Servizio di sincronizzazione Azure AD Connect: Configurare il filtroAzure AD Connect sync: Configure filtering

L'applicazione di un filtro consente di controllare quali oggetti vengono visualizzati in Azure Active Directory (Azure AD) dalla directory locale.By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. La configurazione predefinita considera tutti gli oggetti in tutti i domini delle foreste configurate.The default configuration takes all objects in all domains in the configured forests. In generale, questa è la configurazione consigliata.In general, this is the recommended configuration. Gli utenti che usano i carichi di lavoro di Office 365, come Exchange Online e Skype for Business, hanno a disposizione un elenco indirizzi globale completo per inviare messaggi di posta elettronica e chiamare chiunque.Users using Office 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. Con la configurazione predefinita possono usufruire della stessa esperienza resa disponibile da un'implementazione locale di Exchange o Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

In alcuni casi è tuttavia necessario apportare alcune modifiche alla configurazione predefinita.In some cases however, you're required make some changes to the default configuration. Di seguito sono riportati alcuni esempi:Here are some examples:

  • Si prevede di usare la topologia con più directory di Azure AD.You plan to use the multi-Azure AD directory topology. In tal caso è necessario applicare un filtro per controllare quali oggetti sincronizzare con una determinata directory di Azure AD.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Si esegue una distribuzione pilota per Azure o Office 365 e si vuole solo un subset di utenti in Azure AD.You run a pilot for Azure or Office 365 and you only want a subset of users in Azure AD. In una distribuzione pilota di dimensioni ridotte la disponibilità di un elenco indirizzi globale completo per illustrare la funzionalità non è importante.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Si dispone di molti account del servizio e di altri account non personali non desiderati in Azure AD.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • Per motivi di conformità, non si eliminano account utente locali,For compliance reasons, you don't delete any user accounts on-premises. li si disabilita soltanto,You only disable them. ma si vuole che in Azure AD siano presenti solo account attivi.But in Azure AD, you only want active accounts to be present.

Questo articolo illustra come configurare i diversi metodi di filtro.This article covers how to configure the different filtering methods.

Importante

Microsoft non supporta la modifica o l'uso del servizio di sincronizzazione Azure AD Connect al di fuori delle azioni descritte in modo formale.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Ognuna di queste azioni potrebbe provocare uno stato incoerente o non supportato del sevizio di sincronizzazione Azure AD Connect. Microsoft pertanto non offre il supporto tecnico per distribuzioni di questo tipo.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Nozioni di base e note importantiBasics and important notes

Nel servizio di sincronizzazione Azure AD Connect è possibile abilitare il filtro in qualsiasi momento.In Azure AD Connect sync, you can enable filtering at any time. Se si inizia con una configurazione predefinita del servizio di sincronizzazione della directory e successivamente si configura il filtro, gli oggetti esclusi non verranno più sincronizzati con Azure AD.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. A causa di questa modifica, tutti gli oggetti in Azure AD sincronizzati in precedenza, ma successivamente esclusi, verranno eliminati in Azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Prima di iniziare ad apportare modifiche al filtro, disabilitare l'attività pianificata in modo da non esportare accidentalmente modifiche di cui non si è ancora verificata la correttezza.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Poiché il filtro può rimuovere molti oggetti contemporaneamente, prima di iniziare a esportare le modifiche in Azure AD è opportuno verificare che i nuovi filtri siano corretti.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. Dopo aver completato i passaggi di configurazione, è consigliabile seguire i passaggi di verifica prima di esportare e apportare modifiche in Azure AD .After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Per evitare che si elimino numerosi oggetti per errore, la funzionalità che impedisce eliminazioni accidentali è attiva per impostazione predefinita.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. Se si eliminano molti oggetti a causa del filtro (500, per impostazione predefinita), è necessario seguire i passaggi di questo articolo per consentire alle eliminazioni di giungere ad Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Se si usa una build precedente a quella di novembre 2015 (1.0.9125), si apporta una modifica a una configurazione di filtro e si usa il servizio di sincronizzazione delle password, è necessario attivare una sincronizzazione completa di tutte le password al termine della configurazione.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Per informazioni su come attivare una sincronizzazione completa di tutte le password, vedere Attivare una sincronizzazione completa di tutte le password.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Se si usa la build 1.0.9125 o versione successiva, la normale azione di sincronizzazione completa consente anche di stabilire se le password devono essere sincronizzate e se questo passaggio aggiuntivo non è più necessario.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Se in Azure AD sono stati eliminati inavvertitamente oggetti utente a causa di un errore di filtro, è possibile ricrearli in Azure AD rimuovendo le configurazioni di filtroIf user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. e successivamente sincronizzare nuovamente le directory.Then you can synchronize your directories again. Questa azione ripristina gli utenti dal Cestino in Azure AD.This action restores the users from the recycle bin in Azure AD. Non è tuttavia possibile annullare l'eliminazione di altri tipi di oggetto.However, you can't undelete other object types. Se ad esempio si elimina accidentalmente un gruppo di sicurezza usato per inserire una risorsa in un elenco di controllo di accesso, il gruppo e gli elenchi di controllo di accesso relativi non possono essere ripristinati.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

