Servizio di sincronizzazione Azure AD Connect: Informazioni sulla configurazione predefinitaAzure AD Connect sync: Understanding the default configuration

In questo articolo vengono illustrate le regole di configurazione predefinite,This article explains the out-of-box configuration rules. elencando le regole e spiegando come influiscono sulla configurazione.It documents the rules and how these rules impact the configuration. Questo articolo illustra anche la configurazione predefinita del servizio di sincronizzazione Azure AD Connect. Scopo dell'articolo è spiegare con un esempio reale il funzionamento del modello di configurazione, detto provisioning dichiarativo.It also walks you through the default configuration of Azure AD Connect sync. The goal is that the reader understands how the configuration model, named declarative provisioning, is working in a real-world example. Nell'articolo si presuppone che l'utente abbia già installato e configurato il servizio di sincronizzazione Azure AD Connect tramite l'Installazione guidata.This article assumes that you have already installed and configure Azure AD Connect sync using the installation wizard.

Per i dettagli del modello di configurazione, vedere Servizio di sincronizzazione Azure AD Connect: Informazioni sul provisioning dichiarativo.To understand the details of the configuration model, read Understanding Declarative Provisioning.

Regole predefinite da locale ad Azure ADOut-of-box rules from on-premises to Azure AD

Le espressioni seguenti sono disponibili nella configurazione predefinita.The following expressions can be found in the out-of-box configuration.

Regole utente predefiniteUser out-of-box rules

Queste regole vengono applicate anche al tipo di oggetto iNetOrgPerson.These rules also apply to the iNetOrgPerson object type.

Un oggetto utente deve soddisfare i seguenti requisiti per essere sincronizzato:A user object must satisfy the following to be synchronized:

  • Deve disporre di un sourceAnchor.Must have a sourceAnchor.
  • Dopo la creazione dell'oggetto in Azure AD, l'attributo sourceAnchor non può essere modificato.After the object has been created in Azure AD, then sourceAnchor cannot change. Se il valore viene modificato in locale, l'oggetto interromperà la sincronizzazione fino a quando l'attributo sourceAnchor non verrà modificato di nuovo con il valore precedente.If the value is changed on-premises, the object stops synchronizing until the sourceAnchor is changed back to its previous value.
  • Deve disporre dell'attributo accountEnabled (userAccountControl) compilato.Must have the accountEnabled (userAccountControl) attribute populated. Con una versione di Active Directory locale, questo attributo sarà sempre presente e popolato.With an on-premises Active Directory, this attribute is always present and populated.

Gli oggetti utente seguenti non vengono sincronizzati con Azure AD:The following user objects are not synchronized to Azure AD:

  • IsPresent([isCriticalSystemObject]).IsPresent([isCriticalSystemObject]). Assicurarsi di non sincronizzare molti oggetti predefiniti in Active Directory, ad esempio l'account predefinito Administrator.Ensure many out-of-box objects in Active Directory, such as the built-in administrator account, are not synchronized.
  • IsPresent([sAMAccountName]) = False.IsPresent([sAMAccountName]) = False. Verificare che gli oggetti utente senza l'attributo sAMAccountName non vengano sincronizzati.Ensure user objects with no sAMAccountName attribute are not synchronized. Nella pratica, questo caso si verifica solo in un dominio aggiornato da NT4.This case would only practically happen in a domain upgraded from NT4.
  • Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_".Left([sAMAccountName], 4) = "AAD_", Left([sAMAccountName], 5) = "MSOL_". Non sincronizzare l'account di servizio utilizzato dal servizio di sincronizzazione Azure AD Connect e dalle versioni precedenti.Do not synchronize the service account used by Azure AD Connect sync and its earlier versions.
  • Non sincronizzare gli account di Exchange che non funzionerebbero in Exchange Online.Do not synchronize Exchange accounts that would not work in Exchange Online.
    • [sAMAccountName] = "SUPPORT_388945a0"
    • Left([mailNickname], 14) = "SystemMailbox{"
    • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0))
    • (Left([sAMAccountName], 4) = "CAS_" && (InStr([sAMAccountName], "}")> 0))
  • Non sincronizzare gli oggetti che non funzionerebbero in Exchange Online.Do not synchronize objects that would not work in Exchange Online. CBool(IIF(IsPresent([msExchRecipientTypeDetails]),BitAnd([msExchRecipientTypeDetails],&H21C07000) > 0,NULL))
    Questa maschera di bit (&H21C07000) filtra gli oggetti seguenti:This bitmask (&H21C07000) would filter out the following objects:
    • Cartelle pubbliche abilitate alla posta elettronicaMail-enabled Public Folder
    • Cassetta postale Supervisore sistemaSystem Attendant Mailbox
    • Cassetta postale Database cassette postali (cassetta postale di sistema)Mailbox Database Mailbox (System Mailbox)
    • Gruppo di protezione universale (non si applica a un utente, ma è presente per motivi di compatibilità)Universal Security Group (wouldn't apply for a user, but is present for legacy reasons)
    • Gruppo non universale (non si applica a un utente, ma è presente per motivi di compatibilità)Non-Universal Group (wouldn't apply for a user, but is present for legacy reasons)
    • Piano della cassetta postaleMailbox Plan
    • Cassetta postale di individuazioneDiscovery Mailbox
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0).CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Non sincronizzare oggetti generati dalla replica.Do not synchronize any replication victim objects.

