type string and is single-valued.

Per impostazione predefinita, l'attributo UserType non è abilitato per la sincronizzazione perché non è presente alcun attributo UserType corrispondente in Active Directory locale.By default, the UserType attribute is not enabled for synchronization because there is no corresponding UserType attribute in on-premises Active Directory. È necessario abilitare la sincronizzazione manualmente.You must manually enable synchronization. Prima di procedere, è necessario considerare il comportamento seguente applicato da Azure AD:Before doing this, you must take note of the following behavior enforced by Azure AD:

  • Azure AD accetta solo due valori per l'attributo UserType: Membro e Guest.Azure AD only accepts two values for the UserType attribute: Member and Guest.
  • Se l'attributo UserType non è abilitato per la sincronizzazione in Azure AD Connect, gli utenti di Azure AD creati attraverso la sincronizzazione della directory avranno l'attributo UserType impostato su Membro.If the UserType attribute is not enabled for synchronization in Azure AD Connect, Azure AD users created through directory synchronization would have the UserType attribute set to Member.
  • Azure AD non consente ad Azure AD Connect di modificare l'attributo UserType per gli utenti esistenti di Azure AD.Azure AD does not permit the UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Questo attributo può essere impostato solo durante la creazione degli utenti di Azure AD.It can only be set during the creation of the Azure AD users.

Per abilitare la sincronizzazione dell'attributo UserType, è prima necessario decidere in che modo tale attributo verrà ricavato da Active Directory locale.Before enabling synchronization of the UserType attribute, you must first decide how the attribute is derived from on-premises Active Directory. Di seguito sono descritti gli approcci più comuni:The following are the most common approaches:

  • Individuare un attributo di AD locale non usato, ad esempio extensionAttribute1, e usarlo come attributo di origine.Designate an unused on-premises AD attribute (such as extensionAttribute1) to be used as the source attribute. L'attributo designato di AD locale deve essere di tipo stringa a valore singolo e contenere il valore Membro o Guest.The designated on-premises AD attribute should be of the type string, be single-valued, and contain the value Member or Guest.

    Se si sceglie questo approccio, prima di abilitare la sincronizzazione dell'attributo UserType è necessario assicurarsi che l'attributo designato sia popolato con il valore corretto per tutti gli oggetti utente esistenti in Active Directory locale che sono sincronizzati con Azure AD.If you choose this approach, you must ensure that the designated attribute is populated with the correct value for all existing user objects in on-premises Active Directory that are synchronized to Azure AD before enabling synchronization of the UserType attribute.

  • In alternativa, è possibile ricavare il valore dell'attributo UserType da altre proprietà.Alternatively, you can derive the value for the UserType attribute from other properties. Ad esempio, si vogliono sincronizzare tutti gli utenti come Guest se il relativo attributo userPrincipalName di AD locale termina con la parte di dominio @partners.fabrikam123.org.For example, you want to synchronize all users as Guest if their on-premises AD userPrincipalName attribute ends with domain part @partners.fabrikam123.org.

    Come accennato in precedenza, Azure AD non consente ad Azure AD Connect di modificare l'attributo UserType per gli utenti esistenti di Azure AD.As mentioned previously, Azure AD Connect does not permit the UserType attribute on existing Azure AD users to be changed by Azure AD Connect. Di conseguenza, è necessario assicurarsi che la logica decisa sia coerente con la configurazione dell'attributo UserType già eseguita per tutti gli utenti di Azure AD esistenti nel tenant.Therefore, you must ensure that the logic you have decided is consistent with how the UserType attribute is already configured for all existing Azure AD users in your tenant.

La procedura per abilitare la sincronizzazione dell'attributo UserType può essere riepilogata come segue:The steps to enable synchronization of the UserType attribute can be summarized as:

  1. Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna operazione di sincronizzazione.Disable the sync scheduler and verify there is no synchronization in progress.
  2. Aggiungere l'attributo di origine allo schema di AD Connector locale.Add the source attribute to the on-premises AD Connector schema.
  3. Aggiungere UserType allo schema di Azure AD Connector.Add the UserType to the Azure AD Connector schema.
  4. Creare una regola di sincronizzazione in ingresso per trasmettere il valore dell'attributo da Active Directory locale.Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory.
  5. Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure AD.Create an outbound synchronization rule to flow the attribute value to Azure AD.
  6. Eseguire un ciclo di sincronizzazione completa.Run a full synchronization cycle.
  7. Abilitare l'utilità di pianificazione della sincronizzazione.Enable the sync scheduler.