Azure AD Connect elimina solo gli oggetti considerati come presenti nell'ambito.Azure AD Connect only deletes objects that it has once considered to be in scope. Se in Azure AD sono presenti oggetti creati da un altro motore di sincronizzazione, ma non compresi nell'ambito, l'aggiunta del filtro non ne determina la rimozione.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Se ad esempio si inizia con un server DirSync che ha creato una copia completa dell'intera directory in Azure AD e si installa un nuovo server del servizio di sincronizzazione Azure AD Connect contemporaneamente al filtro abilitato all'inizio, Azure AD Connect non rimuove gli oggetti aggiuntivi creati da DirSync.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

Quando si installa o si esegue l'aggiornamento a una versione più recente di Azure AD Connect, vengono conservate le configurazioni del filtro.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. Prima di eseguire il primo ciclo di sincronizzazione, è consigliabile verificare sempre che la configurazione non sia stata modificata inavvertitamente dopo un aggiornamento a una versione più recente.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

Se si dispone di più di una foresta, è necessario applicare a ognuna le configurazioni di filtro descritte in questo argomento, presupponendo che si desideri la stessa configurazione per ogni foresta.If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

Disabilitare l'attività pianificataDisable the scheduled task

Per disabilitare l'utilità di pianificazione predefinita che attiva un ciclo di sincronizzazione ogni 30 ore, seguire questi passaggi:To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Passare a un prompt di PowerShell.Go to a PowerShell prompt.
  2. Eseguire Set-ADSyncScheduler -SyncCycleEnabled $False per disabilitare l'utilità di pianificazione.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Apportare le modifiche descritte in questo articolo.Make the changes that are documented in this article.
  4. Eseguire Set-ADSyncScheduler -SyncCycleEnabled $True per abilitare di nuovo l'utilità di pianificazione.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

Se si usa una build di Azure AD Connect precedente a 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Per disabilitare l'attività pianificata che attiva un ciclo di sincronizzazione ogni tre, seguire questa procedura:To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. Avviare Utilità di pianificazione dal menu Start.Start Task Scheduler from the Start menu.
  2. In Libreria Utilità di pianificazione trovare l'attività denominata Azure AD Sync Scheduler, fare clic con il pulsante destro del mouse e scegliere Disabilita.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    Utilità di pianificazioneTask Scheduler
  3. È ora possibile apportare modifiche alla configurazione ed eseguire manualmente il motore di sincronizzazione dalla console Synchronization Service Manager.You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

Dopo aver completato tutte le modifiche del filtro, tornare indietro e abilitare nuovamente l'attività.After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Opzioni di filtroFiltering options

Allo strumento di sincronizzazione della directory è possibile applicare i tipi di configurazione di filtro seguenti:You can apply the following filtering configuration types to the directory synchronization tool:

  • Basato su gruppo: il filtro basato su un singolo gruppo può essere configurato solo durante l'installazione iniziale usando l'installazione guidata.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • Basato su domini: consente di selezionare i domini da sincronizzare con Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. È anche possibile aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato il servizio di sincronizzazione Azure AD Connect.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • Basato su unità organizzative: consente di selezionare le unità organizzative da sincronizzare con Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Questa opzione è disponibile in tutti i tipi di oggetto nelle unità organizzative selezionate.This option is for all object types in selected OUs.
  • Basato su attributi: consente di filtrare gli oggetti in base ai valori di attributo relativi.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. È anche possibile avere filtri diversi a seconda del tipo di oggetto.You can also have different filters for different object types.

È possibile usare più opzioni di filtro contemporaneamente.You can use multiple filtering options at the same time. È possibile ad esempio usare il filtro basato su unità organizzative per includere gli oggetti solo in un'unità organizzativa.For example, you can use OU-based filtering to only include objects in one OU. Allo stesso tempo, è possibile usare il filtro basato su attributi per filtrare ulteriormente gli oggetti.At the same time, you can use attribute-based filtering to filter the objects further. Quando si usano più metodi di filtro, viene usato un operatore AND logico tra i filtri.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Filtro basato su dominioDomain-based filtering

Questa sezione illustra i passaggi necessari per configurare il filtro basato su dominio.This section provides you with the steps to configure your domain filter. Se sono stati aggiunti o rimossi domini nella foresta dopo l'installazione di Azure AD Connect, è necessario aggiornare anche la configurazione del filtro.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

Il modo migliore per modificare i filtri basati su domini consiste nell'eseguire l'installazione guidata e cambiare i filtri basati su domini e su unità organizzative.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.The installation wizard automates all the tasks that are documented in this topic.