Si applicano le seguenti regole di attributo:The following attribute rules apply:

  • sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..).sourceAnchor <- IIF([msExchRecipientTypeDetails]=2,NULL,..). L'attributo sourceAnchor non viene specificato da una cassetta postale collegata.The sourceAnchor attribute is not contributed from a linked mailbox. Se è presente una cassetta postale collegata, si presuppone che l'account effettivo venga aggiunto in un secondo momento.It is assumed that if a linked mailbox has been found, the actual account is joined later.
  • Attributi relativi a Exchange vengono sincronizzati solo se l'attributo mailNickName ha un valore.Exchange related attributes are only synchronized if the attribute mailNickName has a value.
  • Quando sono presenti più foreste, gli attributi vengono utilizzati nell'ordine seguente:When there are multiple forests, then attributes are consumed in the following order:
    1. Gli attributi correlati all'accesso, ad esempio userPrincipalName, vengono specificati dalla foresta con un account abilitato.Attributes related to sign-in (for example userPrincipalName) are contributed from the forest with an enabled account.
    2. Gli attributi che si possono trovare in un elenco indirizzi globale di Exchange verranno specificati dalla foresta con una cassetta postale di Exchange.Attributes that can be found in an Exchange GAL (Global Address List) are contributed from the forest with an Exchange Mailbox.
    3. Se non è possibile trovare una cassetta postale, questi attributi possono provenire da qualsiasi foresta.If no mailbox can be found, then these attributes can come from any forest.
    4. Gli attributi relativi a Exchange, ovvero attributi tecnici non visibili nell'elenco indirizzi globale, vengono specificati dalla foresta in cui mailNickname ISNOTNULL.Exchange related attributes (technical attributes not visible in the GAL) are contributed from the forest where mailNickname ISNOTNULL.
    5. Se sono presenti più foreste che soddisfano una di queste regole, verrà usato l'ordine di creazione (data/ora) dei connettori (foreste) per determinare quale foresta specificherà gli attributi.If there are multiple forests that would satisfy one of these rules, then the creation order (date/time) of the Connectors (forests) is used to determine which forest contributes the attributes.

Regole predefinite del contattoContact out-of-box rules

Un oggetto contatto deve soddisfare i seguenti requisiti per essere sincronizzato:A contact object must satisfy the following to be synchronized:

  • Il contatto deve essere abilitato alla posta elettronica.The contact must be mail-enabled. Viene verificato tramite le regole seguenti:It is verified with the following rules:
    • IsPresent([proxyAddresses]) = True).IsPresent([proxyAddresses]) = True). L'attributo proxyAddresses deve essere compilato.The proxyAddresses attribute must be populated.
    • Un indirizzo di posta elettronica principale è disponibile nell'attributo proxyAddresses o nell'attributo mail.A primary email address can be found in either the proxyAddresses attribute or the mail attribute. La presenza di un simbolo @ consente di verificare che il contenuto sia un indirizzo di posta elettronica.The presence of an @ is used to verify that the content is an email address. Una di queste due regole deve restituire True.One of these two rules must be evaluated to True.
      • (Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)).(Contains([proxyAddresses], "SMTP:") > 0) && (InStr(Item([proxyAddresses], Contains([proxyAddresses], "SMTP:")), "@") > 0)). È presente una voce con "SMTP:" e, in caso affermativo, è presente un simbolo @ nella stringa?Is there an entry with "SMTP:" and if there is, can an @ be found in the string?
      • (IsPresent([mail]) = True && (InStr([mail], "@") > 0).(IsPresent([mail]) = True && (InStr([mail], "@") > 0). L'attributo mail è compilato e, in tal caso, è presente un simbolo @ nella stringa?Is the mail attribute populated and if it is, can an @ be found in the string?

Gli oggetti contatto seguenti non vengono sincronizzati con Azure AD:The following contact objects are not synchronized to Azure AD:

  • IsPresent([isCriticalSystemObject]).IsPresent([isCriticalSystemObject]). Verificare che nessun oggetto contatto contrassegnato come critico venga sincronizzato.Ensure no contact objects marked as critical are synchronized. Non devono essere presenti oggetti contatto con una configurazione predefinita.Shouldn't be any with a default configuration.
  • ((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).((InStr([displayName], "(MSOL)") > 0) && (CBool([msExchHideFromAddressLists]))).
  • (Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)).(Left([mailNickname], 4) = "CAS_" && (InStr([mailNickname], "}") > 0)). Questi oggetti non funzionerebbero in Exchange Online.These objects wouldn't work in Exchange Online.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0).CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Non sincronizzare oggetti generati dalla replica.Do not synchronize any replication victim objects.

