Da: Sincronizzazione di Microsoft Entra Connect: Configurare il filtraggio

Usando il filtro, è possibile controllare gli oggetti visualizzati in Microsoft Entra ID dalla directory locale. La configurazione predefinita considera tutti gli oggetti in tutti i domini delle foreste configurate. In generale, questa è la configurazione consigliata. Gli utenti che usano carichi di lavoro di Microsoft 365, ad esempio Exchange Online e Skype for Business, traggono vantaggio da un elenco indirizzi globale completo, in modo che possano inviare messaggi di posta elettronica e chiamare tutti. Con la configurazione predefinita possono usufruire della stessa esperienza resa disponibile da un'implementazione locale di Exchange o Lync.

In alcuni casi, tuttavia, è necessario apportare alcune modifiche alla configurazione predefinita. Di seguito vengono forniti alcuni esempi:

  • Si esegue un progetto pilota per Azure o Microsoft 365 e si vuole solo un subset di utenti in Microsoft Entra ID. In una distribuzione pilota di dimensioni ridotte la disponibilità di un elenco indirizzi globale completo per illustrare la funzionalità non è importante.
  • Si hanno molti account di servizio e altri account non personali che non si desiderano in Microsoft Entra ID.
  • Per motivi di conformità, non si eliminano account utente locali, li si disabilita soltanto, Ma in Microsoft Entra ID si desidera che siano presenti solo gli account attivi.

Questo articolo illustra come configurare i diversi metodi di filtro.

Importante

Microsoft non supporta la modifica o l'uso di Microsoft Entra Connessione Sync all'esterno delle azioni documentate formalmente. Una di queste azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Connessione Sync. Di conseguenza, Microsoft non può fornire supporto tecnico per tali distribuzioni.

Nozioni di base e note importanti

In Microsoft Entra Connessione Sync è possibile abilitare il filtro in qualsiasi momento. Se si inizia con una configurazione predefinita della sincronizzazione della directory e quindi si configura il filtro, gli oggetti filtrati non vengono più sincronizzati con Microsoft Entra ID. A causa di questa modifica, tutti gli oggetti in Microsoft Entra ID sincronizzati in precedenza, ma sono stati quindi filtrati vengono eliminati in Microsoft Entra ID.

Prima di iniziare a apportare modifiche al filtro, assicurarsi di disabilitare l'utilità di pianificazione predefinita in modo da non esportare accidentalmente le modifiche che non sono state ancora verificate per essere corrette.

Poiché il filtro può rimuovere molti oggetti contemporaneamente, è necessario assicurarsi che i nuovi filtri siano corretti prima di iniziare a esportare le modifiche apportate a Microsoft Entra ID. Dopo aver completato i passaggi di configurazione, è consigliabile seguire i passaggi di verifica prima di esportare e apportare modifiche all'ID Microsoft Entra.

Per evitare che si elimino numerosi oggetti per errore, la funzionalità che impedisce eliminazioni accidentali è attiva per impostazione predefinita. Se si eliminano molti oggetti a causa del filtro (500 per impostazione predefinita), è necessario seguire la procedura descritta in questo articolo per consentire alle eliminazioni di passare a Microsoft Entra ID.

Se si usa una build precedente a quella di novembre 2015 (1.0.9125), si apporta una modifica a una configurazione di filtro e si usa il servizio di sincronizzazione dell'hash delle password, è necessario attivare una sincronizzazione completa di tutte le password al termine della configurazione. Per informazioni su come attivare una sincronizzazione completa di tutte le password, vedere Attivare una sincronizzazione completa di tutte le password. Se si usa la build 1.0.9125 o versione successiva, la normale azione di sincronizzazione completa consente anche di stabilire se le password devono essere sincronizzate e se questo passaggio aggiuntivo non è più necessario.