È consigliabile seguire questa procedura solo se non è possibile eseguire l'installazione guidata.You should only follow these steps if you're unable to run the installation wizard for some reason.

La configurazione del filtro basato su dominio prevede questi passaggi:Domain-based filtering configuration consists of these steps:

  1. Selezionare i domini da includere nella sincronizzazione.Select the domains that you want to include in the synchronization.
  2. Per ogni dominio aggiunto e rimosso, modificare i profili di esecuzione.For each added and removed domain, adjust the run profiles.
  3. Applicare e verificare le modificheApply and verify changes.

Selezionare i domini da sincronizzareSelect the domains to be synchronized

Per impostare il filtro basato su dominio, seguire questa procedura:To set the domain filter, do the following steps:

  1. Accedere al server che esegue il servizio di sincronizzazione Azure AD Connect usando un account membro del gruppo di sicurezza ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.Start Synchronization Service from the Start menu.
  3. Selezionare Connectors (Connettori) e nell'elenco Connectors selezionare il connettore con il tipo Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. In Actions (Azioni) selezionare Properties (Proprietà).In Actions, select Properties.
    Proprietà del connettoreConnector properties
  4. Fare clic su Configure Directory Partitions.Click Configure Directory Partitions.
  5. Nell'elenco Select directory partitions (Selezionare le partizioni di directory) selezionare e deselezionare i domini in base alle esigenze.In the Select directory partitions list, select and unselect domains as needed. Verificare che siano selezionate solo le partizioni da sincronizzare.Verify that only the partitions that you want to synchronize are selected.
    PartitionsPartitions
    Se è stata modificata l'infrastruttura Active Directory locale e se sono stati aggiunti o rimossi domini dalla foresta, fare clic sul pulsante Refresh (Aggiorna) per ottenere un elenco aggiornato.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Quando si esegue l'aggiornamento, vengono richieste le credenziali.When you refresh, you're asked for credentials. Specificare le credenziali con accesso in lettura a Windows Server Active Directory.Provide any credentials with read access to Windows Server Active Directory. Tali credenziali non devono necessariamente appartenere all'utente già inserito nella finestra di dialogo.It doesn't have to be the user that is prepopulated in the dialog box.
    Aggiornamento necessarioRefresh needed
  6. Al termine, fare clic su OK per chiudere la finestra di dialogo Properties (Proprietà).When you're done, close the Properties dialog by clicking OK. Se sono stati rimossi domini dalla foresta, viene visualizzato un messaggio in cui è indicato che è stato rimosso un dominio e che verrà eseguita la pulizia della configurazione.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Continuare a modificare i profili di esecuzione.Continue to adjust the run profiles.

Aggiornare i profili di esecuzioneUpdate the run profiles

Se il filtro basato su domini è stato aggiornato, è necessario aggiornare anche i profili di esecuzione.If you've updated your domain filter, you also need to update the run profiles.

  1. Nell'elenco Connectors (Connettori) verificare che sia selezionato il connettore modificato nel passaggio precedente.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. In Actions (Azioni) selezionare Configure Run Profiles (Configura profili di esecuzione).In Actions, select Configure Run Profiles.
    Profili di esecuzione del connettore 1Connector run profiles 1
  2. Trovare e identificare i profili seguenti:Find and identify the following profiles:
    • Importazione completaFull Import
    • sincronizzazione completaFull Synchronization
    • Importazione differenzialeDelta Import
    • Sincronizzazione differenzialeDelta Synchronization
    • EsportazioneExport
  3. Per ogni profilo modificare i domini aggiunti e rimossi.For each profile, adjust the added and removed domains.
    1. Per ognuno dei cinque profili, seguire questa procedura per ogni dominio aggiunto:For each of the five profiles, do the following steps for each added domain:
      1. Selezionare il profilo di esecuzione e fare clic su New Step.Select the run profile and click New Step.
      2. Nel menu a discesa Type (Tipo) della pagina Configure Step (Configura passaggio) selezionare il tipo di passaggio con lo stesso nome del profilo da configurare.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Quindi fare clic su Next.Then click Next.
        Profili di esecuzione del connettore 2Connector run profiles 2
      3. Nell'elenco a discesa Partition (Partizione) della pagina Connector Configuration (Configurazione connettore) selezionare il nome del dominio aggiunto al filtro basato su domini.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Profili di esecuzione del connettore 3Connector run profiles 3
      4. Per chiudere la finestra di dialogo Configure Run Profile, fare clic su Finish.To close the Configure Run Profile dialog, click Finish.
    2. Per ognuno dei cinque profili, seguire questa procedura per ogni dominio rimosso:For each of the five profiles, do the following steps for each removed domain:
      1. Selezionare il profilo di esecuzione.Select the run profile.
      2. Se l'opzione Value dell'attributo Partition è un GUID, selezionare il passaggio di esecuzione e fare clic su Delete Step.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Profili di esecuzione del connettore 4Connector run profiles 4
    3. Verificare la modifica.Verify your change. Ogni dominio da sincronizzare deve essere elencato come un passaggio in ogni profilo di esecuzione.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Per chiudere la finestra di dialogo Configure Run Profiles, fare clic su OK.To close the Configure Run Profiles dialog, click OK.
  5. Per completare la configurazione, è necessario eseguire un'operazione Full import (Importazione completa) e un'operazione Delta sync (Sincronizzazione delta). Per continuare, vedere la sezione Applicare e verificare le modifiche.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Filtro basato su unità organizzativeOrganizational unit–based filtering