Regole di gruppo predefiniteGroup out-of-box rules

Un oggetto gruppo deve soddisfare i seguenti requisiti per essere sincronizzato:A group object must satisfy the following to be synchronized:

  • Deve contenere meno di 50.000 membri.Must have less than 50,000 members. Si tratta del numero di membri del gruppo locale.This count is the number of members in the on-premises group.
    • Se il numero di membri supera il limite prima che la prima sincronizzazione venga avviata, il gruppo non verrà sincronizzato.If it has more members before synchronization starts the first time, the group is not synchronized.
    • Se il numero di membri aumenta rispetto al momento della creazione, la sincronizzazione si interromperà quando raggiunge i 50.000 membri, finché il numero dei membri non diventa nuovamente inferiore a 50.000.If the number of members grow from when it was initially created, then when it reaches 50,000 members it stops synchronizing until the membership count is lower than 50,000 again.
    • Nota: il limite di 50.000 membri viene applicato anche da Azure AD.Note: The 50,000 membership count is also enforced by Azure AD. Non è possibile sincronizzare i gruppi con un numero maggiore di membri, anche se si modifica o si rimuove la regola.You are not able to synchronize groups with more members even if you modify or remove this rule.
  • Se il gruppo è un gruppo di distribuzionedeve essere anche abilitato per la posta elettronica.If the group is a Distribution Group, then it must also be mail enabled. Per informazioni sull’applicazione di questa regola vedere Regole predefinite del contatto .See Contact out-of-box rules for this rule is enforced.

Gli oggetti di gruppo seguenti non vengono sincronizzati con Azure AD:The following group objects are not synchronized to Azure AD:

  • IsPresent([isCriticalSystemObject]).IsPresent([isCriticalSystemObject]). Assicurarsi di non sincronizzare molti oggetti predefiniti in Active Directory, ad il gruppo predefinito Administrators.Ensure many out-of-box objects in Active Directory, such as the built-in administrators group, are not synchronized.
  • [sAMAccountName] = "MSOL_AD_Sync_RichCoexistence".[sAMAccountName] = "MSOL_AD_Sync_RichCoexistence". Gruppo legacy usato da DirSync.Legacy group used by DirSync.
  • BitAnd([msExchRecipientTypeDetails],&amp;H40000000).BitAnd([msExchRecipientTypeDetails],&amp;H40000000). Gruppo di ruoli.Role Group.
  • CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0).CBool(InStr(DNComponent(CRef([dn]),1),"\\0ACNF:")>0). Non sincronizzare oggetti generati dalla replica.Do not synchronize any replication victim objects.

Regole predefinite di ForeignSecurityPrincipalForeignSecurityPrincipal out-of-box rules

Le entità di protezione esterne vengono aggiunte a qualsiasi oggetto (*) nel metaverse.FSPs are joined to "any" (*) object in the metaverse. Questa unione si verifica in realtà solo per gli utenti e i gruppi di sicurezza.In reality, this join only happens for users and security groups. Questa configurazione assicura che l'appartenenza a più foreste venga risolta e rappresentata correttamente in Azure AD.This configuration ensures that cross-forest memberships are resolved and represented correctly in Azure AD.

Regole predefinite del computerComputer out-of-box rules

Un oggetto computer deve soddisfare i seguenti requisiti per essere sincronizzato:A computer object must satisfy the following to be synchronized:

  • userCertificate ISNOTNULL.userCertificate ISNOTNULL. Solo i computer Windows 10 popolano questo attributo.Only Windows 10 computers populate this attribute. Tutti gli oggetti computer con un valore in questo attributo vengono sincronizzati.All computer objects with a value in this attribute are synchronized.

Informazioni sullo scenario delle regole predefiniteUnderstanding the out-of-box rules scenario

Questo esempio usa una distribuzione con una foresta di account (A), una foresta di risorse (R) e una directory di Azure AD.In this example, we are using a deployment with one account forest (A), one resource forest (R), and one Azure AD directory.

Immagine con descrizione dello scenario

In questa configurazione si presuppone di trovare un account abilitato nella foresta di account e un account disabilitato nella foresta di risorse con una cassetta postale collegata.In this configuration, it is assumed there is an enabled account in the account forest and a disabled account in the resource forest with a linked mailbox.