Se gli oggetti utente sono stati eliminati inavvertitamente in Microsoft Entra ID a causa di un errore di filtro, è possibile ricreare gli oggetti utente in Microsoft Entra ID rimuovendo le configurazioni di filtro. e successivamente sincronizzare nuovamente le directory. Questa azione ripristina gli utenti dal Cestino in Microsoft Entra ID. Non è tuttavia possibile annullare l'eliminazione di altri tipi di oggetto. Se ad esempio si elimina accidentalmente un gruppo di sicurezza usato per inserire una risorsa in un elenco di controllo di accesso, il gruppo e gli elenchi di controllo di accesso relativi non possono essere ripristinati.

Microsoft Entra Connessione elimina solo gli oggetti considerati come inclusi nell'ambito. Se sono presenti oggetti in Microsoft Entra ID creati da un altro motore di sincronizzazione e questi oggetti non sono inclusi nell'ambito, l'aggiunta di filtri non li rimuove. Ad esempio, se si inizia con un server DirSync che ha creato una copia completa dell'intera directory in Microsoft Entra ID e si installa un nuovo server microsoft Entra Connessione Sync in parallelo con il filtro abilitato dall'inizio, Microsoft Entra Connessione non rimuove gli oggetti aggiuntivi creati da DirSync.

La configurazione del filtro viene mantenuta quando si installa o si esegue l'aggiornamento a una versione più recente di Microsoft Entra Connessione. Prima di eseguire il primo ciclo di sincronizzazione, è consigliabile verificare sempre che la configurazione non sia stata modificata inavvertitamente dopo un aggiornamento a una versione più recente.

Se si dispone di più di una foresta, è necessario applicare a ognuna le configurazioni di filtro descritte in questo argomento, presupponendo che si desideri la stessa configurazione per ogni foresta.

Disabilitare l'utilità di pianificazione della sincronizzazione

Per disabilitare l'utilità di pianificazione predefinita che attiva un ciclo di sincronizzazione ogni 30 ore, seguire questi passaggi:

  1. Aprire Windows PowerShell, importare il modulo ADSync e disabilitare l'utilità di pianificazione usando i comandi seguenti
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. Apportare le modifiche descritte in questo articolo. Riabilitare quindi l'utilità di pianificazione con il comando seguente
Set-ADSyncScheduler -SyncCycleEnabled $True

Opzioni di filtro

Allo strumento di sincronizzazione della directory è possibile applicare i tipi di configurazione di filtro seguenti:

  • Basato su gruppo: il filtro basato su un singolo gruppo può essere configurato solo durante l'installazione iniziale usando l'installazione guidata.
  • Basato su dominio: usando questa opzione, è possibile selezionare i domini sincronizzati con Microsoft Entra ID. È anche possibile aggiungere e rimuovere domini dalla configurazione del motore di sincronizzazione quando si apportano modifiche all'infrastruttura locale dopo aver installato Microsoft Entra Connessione Sync.
  • Unità organizzativa (OU): usando questa opzione, è possibile selezionare le unità organizzative sincronizzate con Microsoft Entra ID. Questa opzione è disponibile in tutti i tipi di oggetto nelle unità organizzative selezionate.
  • Basato su attributi: consente di filtrare gli oggetti in base ai valori di attributo relativi. È anche possibile avere filtri diversi a seconda del tipo di oggetto.

È possibile usare più opzioni di filtro contemporaneamente. È possibile ad esempio usare il filtro basato su unità organizzative per includere gli oggetti solo in un'unità organizzativa. Allo stesso tempo, è possibile usare il filtro basato su attributi per filtrare ulteriormente gli oggetti. Quando si usano più metodi di filtro, viene usato un operatore AND logico tra i filtri.

Filtro basato su dominio

Questa sezione illustra i passaggi necessari per configurare il filtro basato su dominio. Se sono stati aggiunti o rimossi domini nella foresta dopo aver installato Microsoft Entra Connessione, è necessario aggiornare anche la configurazione del filtro.