Il modo migliore per modificare i filtri basati su unità organizzative consiste nell'eseguire l'installazione guidata e cambiare i filtri basati su domini e su unità organizzative.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.The installation wizard automates all the tasks that are documented in this topic.

È consigliabile seguire questa procedura solo se non è possibile eseguire l'installazione guidata.You should only follow these steps if you're unable to run the installation wizard for some reason.

Per configurare il filtro basato su unità organizzative, seguire questa procedura:To configure organizational unit–based filtering, do the following steps:

  1. Accedere al server che esegue il servizio di sincronizzazione Azure AD Connect usando un account membro del gruppo di sicurezza ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.Start Synchronization Service from the Start menu.
  3. Selezionare Connectors (Connettori) e nell'elenco Connectors selezionare il connettore con il tipo Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. In Actions (Azioni) selezionare Properties (Proprietà).In Actions, select Properties.
    Proprietà del connettoreConnector properties
  4. Fare clic su Configure Directory Partitions (Configurare le partizioni di directory) selezionare il dominio da configurare e quindi fare clic su Containers (Contenitori).Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Quando richiesto, specificare le credenziali con accesso in lettura all'istanza di Active Directory locale.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Tali credenziali non devono necessariamente appartenere all'utente già inserito nella finestra di dialogo.It doesn't have to be the user that is prepopulated in the dialog box.
  6. Nella finestra di dialogo Select Containers deselezionare le unità organizzative da non sincronizzare con la directory cloud e quindi fare clic su OK.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Unità organizzative nella finestra di dialogo Select Containers (Seleziona contenitori)OUs in the Select Containers dialog box
    • Per sincronizzare i computer Windows 10 con Azure AD, è necessario che il contenitore Computers sia selezionato.The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Se i computer aggiunti a un dominio si trovano in altre unità organizzative, verificare che queste ultime siano selezionate.If your domain-joined computers are located in other OUs, make sure those are selected.
    • Se sono presenti più foreste con trust, il contenitore ForeignSecurityPrincipals deve essere selezionato.The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Ciò consente di risolvere l'appartenenza al gruppo di sicurezza tra foreste.This container allows cross-forest security group membership to be resolved.
    • Se è stata abilitata la funzionalità di writeback dei dispositivi, è necessario che l'unità organizzativa RegisteredDevices sia selezionata.The RegisteredDevices OU should be selected if you enabled the device writeback feature. Se si usa un'altra funzionalità di writeback, ad esempio il writeback dei gruppi, verificare che queste posizioni siano selezionate.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Selezionare le altre unità organizzative in cui si trovano Users, iNetOrgPersons, Groups, Contacts e Computers.Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. Nella figura tutte le unità organizzative si trovano nell'unità organizzativa ManagedObjects.In the picture, all these OUs are located in the ManagedObjects OU.
    • Se si usa il filtro basato sui gruppi, è necessario includere l'unità organizzativa in cui si trova il gruppo.If you use group-based filtering, then the OU where the group is located must be included.
    • Si noti che è possibile configurare l'eventuale sincronizzazione di nuove unità organizzative aggiunte al termine della configurazione del filtro.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. Per informazioni dettagliate, vedere la sezione che segue.See the next section for details.
  7. Al termine, fare clic su OK per chiudere la finestra di dialogo Properties (Proprietà).When you're done, close the Properties dialog by clicking OK.
  8. Per completare la configurazione, è necessario eseguire un'operazione Full import (Importazione completa) e un'operazione Delta sync (Sincronizzazione delta). Per continuare, vedere la sezione Applicare e verificare le modifiche.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Sincronizzare nuove unità organizzativeSynchronize new OUs

Le nuove unità organizzative create dopo la configurazione del filtro vengono sincronizzate per impostazione predefinita.New OUs that are created after filtering has been configured are synchronized by default. Questo stato è indicato da una casella di controllo selezionata.This state is indicated by a selected check box. È anche possibile deselezionare alcune unità organizzative secondarie.You can also unselect some sub-OUs. A tale scopo, fare clic sulla casella per farla diventare bianca con un segno di spunta blu (stato predefinito).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Deselezionare le unità organizzative secondarie da non sincronizzare.Then unselect any sub-OUs that you don't want to synchronize.