L'obiettivo della configurazione predefinita è il seguente:Our goal with the default configuration is:

  • Gli attributi correlati all'accesso verranno sincronizzati dalla foresta con l'account abilitato.Attributes related to sign-in are synchronized from the forest with the enabled account.
  • Gli attributi che si possono trovare nell'elenco indirizzi globale verranno sincronizzati dalla foresta con la cassetta postale.Attributes that can be found in the GAL (Global Address List) are synchronized from the forest with the mailbox. Se non si trova una cassetta postale, verrà usata un'altra foresta qualsiasi.If no mailbox can be found, any other forest is used.
  • Se si trova una cassetta postale collegata, è necessario che venga trovato l'account abilitato collegato per consentire l'esportazione dell'oggetto in Azure AD.If a linked mailbox is found, the linked enabled account must be found for the object to be exported to Azure AD.

Editor delle regole di sincronizzazioneSynchronization Rule Editor

La configurazione può essere visualizzata e modificata usando l'editor delle regole di sincronizzazione (SRE, Synchronization Rules Editor). Nel menu Start è disponibile un apposito collegamento.The configuration can be viewed and changed with the tool Synchronization Rules Editor (SRE) and a shortcut to it can be found in the start menu.

Icona dell'editor delle regole di sincronizzazione

SRE è uno strumento del Resource Kit e viene installato con il servizio di sincronizzazione Azure AD Connect. Per avviare lo strumento è necessario essere membro del gruppo ADSyncAdmins.The SRE is a resource kit tool and it is installed with Azure AD Connect sync. To be able to start it, you must be a member of the ADSyncAdmins group. All'avvio viene visualizzato un pannello simile al seguente:When it starts, you see something like this:

Regole di sincronizzazione in ingresso

In questo pannello sono riportate tutte le regole di sincronizzazione create per la configurazione.In this pane, you see all Synchronization Rules created for your configuration. Ogni riga nella tabella corrisponde a una regola di sincronizzazione.Each line in the table is one Synchronization Rule. In Rule Types (Tipi di regola) a sinistra sono elencati due tipi diversi: Inbound (In ingresso) e Outbound (In uscita).To the left under Rule Types, the two different types are listed: Inbound and Outbound. I tipi In ingresso e In uscita derivano dalla visualizzazione dei metaverse.Inbound and Outbound is from the view of the metaverse. In questa panoramica verranno esaminate soprattutto le regole in ingresso.You are mainly going to focus on the inbound rules in this overview. L'elenco effettivo delle regole di sincronizzazione dipende dallo schema rilevato in AD.The actual list of Synchronization Rules depends on the detected schema in AD. Nella figura precedente, la foresta di account (fabrikamonline.com) non ha alcun servizio, ad esempio Exchange e Lync, e non sono state create regole di sincronizzazione per questi servizi.In the picture above, the account forest (fabrikamonline.com) does not have any services, such as Exchange and Lync, and no Synchronization Rules have been created for these services. Nella foresta di risorse (res.fabrikamonline.com) sono tuttavia disponibili regole di sincronizzazione per questi servizi.However, in the resource forest (res.fabrikamonline.com) you find Synchronization Rules for these services. A seconda della versione rilevata, il contenuto delle regole sarà diverso.The content of the rules is different depending on the version detected. In una distribuzione con Exchange 2013 saranno ad esempio configurati più flussi di attributi rispetto a Exchange 2010/2007.For example, in a deployment with Exchange 2013 there are more attribute flows configured than in Exchange 2010/2007.

Regola di sincronizzazioneSynchronization Rule

Una regola di sincronizzazione è un oggetto di configurazione con un set di attributi trasmessi in flusso quando una condizione risulta soddisfatta.A Synchronization Rule is a configuration object with a set of attributes flowing when a condition is satisfied. Viene usata anche per descrivere il modo in cui un oggetto presente in uno spazio connettore è correlato a un oggetto del metaverse. Questa caratteristica viene chiamata join o associazione.It is also used to describe how an object in a connector space is related to an object in the metaverse, known as join or match. Le regole di sincronizzazione hanno un valore di precedenza che indica come si correlano l’una all’altra.The Synchronization Rules have a precedence value indicating how they relate to each other. Una regola di sincronizzazione con un valore numerico più basso ha una precedenza più alta e, in caso di conflitto tra flussi di attributi, la precedenza più alta avrà la priorità.A Synchronization Rule with a lower numeric value has a higher precedence and in an attribute flow conflict, higher precedence wins the conflict resolution.

A titolo di esempio, esaminare la regola di sincronizzazione In from AD – User AccountEnabled.As an example, look at the Synchronization Rule In from AD – User AccountEnabled. Selezionare questa riga in SRE e scegliere Edit(Modifica).Mark this line in the SRE and select Edit.

Essendo una regola predefinita, verrà visualizzato un avviso quando la si apre.Since this rule is an out-of-box rule, you receive a warning when you open the rule. Poiché non è consigliabile apportare modifiche alle regole predefinite, verrà chiesto come si vuole procedere.You should not make any changes to out-of-box rules, so you are asked what your intentions are. In questo caso si vuole solo visualizzare la regola.In this case, you only want to view the rule. Selezionare No.Select No.