Per modificare il filtro basato su dominio, eseguire l'installazione guidata: filtro di dominio e unità organizzativa. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Filtro basato su unità organizzative

Per modificare il filtro basato su unità organizzative, eseguire l'installazione guidata: filtro di domini e unità organizzative. L'installazione guidata consente di eseguire automaticamente tutte le attività descritte in questo argomento.

Importante

Se si seleziona in modo esplicito un'unità organizzativa per la sincronizzazione, Microsoft Entra Connessione aggiungerà il DistinguishedName di tale unità organizzativa nell'elenco di inclusione per l'ambito di sincronizzazione del dominio. Tuttavia, se in un secondo momento si rinomina tale unità organizzativa in Active Directory, il DistinguishedName dell'unità organizzativa viene modificato e di conseguenza, Microsoft Entra Connessione non considererà più tale unità organizzativa nell'ambito di sincronizzazione. Questo non causerà un problema immediato, ma in un passaggio di importazione completo, Microsoft Entra Connessione rivaluta l'ambito di sincronizzazione ed eliminerà (ad esempio obsoleto) qualsiasi oggetto fuori ambito di sincronizzazione, che può potenzialmente causare un'eliminazione di massa imprevista di oggetti in Microsoft Entra ID. Per evitare questo problema, dopo la ridenominazione di un'unità organizzativa, eseguire microsoft Entra Connessione Wizard e selezionare nuovamente l'unità organizzativa da includere nuovamente nell'ambito di sincronizzazione.

Filtro basato su attributo

Per il funzionamento corretto di questi passaggi, verificare di usare la build di novembre 2015 (1.0.9125) o versione successiva.

Importante

Microsoft consiglia di non modificare le regole predefinite create da Microsoft Entra Connessione. Se si vuole modificare la regola, clonarla e disabilitare la regola originale. Apportare le modifiche necessarie alla regola clonata. Si noti che in questo modo (disabilitando la regola originale) si perderanno alcune correzioni di bug o funzionalità abilitate tramite quella regola.

Il filtro basato su attributi è il modo più flessibile per filtrare gli oggetti. È possibile usare la potenza del provisioning dichiarativo per controllare quasi ogni aspetto di quando un oggetto viene sincronizzato con Microsoft Entra ID.

È possibile applicare il filtro in ingresso da Active Directory al metaverse e il filtro in uscita dal metaverse all'ID Microsoft Entra. È consigliabile applicare il filtro in ingresso perché è più semplice da gestire, mentre il filtro in uscita deve essere usato solo se è necessario per unire oggetti da più di una foresta prima che venga eseguita la valutazione.

Filtri in ingresso

Il filtro in ingresso usa la configurazione predefinita, in cui gli oggetti che passano a Microsoft Entra ID devono avere l'attributo metaverse cloudFiltered non impostato su un valore da sincronizzare. Se il valore di questo attributo è impostato su True, l'oggetto non è sincronizzato. Per progettazione, il valore non deve essere impostato su False. Per verificare che altre regole possano fornire un valore, questo attributo dovrebbe avere solo i valori True o NULL (assente).

Si noti che Microsoft Entra Connect è progettato per pulire gli oggetti responsabili del provisioning in Microsoft Entra ID. Se il sistema non ha effettuato il provisioning dell'oggetto in Microsoft Entra ID in passato, ma ottiene l'oggetto Microsoft Entra durante un passaggio di importazione, presuppone correttamente che questo oggetto sia stato creato in Microsoft Entra ID da un altro sistema. Microsoft Entra Connessione non pulisce questi tipi di oggetti Microsoft Entra, anche quando l'attributo cloudFiltered metaverse è impostato su True.