Se tutte le unità organizzative secondarie sono sincronizzate, la casella è bianca con un segno di spunta blu.If all sub-OUs are synchronized, then the box is white with a blue check mark.
Unità organizzativa con tutte le caselle selezionate

Se alcune unità organizzative secondarie sono state deselezionate, la casella è grigia con un segno di spunta bianco.If some sub-OUs have been unselected, then the box is gray with a white check mark.
Unità organizzativa con alcune unità organizzative secondarie deselezionate

In questa configurazione una nuova unità organizzativa creata in ManagedObjects è sincronizzata.With this configuration, a new OU that was created under ManagedObjects is synchronized.

L'installazione guidata di Azure AD Connect crea sempre questa configurazione.The Azure AD Connect installation wizard always creates this configuration.

Non sincronizzare nuove unità organizzativeDon't synchronize new OUs

È possibile configurare il motore di sincronizzazione in modo da non sincronizzare nuove unità organizzative dopo che la configurazione del filtro è stata completata.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. Nell'interfaccia utente questo stato è indicato da una casella grigia a tinta unita senza alcun segno di spunta.This state is indicated in the UI by the box appearing solid gray with no check mark. Per ottenere questo comportamento, fare clic sulla casella per farla diventare bianca senza alcun segno di spunta.To get this behavior, click the box until it becomes white with no check mark. Selezionare quindi le unità organizzative secondarie da sincronizzare.Then select the sub-OUs that you want to synchronize.

Unità organizzativa con la radice deselezionata

In questa configurazione una nuova unità organizzativa creata in ManagedObjects non è sincronizzata.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Filtro basato su attributoAttribute-based filtering

Per il funzionamento corretto di questi passaggi, verificare di usare la build di novembre 2015 (1.0.9125) o versione successiva.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Il filtro basato su attributi è il modo più flessibile per filtrare gli oggetti.Attribute-based filtering is the most flexible way to filter objects. È possibile usare la funzionalità di provisioning dichiarativo per controllare quasi tutti gli aspetti dei casi in cui un oggetto viene sincronizzato con Azure AD.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

È possibile applicare il filtro in ingresso da Active Directory al metaverse e il filtro in uscita dal metaverse ad Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. È consigliabile applicare il filtro in ingresso perché è più semplice da gestire,We recommend that you apply inbound filtering because that is the easiest to maintain. mentre il filtro in uscita deve essere usato solo se è necessario per unire oggetti da più di una foresta prima che venga eseguita la valutazione.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Filtri in ingressoInbound filtering

I filtri in ingresso usano la configurazione predefinita in base alla quale per gli oggetti diretti ad Azure AD l'attributo metaverse cloudFiltered non deve essere impostato su un valore da sincronizzare.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Se il valore di questo attributo è impostato su True, l'oggetto non è sincronizzato.If this attribute's value is set to True, then the object isn't synchronized. Per progettazione, il valore non deve essere impostato su False.It shouldn't be set to False, by design. Per verificare che altre regole possano fornire un valore, questo attributo dovrebbe avere solo i valori True o NULL (assente).To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

Per determinare gli oggetti da sincronizzare o da non sincronizzare, durante l'applicazione del filtro in ingresso si usa l'ambitoIn inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. dove si apportano le modifiche necessarie per rispettare i requisiti dell'organizzazione.This is where you make adjustments to fit your own organization's requirements. Nel modulo di ambito sono disponibili un gruppo e una clausola per determinare quando una regola di sincronizzazione è nell'ambito.The scope module has a group and a clause to determine when a sync rule is in scope. Un gruppo contiene una o più clausole.A group contains one or many clauses. Tra più clausole viene inserito un operatore AND logico e tra più gruppi un operatore OR logico.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Ecco un esempio: Let us look at an example:
AmbitoScope
Deve essere letto come (department = IT) OR (department = Sales AND c = US).This should be read as (department = IT) OR (department = Sales AND c = US).

Negli esempi e nei passaggi seguenti viene usato l'oggetto utente come esempio, ma l'uso può essere esteso a tutti i tipi di oggetto.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

Negli esempi seguenti il valore di precedenza inizia con 50.In the following samples, the precedence value starts with 50. Può trattarsi di un numero qualsiasi non in uso, ma deve essere minore di 100.This can be any number not used, but should be lower than 100.