Avviso delle regole di sincronizzazione

Una regola di sincronizzazione include quattro sezioni di configurazione: descrizione, filtro per la definizione dell'ambito, regole di unione e trasformazioni.A Synchronization Rule has four configuration sections: Description, Scoping filter, Join rules, and Transformations.

DescrizioneDescription

La prima sezione fornisce informazioni di base, ad esempio il nome e una descrizione.The first section provides basic information such as a name and description.

<span data-ttu-id="8160f-240">Scheda Description (Descrizione) nell'editor delle regole di sincronizzazione</span><span class="sxs-lookup"><span data-stu-id="8160f-240">Description tab in Sync rule editor</span></span>

Sono anche disponibili informazioni sul sistema connesso a cui la regola è correlata, sul tipo di oggetto presente nel sistema connesso a cui si applica la regola e sul tipo di oggetto del metaverse.You also find information about which connected system this rule is related to, which object type in the connected system it applies to, and the metaverse object type. Il tipo di oggetto del metaverse è sempre una persona, indipendentemente dal fatto che il tipo di oggetto di origine sia un utente, iNetOrgPerson o un contatto.The metaverse object type is always person regardless when the source object type is a user, iNetOrgPerson, or contact. Il tipo di oggetto del metaverse deve rimanere invariato, pertanto, viene creato come tipo generico.The metaverse object type should never change so it is created as a generic type. Il tipo di collegamento può essere impostato su Join, StickyJoin o Provision.The Link Type can be set to Join, StickyJoin, or Provision. Questa impostazione interagisce con la sezione Join rules (Regole di unione) e verrà discussa più avanti.This setting works together with the Join Rules section and is covered later.

Si può anche vedere che questa regola di sincronizzazione viene usata per la sincronizzazione della password. Se un utente rientra nell'ambito di questa regola di sincronizzazione, la password verrà sincronizzata da locale al cloud, presupponendo che la funzionalità di sincronizzazione delle password sia stata abilitata.You can also see that this sync rule is used for password sync. If a user is in scope for this sync rule, the password is synchronized from on-premises to cloud (assuming you have enabled the password sync feature).

Filtro per la definizione dell'ambitoScoping filter

La sezione Filtro per la definizione dell'ambito viene usata per configurare i tempi di applicazione di una regola di sincronizzazione.The Scoping Filter section is used to configure when a Synchronization Rule should apply. Dal momento che il nome della regola di sincronizzazione in esame indica che deve essere applicata solo per utenti abilitati, l'ambito viene configurato in modo che l'attributo AD userAccountControl non abbia il bit 2 impostato.Since the name of the Synchronization Rule you are looking at indicates it should only be applied for enabled users, the scope is configured so the AD attribute userAccountControl must not have the bit 2 set. Quando il motore di sincronizzazione trova un utente in AD, applica questa regola di sincronizzazione quando userAccountControl è impostato sul valore decimale 512, ovvero utente normale abilitato.When the sync engine finds a user in AD, it applies this sync rule when userAccountControl is set to the decimal value 512 (enabled normal user). Non applica la regola quando l'utente ha userAccountControl impostato su 514, ovvero utente normale disabilitato.It does not apply the rule when the user has userAccountControl set to 514 (disabled normal user).

<span data-ttu-id="8160f-252">Scheda Scoping filter (Filtro di ambito) nell'editor delle regole di sincronizzazione</span><span class="sxs-lookup"><span data-stu-id="8160f-252">Scoping tab in Sync rule editor</span></span>

Il filtro per la definizione dell'ambito contiene gruppi e clausole che possono essere annidati.The scoping filter has Groups and Clauses that can be nested. Per essere applicate, tutte le clausole all'interno di un gruppo devono essere soddisfatte per una regola di sincronizzazione.All clauses inside a group must be satisfied for a Synchronization Rule to apply. Quando si definiscono più gruppi, affinché la regola venga applicata è necessario che almeno un gruppo venga soddisfatto.When multiple groups are defined, then at least one group must be satisfied for the rule to apply. In altri termini, un OR logico viene valutato tra gruppi, mentre un AND logico viene valutato all'interno di un gruppo.That is, a logical OR is evaluated between groups and a logical AND is evaluated inside a group. Un esempio di questa configurazione è costituito dalla regola di sincronizzazione in uscita Out to AAD – Group Join.An example of this configuration can be found in the outbound Synchronization Rule Out to AAD – Group Join. Sono presenti diversi gruppi di filtri di sincronizzazione, ad esempio uno per i gruppi di sicurezza (securityEnabled EQUAL True) e uno per i gruppi di distribuzione (securityEnabled EQUAL False).There are several synchronization filter groups, for example one for security groups (securityEnabled EQUAL True) and one for distribution groups (securityEnabled EQUAL False).