Nota

La parte restante di questa sezione illustra la proceduraThe rest of this section covers these steps. nel contesto di una distribuzione di Azure AD con topologia a foresta singola e senza regole di sincronizzazione personalizzate.They are described in the context of an Azure AD deployment with single-forest topology and without custom synchronization rules. Se sono stati configurati una topologia a più foreste e regole di sincronizzazione personalizzate o si dispone di un server di gestione temporanea, è necessario modificare di conseguenza i passaggi.If you have multi-forest topology, custom synchronization rules configured, or have a staging server, you need to adjust the steps accordingly.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna operazione di sincronizzazioneStep 1: Disable the sync scheduler and verify there is no synchronization in progress

Per evitare l'esportazione di modifiche accidentali in Azure AD, verificare che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione.To avoid exporting unintended changes to Azure AD, ensure that no synchronization takes place while you are in the middle of updating synchronization rules. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:To disable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell nel server di Azure AD Connect.Start a PowerShell session on the Azure AD Connect server.
  2. Disabilitare la sincronizzazione pianificata eseguendo il cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.Disable scheduled synchronization by running the cmdlet Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Aprire Synchronization Service Manager passando a Start > Synchronization Service (Servizio di sincronizzazione).Open the Synchronization Service Manager by going to Start > Synchronization Service.
  4. Passare alla scheda Operazioni e verificare che per nessuna operazione lo stato sia In corso.Go to the Operations tab and confirm there is no operation with a status of in progress.

Passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector localeStep 2: Add the source attribute to the on-premises AD Connector schema

Non tutti gli attributi di Azure AD vengono importati in locale nello spazio di AD Connector locale.Not all Azure AD attributes are imported into the on-premises AD Connector Space. Per aggiungere l'attributo di origine all'elenco degli attributi importati:To add the source attribute to the list of the imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse su AD Connector locale e selezionare Proprietà.Right-click the on-premises AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog box, go to the Select Attributes tab.
  4. Assicurarsi che l'attributo di origine sia selezionato nell'elenco degli attributi.Make sure the source attribute is checked in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save. Aggiungere l'attributo di origine allo schema di AD Connector localeAdd source attribute to on-premises AD Connector schema

Passaggio 3: Aggiungere UserType allo schema di Azure AD ConnectorStep 3: Add the UserType to the Azure AD Connector schema

Per impostazione predefinita, l'attributo UserType non viene importato nello spazio di Azure AD Connect.By default, the UserType attribute is not imported into the Azure AD Connect Space. Per aggiungere l'attributo UserType all'elenco degli attributi importati:To add the UserType attribute to the list of imported attributes:

  1. Passare alla scheda Connettori in Synchronization Service Manager.Go to the Connectors tab in the Synchronization Service Manager.
  2. Fare clic con il pulsante destro del mouse su Azure AD Connector e selezionare Proprietà.Right-click the Azure AD Connector and select Properties.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.In the pop-up dialog box, go to the Select Attributes tab.
  4. Assicurarsi che l'attributo UserType sia selezionato nell'elenco degli attributi.Make sure the UserType attribute is checked in the attribute list.
  5. Fare clic su OK per salvare.Click OK to save.

Aggiungere l'attributo di origine allo schema di AD Connector

Passaggio 4: Creare una regola di sincronizzazione in entrata per trasmettere il valore dell'attributo da Active Directory localeStep 4: Create an inbound synchronization rule to flow the attribute value from on-premises Active Directory

La regola di sincronizzazione in ingresso consente la trasmissione del valore dell'attributo dall'attributo di origine di Active Directory locale al metaverse:The inbound synchronization rule permits the attribute value to flow from the source attribute from on-premises Active Directory to the metaverse:

  1. Aprire l'editor delle regole di sincronizzazione passando a Start > Synchronization Rules Editor (Editor delle regole di sincronizzazione).Open the Synchronization Rules Editor by going to Start > Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione su In arrivo.Set the search filter Direction to be Inbound.
  3. Fare clic sul pulsante Aggiungi nuova regola per creare una nuova regola in ingresso.Click the Add new rule button to create a new inbound rule.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, In from AD - User UserTypeFor example, In from AD – User UserType
    DESCRIZIONEDescription Inserire una descrizioneProvide a description
    Connected SystemConnected System Scegliere il connettore di AD localePick the on-premises AD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1–99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1–99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.Do not pick a value that is used by another synchronization rule.
  5. Passare alla scheda Scoping filter (Filtro di ambito) e aggiungere un singolo gruppo di filtri di ambito con la clausola seguente:Go to the Scoping filter tab and add a single scoping filter group with the following clause:

    AttributoAttribute OperatoreOperator ValoreValue
    adminDescriptionadminDescription NOTSTARTWITHNOTSTARTWITH Utente_User_

    Il filtro di ambito determina a quali oggetti di AD locale viene applicata la regola di sincronizzazione in ingresso.The scoping filter determines to which on-premises AD objects this inbound synchronization rule is applied. Questo esempio è basato sullo stesso filtro di ambito usato come regola di sincronizzazione predefinita In from AD – User Common, che impedisce alla regola di sincronizzazione di essere applicata a oggetti Utente creati tramite la funzionalità di writeback dell'utente di Azure AD.In this example, we use the same scoping filter used in the In from AD – User Common out-of-box synchronization rule, which prevents the synchronization rule from being applied to User objects created through the Azure AD User writeback feature. Potrebbe essere necessario perfezionare il filtro di ambito in base alla distribuzione di Azure AD Connect.You might need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Passare alla scheda Trasformazione e implementare la regola di trasformazione desiderata.Go to the Transformation tab and implement the desired transformation rule. Ad esempio, se si è designato un attributo di AD locale non in uso, ad esempio extensionAttribute1, come attributo di origine di UserType, è possibile implementare un flusso di attributi diretto:For example, if you have designated an unused on-premises AD attribute (such as extensionAttribute1) as the source attribute for the UserType, you can implement a direct attribute flow:

    Tipo di flussoFlow type Attributo di destinazioneTarget attribute SorgenteSource Applicare una sola voltaApply once Tipi di unioneMerge type
    DirettoDirect UserTypeUserType extensionAttribute1extensionAttribute1 Non selezionatoUnchecked AggiornamentoUpdate

    In un altro esempio si vuole ricavare il valore dell'attributo UserType da altre proprietà.In another example, you want to derive the value for the UserType attribute from other properties. Ad esempio, si vogliono sincronizzare tutti gli utenti come Guest se il relativo attributo userPrincipalName di AD locale termina con la parte di dominio @partners.fabrikam123.org. È possibile implementare un'espressione simile alla seguente:For example, you want to synchronize all users as Guest if their on-premises AD userPrincipalName attribute ends with domain part @partners.fabrikam123.org. You can implement an expression like this:

    Tipo di flussoFlow type Attributo di destinazioneTarget attribute SorgenteSource Applicare una sola voltaApply once Tipi di unioneMerge type
    DirettoDirect UserTypeUserType IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Membro","Guest"),Error("UserPrincipalName non è presente per determinare UserType"))IIF(IsPresent([userPrincipalName]),IIF(CBool(InStr(LCase([userPrincipalName]),"@partners.fabrikam123.org")=0),"Member","Guest"),Error("UserPrincipalName is not present to determine UserType")) Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in entrata.Click Add to create the inbound rule.

Creare una regola di sincronizzazione in ingresso

Passaggio 5: Creare una regola di sincronizzazione in uscita per trasmettere il valore dell'attributo da Azure ADStep 5: Create an outbound synchronization rule to flow the attribute value to Azure AD

La regola di sincronizzazione in uscita consente la trasmissione del valore dell'attributo dal metaverse all'attributo UserType in Azure AD:The outbound synchronization rule permits the attribute value to flow from the metaverse to the UserType attribute in Azure AD:

  1. Passare all'editor delle regole di sincronizzazione.Go to the Synchronization Rules Editor.
  2. Impostare il filtro di ricerca Direzione da In uscita.Set the search filter Direction to be Outbound.
  3. Fare clic sul pulsante Aggiungi nuova regola.Click the Add new rule button.
  4. Nella scheda Descrizione inserire la configurazione seguente:Under the Description tab, provide the following configuration:

    AttributoAttribute ValoreValue DettagliDetails
    NOMEName Specificare un nomeProvide a name Ad esempio, Out to AAD – User UserTypeFor example, Out to AAD – User UserType
    DESCRIZIONEDescription Inserire una descrizioneProvide a description
    Connected SystemConnected System Selezionare il connettore di AADSelect the AAD connector
    Connected System Object TypeConnected System Object Type UtenteUser
    Metaverse Object TypeMetaverse Object Type PersonPerson
    Tipo di collegamentoLink Type JoinJoin
    PrecedenzaPrecedence Scegliere un numero compreso tra 1 e 99Choose a number between 1–99 I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate.1–99 is reserved for custom sync rules. Non scegliere un valore usato da un'altra regola di sincronizzazione.Do not pick a value that is used by another synchronization rule.
  5. Passare alla scheda Scoping filter (Filtro di ambito) e aggiungere un singolo gruppo di filtri di ambito con le due clausole:Go to the Scoping filter tab and add a single scoping filter group with two clauses:

    AttributoAttribute OperatoreOperator ValoreValue
    sourceObjectTypesourceObjectType EQUALEQUAL UtenteUser
    cloudMasteredcloudMastered NOTEQUALNOTEQUAL True True

    Il filtro di ambito determina a quali oggetti di Azure AD viene applicata la regola di sincronizzazione in uscita.The scoping filter determines to which Azure AD objects this outbound synchronization rule is applied. In questo esempio, viene usato lo stesso filtro di ambito della regola di sincronizzazione predefinita Out to AD – User Identity.In this example, we use the same scoping filter from the Out to AD – User Identity out-of-box synchronization rule. Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente non sincronizzati da Active Directory locale.It prevents the synchronization rule from being applied to User objects that are not synchronized from on-premises Active Directory. Potrebbe essere necessario perfezionare il filtro di ambito in base alla distribuzione di Azure AD Connect.You might need to tweak the scoping filter according to your Azure AD Connect deployment.

  6. Andare alla scheda Trasformazione e implementare la regola di trasformazione seguente:Go to the Transformation tab and implement the following transformation rule:

    Tipo di flussoFlow type Attributo di destinazioneTarget attribute SorgenteSource Applicare una sola voltaApply once Tipi di unioneMerge type
    DirettoDirect UserTypeUserType UserTypeUserType Non selezionatoUnchecked AggiornamentoUpdate
  7. Fare clic su Aggiungi per creare la regola in uscita.Click Add to create the outbound rule.

Creare una regola di sincronizzazione in uscita

Passaggio 6: Eseguire un ciclo di sincronizzazione completaStep 6: Run a full synchronization cycle

In generale, un ciclo di sincronizzazione completo è necessario perché sono stati aggiunti nuovi attributi per gli schemi di Active Directory e Azure AD Connector e sono state introdotte regole di sincronizzazione personalizzate.In general, a full synchronization cycle is required because we have added new attributes to both the Active Directory and Azure AD Connector schemas, and introduced custom synchronization rules. Si vuole controllare le modifiche prima di esportarle in Azure AD.You want to verify the changes before exporting them to Azure AD.

È possibile usare la procedura seguente per controllare le modifiche, eseguendo al contempo manualmente i passaggi che compongono il ciclo di sincronizzazione completo.You can use the following steps to verify the changes while manually running the steps that make up a full synchronization cycle.

  1. Eseguire un'importazione completa in AD Connector locale:Run a Full import on the on-premises AD Connector:

    1. Passare alla scheda Operazioni in Synchronization Service Manager.Go to the Operations tab in the Synchronization Service Manager.
    2. Fare clic con il pulsante destro del mouse su AD Connector locale e selezionare Esegui.Right-click the on-premises AD Connector and select Run.
    3. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog box, select Full Import and then click OK.
    4. Attendere il completamento dell'operazione.Wait for the operation to finish.

      Nota

      È possibile ignorare l'importazione completa in AD Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati.You can skip a full import on the on-premises AD Connector if the source attribute is already included in the list of imported attributes. In altre parole, non è necessario apportare modifiche durante il passaggio 2: Aggiungere l'attributo di origine allo schema di AD Connector locale.In other words, you did not have to make any changes during Step 2: Add the source attribute to the on-premises AD Connector schema.