Filtro negativo (non sincronizzare gli elementi indicati)Negative filtering: "do not sync these"

Nell'esempio seguente vengono filtrati (non sincronizzati) tutti gli utenti per cui il valore di extensionAttribute15 è NoSync.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Accedere al server che esegue il servizio di sincronizzazione Azure AD Connect usando un account membro del gruppo di sicurezza ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.Start Synchronization Rules Editor from the Start menu.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).Make sure Inbound is selected, and click Add New Rule.
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User DoNotSyncFilter".Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. In Link Type (Tipo di collegamento) selezionare Join (Unisci).In Link Type, select Join. In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 50, e quindi fare clic su Next (Avanti).In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Descrizione in ingresso 1Inbound 1 description
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola).In Scoping filter, click Add Group, and click Add Clause. In Attribute (Attributo) selezionare ExtensionAttribute15.In Attribute, select ExtensionAttribute15. Verificare che il valore del campo Operator (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare NoSync nella casella Value (Valore).Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Fare clic su Avanti.Click Next.
    Ambito in ingresso 2Inbound 2 scope
  6. Lasciare vuote le regole Join e quindi fare clic su Next.Leave the Join rules empty, and then click Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione).Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. Nella casella di testo Source (Origine) digitare True.In the Source text box, type True. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.
    Trasformazione in ingresso 3Inbound 3 transformation
  8. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Filtro positivo (sincronizzare solo gli elementi indicati)Positive filtering: "only sync these"

La creazione di un filtro positivo può essere più complessa perché è necessario considerare anche gli oggetti la cui sincronizzazione non è scontata, ad esempio le sale riunioni.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. Verrà anche eseguito l'override del filtro predefinito nella regola In from AD - User Join predefinita.You are also going to override the default filter in the out-of-box rule In from AD - User Join. Quando si crea il filtro personalizzato, non includere oggetti di sistema critici, oggetti di conflitti di replica, cassette postali speciali e account di servizio di Azure AD Connect.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

L'opzione di filtro positivo richiede due regole di sincronizzazione.The positive filtering option requires two sync rules. Sono necessarie una o più regole con l'ambito corretto di oggetti da sincronizzare.You need one rule (or several) with the correct scope of objects to synchronize. È necessaria anche una seconda regola di sincronizzazione catch-all che esclude tutti gli oggetti non ancora identificati come oggetti da sincronizzare.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

Nell'esempio seguente vengono sincronizzati solo gli oggetti per i quali l'attributo department ha il valore Sales.In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Accedere al server che esegue il servizio di sincronizzazione Azure AD Connect usando un account membro del gruppo di sicurezza ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.Start Synchronization Rules Editor from the Start menu.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).Make sure Inbound is selected, and click Add New Rule.
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Sales sync".Give the rule a descriptive name, such as "In from AD – User Sales sync". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. In Link Type (Tipo di collegamento) selezionare Join (Unisci).In Link Type, select Join. In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 51, e quindi fare clic su Next (Avanti).In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Destinazione in ingresso 4Inbound 4 description
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola).In Scoping filter, click Add Group, and click Add Clause. In Attribute (Attributo) selezionare department.In Attribute, select department. Verificare che il valore del campo Operato (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare Sales nella casella Value (Valore).Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Fare clic su Avanti.Click Next.
    Ambito in ingresso 5Inbound 5 scope
  6. Lasciare vuote le regole Join e quindi fare clic su Next.Leave the Join rules empty, and then click Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione).Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. Nella casella Source (Origine) digitare False.In the Source box, type False. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.
    Trasformazione in ingresso 6Inbound 6 transformation
    Questo è un caso particolare in cui cloudFiltered viene impostato in modo esplicito su False.This is a special case where you explicitly set cloudFiltered to False.
  8. Ora è necessario creare la regola di sincronizzazione catch-all.We now have to create the catch-all sync rule. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Catch-all filter".Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. In Link Type (Tipo di collegamento) selezionare Join (Unisci).In Link Type, select Join. In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 99.In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). È stato selezionato un valore di precedenza più alto (precedenza inferiore) rispetto alla regola di sincronizzazione precedente,You've selected a precedence value that is higher (lower precedence) than the previous sync rule. ma è stato lasciato anche spazio per aggiungere in seguito più regole di sincronizzazione del filtro quando si vuole avviare la sincronizzazione di altri reparti.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Fare clic su Avanti.Click Next.
    Descrizione in ingresso 7Inbound 7 description
  9. Lasciare vuoto Scoping filter e fare clic su Next.Leave Scoping filter empty, and click Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti.An empty filter indicates that the rule is to be applied to all objects.
  10. Lasciare vuote le regole Join e quindi fare clic su Next.Leave the Join rules empty, and then click Next.
  11. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione).Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. Nella casella Source (Origine) digitare True.In the Source box, type True. Fare clic su Add (Aggiungi) per salvare la regola.Click Add to save the rule.
    Trasformazione in ingresso 3Inbound 3 transformation
  12. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Se necessario, è possibile creare più regole del primo tipo per includere altri oggetti nella sincronizzazione.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Filtri in uscitaOutbound filtering

In alcuni casi è necessario applicare il filtro solo dopo aver unito gli oggetti al metaverse.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Per determinare se è necessario sincronizzare un oggetto, potrebbe ad esempio essere opportuno cercare l'attributo mail nella foresta di risorse e l'attributo userPrincipalName nella foresta di account.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. In questi casi, vengono creati i filtri nella regola in uscita.In these cases, you create the filtering on the outbound rule.