<span data-ttu-id="8160f-259">Scheda Scoping filter (Filtro di ambito) nell'editor delle regole di sincronizzazione</span><span class="sxs-lookup"><span data-stu-id="8160f-259">Scoping tab in Sync rule editor</span></span>

Questa regola viene usata per definire i gruppi di cui deve essere effettuato il provisioning in Azure AD.This rule is used to define which Groups should be provisioned to Azure AD. I gruppi di distribuzione devono essere abilitati per la posta elettronica per essere sincronizzati con Azure AD. La posta elettronica non è invece necessaria per i gruppi di sicurezza.Distribution Groups must be mail enabled to be synchronized with Azure AD, but for security groups an email is not required.

Regole di unioneJoin rules

La terza sezione viene usata per configurare il modo in cui gli oggetti presenti nello spazio connettore sono correlati a oggetti presenti nel metaverse.The third section is used to configure how objects in the connector space relate to objects in the metaverse. La regola esaminata in precedenza non include alcuna configurazione per le regole di unione. Per questo motivo, verrà presa in esame la regola In from AD – User Join.The rule you have looked at earlier does not have any configuration for Join Rules, so instead you are going to look at In from AD – User Join.

<span data-ttu-id="8160f-265">Scheda Join rules (Regole di unione) nell'editor delle regole di sincronizzazione</span><span class="sxs-lookup"><span data-stu-id="8160f-265">Join rules tab in Sync rule editor</span></span>

Il contenuto della regola di unione dipende dall'opzione corrispondente selezionata nell'installazione guidata.The content of the join rule depends on the matching option selected in the installation wizard. Per una regola in ingresso, la valutazione inizia con un oggetto presente nello spazio connettore di origine. Ogni gruppo nelle regole di unione viene valutato in sequenza.For an inbound rule, the evaluation starts with an object in the source connector space and each group in the join rules is evaluated in sequence. Se, usando una delle regole di unione, la valutazione di un oggetto di origine indica che questo corrisponde esattamente a un oggetto presente nel metaverse, i due oggetti verranno uniti.If a source object is evaluated to match exactly one object in the metaverse using one of the join rules, the objects are joined. Se dopo la valutazione di tutte le regole non risulta alcuna associazione, viene usato il tipo di collegamento indicato nella pagina di descrizione.If all rules have been evaluated and there is no match, then the Link Type on the description page is used. Se la configurazione è impostata su Provision (Provisioning), nella destinazione verrà creato un nuovo oggetto, il metaverse.If this configuration is set to Provision, then a new object is created in the target, the metaverse. Il provisioning di un nuovo oggetto nel metaverse viene definito anche proiezione di un oggetto nel metaverse.To provision a new object to the metaverse is also known as to project an object to the metaverse.

Le regole di unione vengono valutate una sola volta.The join rules are only evaluated once. Quando un oggetto dello spazio connettore viene unito a un oggetto del metaverse, i due oggetti rimangono uniti finché l'ambito della regola di sincronizzazione risulta soddisfatto.When a connector space object and a metaverse object are joined, they remain joined as long as the scope of the Synchronization Rule is still satisfied.

Durante la valutazione delle regole di sincronizzazione, nell'ambito deve essere presente una sola regola di sincronizzazione con regole di unione definite.When evaluating Synchronization Rules, only one Synchronization Rule with join rules defined must be in scope. Se per un oggetto vengono trovate più regole di sincronizzazione con regole di unione, viene generato un errore.If multiple Synchronization Rules with join rules are found for one object, an error is thrown. Quando nell'ambito sono presenti più regole di sincronizzazione per un oggetto, la procedura consigliata prevede quindi di avere una sola regola di sincronizzazione con regole di unione definite.For this reason, the best practice is to have only one Synchronization Rule with join defined when multiple Synchronization Rules are in scope for an object. Nella configurazione predefinita del servizio di sincronizzazione Azure AD Connect è possibile trovare queste regole in base ai relativi nomi, cercando quelli che terminano con la parola Join .In the out-of-box configuration for Azure AD Connect sync, these rules can be found by looking at the name and find those with the word Join at the end of the name. Una regola di sincronizzazione senza alcuna regola di unione definita applica il flusso di attributi se un'altra regola di sincronizzazione ha unito gli oggetti o ha effettuato il provisioning di un nuovo oggetto nella destinazione.A Synchronization Rule without any join rules defined applies the attribute flows when another Synchronization Rule joined the objects together or provisioned a new object in the target.

Se si osserva l'immagine precedente, si noterà che la regola prova a creare un join objectSID con msExchMasterAccountSid (Exchange) e msRTCSIP-OriginatorSid (Lync), ovvero la configurazione prevista in una topologia di foresta account o risorse.If you look at the picture above, you can see that the rule is trying to join objectSID with msExchMasterAccountSid (Exchange) and msRTCSIP-OriginatorSid (Lync), which is what we expect in an account-resource forest topology. La stessa regola è presente in tutte le foreste.You find the same rule on all forests. Si presuppone che ogni foresta possa essere di tipo account o risorse.The assumption is that every forest could be either an account or resource forest. Questa configurazione funziona anche se si hanno account residenti in un'unica foresta e per i quali non è necessario creare un join.This configuration also works if you have accounts that live in a single forest and do not have to be joined.