  2. Eseguire un'importazione completa in Azure AD Connector:Run a Full import on the Azure AD Connector:

    1. Fare clic con il pulsante destro del mouse su Azure AD Connector e selezionare Esegui.Right-click the Azure AD Connector and select Run.
    2. Nella finestra di dialogo popup selezionare Importazione completa e fare clic su OK.In the pop-up dialog box, select Full Import and then click OK.
    3. Attendere il completamento dell'operazione.Wait for the operation to finish.
  3. Controllare le modifiche alle regole di sincronizzazione in un oggetto Utente esistente:Verify the synchronization rule changes on an existing User object:

    L'attributo di origine di Active Directory locale e UserType di Azure AD sono stati importati nei rispettivi spazi connettore.The source attribute from on-premises Active Directory and the UserType from Azure AD have been imported into their respective Connector Spaces. Prima di procedere a eseguire una sincronizzazione completa, è consigliabile eseguire un'anteprima su un oggetto Utente esistente nello spazio di AD Connector locale.Before proceeding with a full synchronization, do a Preview on an existing User object in the on-premises AD Connector Space. L'attributo di origine dell'oggetto selezionato deve essere popolato.The object you chose should have the source attribute populated.

    Un'operazione di anteprima riuscita che mostra UserType popolato nel metaverse indica che le regole di sincronizzazione sono state configurate correttamente.A successful Preview with the UserType populated in the metaverse is a good indicator that you have configured the synchronization rules correctly. Per informazioni sull'esecuzione dell'anteprima, fare riferimento alla sezione Verify the change (Verificare le modifiche).For information about how to do a Preview, refer to the section Verify the change.

  4. Eseguire una sincronizzazione completa in AD Connector locale:Run a Full Synchronization on the on-premises AD Connector:

    1. Fare clic con il pulsante destro del mouse su AD Connector locale e selezionare Esegui.Right-click the on-premises AD Connector and select Run.
    2. Nella finestra di dialogo popup selezionare Sincronizzazione completa e fare clic su OK.In the pop-up dialog box, select Full Synchronization and then click OK.
    3. Attendere il completamento dell'operazione.Wait for the operation to finish.
  5. Verificare le esportazioni in sospeso per Azure AD:Verify Pending Exports to Azure AD:

    1. Fare clic con il pulsante destro del mouse su Azure AD Connector e selezionare Search Connector Space (Cerca spazio connettore).Right-click the Azure AD Connector and select Search Connector Space.
    2. Nella finestra di dialogo popup Search Connector Space (Spazio connettore di ricerca):In the Search Connector Space pop-up dialog box:

      • Impostare Ambito su Pending Export (Esportazione in sospeso).Set Scope to Pending Export.
      • Selezionare tutte e tre le caselle di controllo: Add (Aggiungi), Modify (Modifica) e Delete (Elimina).Select all three check boxes: Add, Modify, and Delete.
      • Fare clic sul pulsante Ricerca per ottenere l'elenco degli oggetti con le modifiche da esportare.Click the Search button to get the list of objects with changes to be exported. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.To examine the changes for a given object, double-click the object.
      • Verificare le modifiche previste.Verify that the changes are expected.
  6. Eseguire il comando Export (Esporta) in Azure AD Connector:Run Export on the Azure AD Connector:

    1. Fare clic con il pulsante destro del mouse su Azure AD Connector e selezionare Esegui.Right-click the Azure AD Connector and select Run.
    2. Nella finestra popup Run Connector (Esegui connettore) selezionare Export (Esporta) e fare clic su OK.In the Run Connector pop-up dialog box, select Export and then click OK.
    3. Attendere il completamento dell'esportazione in Azure AD.Wait for the export to Azure AD to finish.

Nota

Questa procedura non include il passaggio di sincronizzazione completa e quello di esportazione in Azure AD Connector.These steps do not include the full synchronization and export steps on the Azure AD Connector. Questi passaggi non sono necessari perché i valori degli attributi si trasmettono solo da Active Directory locale ad Azure AD.These steps are not required because the attribute values are flowing from on-premises Active Directory to Azure AD only.

Passaggio 7: Riattivare l'utilità di pianificazione della sincronizzazioneStep 7: Re-enable the sync scheduler

Riabilitare l'utilità di pianificazione della sincronizzazione predefinita:Re-enable the built-in sync scheduler:

  1. Avviare una sessione di PowerShell.Start a PowerShell session.
  2. Riabilitare la sincronizzazione pianificata eseguendo il cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.Re-enable scheduled synchronization by running the cmdlet Set-ADSyncScheduler -SyncCycleEnabled $true.

Passaggi successiviNext steps

Argomenti generaliOverview topics