In questo esempio si modifica il filtro in modo che vengano sincronizzati solo gli utenti per cui entrambi gli attributi mail e userPrincipalName terminano in @contoso.com:In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Accedere al server che esegue il servizio di sincronizzazione Azure AD Connect usando un account membro del gruppo di sicurezza ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.Start Synchronization Rules Editor from the Start menu.
  3. In Rules Type (Tipo di regola) fare clic su Outbound (In uscita).Under Rules Type, click Outbound.
  4. A seconda della versione di Connect in uso, trovare la regola denominata Out to AAD – User Join (Verso ADD - Aggiunta utente) o Out to AAD - User Join SOAInAD (Verso ADD - Aggiunta utente SOAInAD) e fare clic su Edit (Modifica).Depending on the version of Connect you use, either find the rule named Out to AAD – User Join or Out to AAD - User Join SOAInAD, and click Edit.
  5. Nel popup selezionare Yes (Sì) per creare una copia della regola.In the pop-up, answer Yes to create a copy of the rule.
  6. Nella pagina Description (Descrizione) modificare il campo Precedence (Precedenza) su un valore non usato, ad esempio 50.On the Description page, change Precedence to an unused value, such as 50.
  7. Fare clic su Scoping filter (Filtro ambito) nel riquadro di spostamento a sinistra e quindi fare clic su Add clause (Aggiungi clausola).Click Scoping filter on the left-hand navigation, and then click Add clause. In Attribute (Attributo) selezionare mail.In Attribute, select mail. In Operator (Operatore) selezionare ENDSWITH (TERMINACON).In Operator, select ENDSWITH. In Value (Valore) digitare @contoso.com e quindi fare clic su Add clause (Aggiungi clausola).In Value, type @contoso.com, and then click Add clause. In Attribute (Attributo) selezionare userPrincipalName.In Attribute, select userPrincipalName. In Operator (Operatore) selezionare ENDSWITH (TERMINACON).In Operator, select ENDSWITH. In Value (Valore) digitare @contoso.com.In Value, type @contoso.com.
  8. Fare clic su Save.Click Save.
  9. Per completare la configurazione, è necessario eseguire un'operazione Full sync (Sincronizzazione completa). Per continuare, vedere la sezione Applicare e verificare le modifiche.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Applicare e verificare le modificheApply and verify changes

Dopo aver apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti nel sistema.After you've made your configuration changes, you must apply them to the objects that are already present in the system. È possibile anche che gli oggetti non presenti attualmente nel motore di sincronizzazione debbano essere elaborati e che il motore di sincronizzazione debba leggere di nuovo il sistema di origine per verificarne il contenuto.It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Se la configurazione è stata modificata usando il filtro basato su dominio o su unità organizzativa, è necessario eseguire un'operazione Full import (Importazione completa), seguita da un'operazione Delta synchronization (Sincronizzazione delta).If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

Se la configurazione è stata modificata usando il filtro basato su attributi, è necessario eseguire un'operazione Full synchronization (Sincronizzazione completa).If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Seguire anche questa procedura:Do the following steps:

  1. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.Start Synchronization Service from the Start menu.
  2. Selezionare Connectors (Connettori).Select Connectors. Nell'elenco Connectors (Connettori) selezionare il connettore in cui in precedenza è stata apportata una modifica alla configurazione.In the Connectors list, select the Connector where you made a configuration change earlier. In Actions (Azioni) selezionare Run (Esegui).In Actions, select Run.
    Esecuzione del connettoreConnector run
  3. In Run profiles (Profili di esecuzione) selezionare l'operazione indicata nella sezione precedente.In Run profiles, select the operation that was mentioned in the previous section. Se è necessario eseguire due azioni, eseguire la seconda dopo il completamento della prima.If you need to run two actions, run the second after the first one has finished. Il valore della colonna State (Stato) è impostato su Idle (Inattivo) per il connettore selezionato.(The State column is Idle for the selected connector.)