TrasformazioniTransformations

La sezione Transformations (Trasformazioni) definisce tutti i flussi di attributi applicati all'oggetto di destinazione quando gli oggetti vengono uniti e il filtro dell'ambito è soddisfatto.The transformation section defines all attribute flows that apply to the target object when the objects are joined and the scope filter is satisfied. Prendendo di nuovo in esame la regola di sincronizzazione In from AD – User AccountEnabled , si noteranno le trasformazioni seguenti:Going back to the In from AD – User AccountEnabled Synchronization Rule, you find the following transformations:

<span data-ttu-id="8160f-286">Scheda Transformations (Trasformazioni) nell'editor delle regole di sincronizzazione</span><span class="sxs-lookup"><span data-stu-id="8160f-286">Transformations tab in Sync rule editor</span></span>

Per contestualizzare questa configurazione, in una distribuzione con una foresta di account e una di risorse si prevede di trovare un account abilitato nella foresta di account e un account disabilitato nella foresta di risorse con impostazioni Exchange e Lync.To put this configuration in context, in an Account-Resource forest deployment, it is expected to find an enabled account in the account forest and a disabled account in the resource forest with Exchange and Lync settings. La regola di sincronizzazione presa in esame contiene gli attributi necessari per eseguire l'accesso. Questi attributi devono essere trasmessi dalla foresta in cui è presente un account abilitato.The Synchronization Rule you are looking at contains the attributes required for sign-in and these attributes should flow from the forest where there is an enabled account. Tutti questi flussi di attributi vengono riuniti in una regola di sincronizzazione.All these attribute flows are put together in one Synchronization Rule.

Una trasformazione può avere diversi tipi: Costante, Diretto ed Espressione.A transformation can have different types: Constant, Direct, and Expression.

  • Un flusso costante passa sempre un valore hardcoded.A constant flow always flows a hardcoded value. Nel caso precedente viene sempre impostato il valore True nell'attributo del metaverse denominato accountEnabled.In the case above, it always sets the value True in the metaverse attribute named accountEnabled.
  • Un flusso diretto trasmette sempre il valore dell'attributo presente nell'origine all'attributo di destinazione così com'è.A direct flow always flows the value of the attribute in the source to the target attribute as-is.
  • Il terzo tipo di trasformazione, Espressione, consente configurazioni più avanzate.The third flow type is Expression and it allows for more advanced configurations.

Il linguaggio delle espressioni è VBA (Visual Basic for Applications), quindi gli utenti con conoscenze di Microsoft Office o VBScript riconosceranno il formato.The expression language is VBA (Visual Basic for Applications), so people with experience of Microsoft Office or VBScript will recognize the format. Gli attributi vengono scritti tra parentesi quadre [attributeName].Attributes are enclosed in square brackets, [attributeName]. I nomi di attributo e di funzione distinguono tra maiuscole e minuscole. L'editor delle regole di sincronizzazione valuta tuttavia le espressioni e visualizza un avviso se una di esse non è valida.Attribute names and function names are case-sensitive, but the Synchronization Rules Editor evaluates the expressions and provide a warning if the expression is not valid. Tutte le espressioni sono scritte in una singola riga, con funzioni annidate.All expressions are expressed on a single line with nested functions. Per mostrare la potenza del linguaggio di configurazione, di seguito è riportato il flusso relativo a pwdLastSet, con commenti aggiuntivi inseriti:To show the power of the configuration language, here is the flow for pwdLastSet, but with additional comments inserted:

// If-then-else
IIF(
// (The evaluation for IIF) Is the attribute pwdLastSet present in AD?
IsPresent([pwdLastSet]),
// (The True part of IIF) If it is, then from right to left, convert the AD time format to a .Net datetime, change it to the time format used by Azure AD, and finally convert it to a string.
CStr(FormatDateTime(DateFromNum([pwdLastSet]),"yyyyMMddHHmmss.0Z")),
// (The False part of IIF) Nothing to contribute
NULL
)

Per altre informazioni sul linguaggio delle espressioni per i flussi degli attributi, vedere Servizio di sincronizzazione Azure AD Connect: Informazioni sulle espressioni di provisioning dichiarativo .See Understanding Declarative Provisioning Expressions for more information on the expression language for attribute flows.