Dopo la sincronizzazione, tutte le modifiche vengono inserite temporaneamente per essere esportate.After the synchronization, all changes are staged to be exported. Prima di apportare effettivamente le modifiche in Azure AD, è opportuno verificare che siano tutte corrette.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Avviare un prompt dei comandi e passare a %Program Files%\Microsoft Azure AD Sync\bin.Start a command prompt, and go to %Program Files%\Microsoft Azure AD Sync\bin.
  2. Eseguire csexport "Name of Connector" %temp%\export.xml /f:x.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    Il nome del connettore si trova nel servizio di sincronizzazione.The name of the Connector is in Synchronization Service. Il nome sarà simile a "contoso.com - AAD" per Azure AD.It has a name similar to "contoso.com – AAD" for Azure AD.
  3. Eseguire CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. A questo punto si avrà un file denominato export.csv in %temp%, che può essere esaminato in Microsoft Excel.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Questo file contiene tutte le modifiche in fase di esportazione.This file contains all the changes that are about to be exported.
  5. Apportare le modifiche necessarie ai dati o alla configurazione ed eseguire di nuovo questi passaggi (importazione, sincronizzazione e verifica) finché le modifiche che verranno esportate non saranno quelle previste.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

Al termine, esportare le modifiche in Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Selezionare Connectors (Connettori).Select Connectors. Nell'elenco Connectors (Connettori) selezionare il connettore Azure AD.In the Connectors list, select the Azure AD Connector. In Actions (Azioni) selezionare Run (Esegui).In Actions, select Run.
  2. In Run profiles (Profili di esecuzione) selezionare Export (Esporta).In Run profiles, select Export.
  3. Se le modifiche della configurazione comportano l'eliminazione di molti oggetti, viene visualizzato un errore nell'esportazione se il numero è superiore alla soglia configurata (500 per impostazione predefinita).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). Se viene visualizzato questo errore, è necessario disabilitare temporaneamente la funzionalità che impedisce eliminazioni accidentali.If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

A questo punto è possibile abilitare di nuovo l'utilità di pianificazione.Now it's time to enable the scheduler again.

  1. Avviare Utilità di pianificazione dal menu Start.Start Task Scheduler from the Start menu.
  2. In Libreria Utilità di pianificazione trovare l'attività denominata Azure AD Sync Scheduler, fare clic con il pulsante destro del mouse e scegliere Abilita.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Filtri basati sui gruppiGroup-based filtering

È possibile configurare il filtro basato su gruppi la prima volta che si installa Azure AD Connect tramite l'installazione personalizzata.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Tale filtro è progettato per una distribuzione pilota in cui si desidera solo un piccolo gruppo di oggetti da sincronizzare.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. Dopo essere stato disabilitato, il filtro basato su gruppi non può essere abilitato nuovamente.When you disable group-based filtering, it can't be enabled again. L'uso del filtro basato su gruppi non è supportato in una configurazione personalizzata,It's not supported to use group-based filtering in a custom configuration. ma è supportato solo per configurare questa funzionalità tramite l'installazione guidata.It's only supported to configure this feature by using the installation wizard. Dopo aver completato il progetto pilota, usare solo una delle altre opzioni di filtro descritte in questo argomento.When you've completed your pilot, then use one of the other filtering options in this topic. Se si usa un filtro basato su unità organizzative insieme al filtro basato su gruppi, è necessario includere le unità organizzative in cui si trovano il gruppo e i relativi membri.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

Quando si sincronizzano più foreste di AD, è possibile configurare i filtri basati sui gruppi specificando un gruppo diverso per ogni istanza di AD Connector.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Per sincronizzare un utente in una foresta di AD e lo stesso utente dispone di uno o più oggetti corrispondenti nelle altre foreste di AD, è necessario assicurarsi che l'oggetto utente e tutti gli oggetti corrispondenti siano inclusi nell'ambito de filtro basati sui gruppi.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Ad esempio:For examples:

  • un utente di una foresta dispone di un oggetto entità di protezione esterna corrispondente in un'altra foresta.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo.Both objects must be within group-based filtering scope. In caso contrario, l'utente non verrà sincronizzato in Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Un utente in una foresta ha un account della risorsa corrispondente, ad esempio una cassetta postale collegata, in un'altra foresta.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. Per di più Azure AD Connect è stato configurato per collegare l'utente all'account della risorsa.Further, you have configured Azure AD Connect to link the user with the resource account. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo.Both objects must be within group-based filtering scope. In caso contrario, l'utente non verrà sincronizzato in Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Un utente in una foresta dispone di un contatto di posta corrispondente in un'altra foresta.You have a user in one forest that has a corresponding mail contact in another forest. Per di più Azure AD Connect è stato configurato per collegare l'utente al contatto di posta.Further, you have configured Azure AD Connect to link the user with the mail contact. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo.Both objects must be within group-based filtering scope. In caso contrario, l'utente non verrà sincronizzato in Azure AD.Otherwise, the user will not be synchronized to Azure AD.

Passaggi successiviNext steps