PrecedenzaPrecedence

Sinora sono state esaminate singole regole di sincronizzazione, ma queste regole interagiscono nella configurazione.You have now looked at some individual Synchronization Rules, but the rules work together in the configuration. In alcuni casi, il valore di un attributo proviene da più regole di sincronizzazione per uno stesso attributo di destinazione.In some cases, an attribute value is contributed from multiple synchronization rules to the same target attribute. In questo caso si usa la precedenza per stabilire quale attributo abbia la priorità.In this case, attribute precedence is used to determine which attribute wins. Come esempio viene preso in considerazione sourceAnchor,As an example, look at the attribute sourceAnchor. un attributo importante per l'accesso ad Azure AD.This attribute is an important attribute to be able to sign in to Azure AD. È possibile trovare un flusso di attributi per questo attributo in due diverse regole di sincronizzazione, In from AD – User AccountEnabled e In from AD – User Common.You can find an attribute flow for this attribute in two different Synchronization Rules, In from AD – User AccountEnabled and In from AD – User Common. A causa della precedenza delle regole di sincronizzazione, l'attributo sourceAnchor verrà specificato prima dalla foresta con un account abilitato, se sono presenti più oggetti uniti nell'oggetto del metaverse.Due to Synchronization Rule precedence, the sourceAnchor attribute is contributed from the forest with an enabled account first when there are several objects joined to the metaverse object. Se non sono presenti account abilitati, il motore di sincronizzazione userà la regola di sincronizzazione onnicomprensiva In from AD – User Common.If there are no enabled accounts, then the sync engine uses the catch-all Synchronization Rule In from AD – User Common. Questa configurazione assicura che anche per gli account disabilitati sia ancora presente un attributo sourceAnchor.This configuration ensures that even for accounts that are disabled, there is still a sourceAnchor.

Regole di sincronizzazione in ingresso

La precedenza per le regole di sincronizzazione è impostata in gruppi mediante l'installazione guidata.The precedence for Synchronization Rules is set in groups by the installation wizard. Le regole di un gruppo hanno tutte lo stesso nome, ma sono collegate a diverse directory connesse.All rules in a group have the same name, but they are connected to different connected directories. L'installazione guidata assegna la precedenza massima alla regola In from AD – User Join e ripete l'operazione per tutte le directory AD connesse.The installation wizard gives the rule In from AD – User Join highest precedence and it iterates over all connected AD directories. Procede quindi con i successivi gruppi di regole secondo un ordine predefinito.It then continues with the next groups of rules in a predefined order. All'interno di un gruppo, le regole vengono aggiunte nell'ordine in cui i connettori sono stati aggiunti alla procedura guidata.Inside a group, the rules are added in the order the Connectors were added in the wizard. Se con la procedura guidata viene aggiunto un altro connettore, le regole di sincronizzazione verranno riordinate e le regole del nuovo connettore verranno inserite per ultime in ogni gruppo.If another Connector is added through the wizard, the Synchronization Rules are reordered and the new Connector’s rules are inserted last in each group.

RiassumendoPutting it all together

Le informazioni fornite fino a questo punto dovrebbero essere sufficienti per comprendere il modo in cui le diverse regole di sincronizzazione agiscono sulla configurazione.We now know enough about Synchronization Rules to be able to understand how the configuration works with the different Synchronization Rules. Se si prendono in considerazione un utente e gli attributi passati al metaverse, le regole vengono applicate nell'ordine seguente:If you look at a user and the attributes that are contributed to the metaverse, the rules are applied in the following order:

NomeName CommentoComment
In from AD – User JoinIn from AD – User Join Regola per l'unione degli oggetti dello spazio connettore con il metaverse.Rule for joining connector space objects with metaverse.
In from AD – UserAccount EnabledIn from AD – UserAccount Enabled Attributi necessari per l'accesso ad Azure AD e Office 365.Attributes required for sign-in to Azure AD and Office 365. Questi attributi dovranno essere rilevati dall'account abilitato.We want these attributes from the enabled account.
In from AD – User Common from ExchangeIn from AD – User Common from Exchange Attributi trovati nell'Elenco indirizzi globale.Attributes found in the Global Address List. Si presuppone che la qualità dei dati sia migliore nella foresta in cui è stata individuata la cassetta postale dell'utente.We assume the data quality is best in the forest where we have found the user’s mailbox.
In from AD – User CommonIn from AD – User Common Attributi trovati nell'Elenco indirizzi globale.Attributes found in the Global Address List. Se non è stata trovata una cassetta postale, alla definizione del valore dell'attributo può contribuire qualsiasi altro oggetto unito.In case we didn’t find a mailbox, any other joined object can contribute the attribute value.
In from AD – User ExchangeIn from AD – User Exchange Presente solo se è stato rilevato Exchange.Only exists if Exchange has been detected. Trasmette tutti gli attributi dell'infrastruttura di Exchange.It flows all infrastructure Exchange attributes.
In from AD – User LyncIn from AD – User Lync Presente solo se è stato rilevato Lync.Only exists if Lync has been detected. Trasmette tutti gli attributi dell'infrastruttura di Lync.It flows all infrastructure Lync attributes.

Passaggi successiviNext steps

Argomenti generaliOverview topics