Per determinare gli oggetti da sincronizzare o da non sincronizzare, durante l'applicazione del filtro in ingresso si usa l'ambito dove si apportano le modifiche necessarie per rispettare i requisiti dell'organizzazione. Nel modulo di ambito sono disponibili un gruppo e una clausola per determinare quando una regola di sincronizzazione è nell'ambito. Un gruppo contiene una o più clausole. Tra più clausole viene inserito un operatore AND logico e tra più gruppi un operatore OR logico.

Ecco un esempio:
A screenshot showing an example of adding scoping filters.
Deve essere letto come (department = IT) OR (department = Sales AND c = US).

Negli esempi e nei passaggi seguenti viene usato l'oggetto utente come esempio, ma l'uso può essere esteso a tutti i tipi di oggetto.

Negli esempi seguenti il valore di precedenza inizia con 50. Può trattarsi di un numero qualsiasi non in uso, ma deve essere minore di 100.

Filtro negativo (non sincronizzare gli elementi indicati)

Nell'esempio seguente vengono filtrati (non sincronizzati) tutti gli utenti per cui il valore di extensionAttribute15 è NoSync.

  1. Accedere al server che esegue Microsoft Entra Connessione Sync usando un account membro del gruppo di sicurezza ADSync Amministrazione s.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User DoNotSyncFilter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 50, e quindi fare clic su Next (Avanti).
    Inbound 1 description
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute (Attributo) selezionare ExtensionAttribute15. Verificare che il valore del campo Operator (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare NoSync nella casella Value (Valore). Fare clic su Avanti.
    Inbound 2 scope
  6. Lasciare vuote le regole Join e quindi fare clic su Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella di testo Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
    Inbound 3 transformation
  8. Per completare la configurazione, è necessario eseguire una sincronizzazione completa. Continuare a leggere la sezione Applicare e verificare le modifiche.

Filtro positivo (sincronizzare solo gli elementi indicati)

La creazione di un filtro positivo può essere più complessa perché è necessario considerare anche gli oggetti la cui sincronizzazione non è scontata, ad esempio le sale riunioni. Verrà anche eseguito l'override del filtro predefinito nella regola In from AD - User Join predefinita. Quando si crea il filtro personalizzato, assicurarsi di non includere oggetti di sistema critici, oggetti dei conflitti di replica, cassette postali speciali e account del servizio per Microsoft Entra Connessione.

L'opzione di filtro positivo richiede due regole di sincronizzazione. Sono necessarie una o più regole con l'ambito corretto di oggetti da sincronizzare. È necessaria anche una seconda regola di sincronizzazione catch-all che esclude tutti gli oggetti non ancora identificati come oggetti da sincronizzare.

Nell'esempio seguente vengono sincronizzati solo gli oggetti per i quali l'attributo department ha il valore Sales.

  1. Accedere al server che esegue Microsoft Entra Connessione Sync usando un account membro del gruppo di sicurezza ADSync Amministrazione s.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. Verifica che sia selezionata l'opzione Inbound (In ingresso) e fare clic su Add New Rule (Aggiungi nuova regola).
  4. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Sales sync". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 51, e quindi fare clic su Next (Avanti).
    Inbound 4 description
  5. In Scoping filter (Filtro ambito) fare clic su Add Group (Aggiungi gruppo) e quindi fare clic su Add Clause (Aggiungi clausola). In Attribute (Attributo) selezionare department. Verificare che il valore del campo Operato (Operatore) sia impostato su EQUAL (UGUALE) e quindi digitare Sales nella casella Value (Valore). Fare clic su Avanti.
    Inbound 5 scope
  6. Lasciare vuote le regole Join e quindi fare clic su Next.
  7. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare False. Fare clic su Add (Aggiungi) per salvare la regola.
    Inbound 6 transformation
    Questo è un caso particolare in cui cloudFiltered viene impostato in modo esplicito su False.
  8. Ora è necessario creare la regola di sincronizzazione catch-all. Assegnare alla regola un nome descrittivo, ad esempio "In from AD - User Catch-all filter". Selezionare la foresta corretta, quindi selezionare User (Utente) come CS object type (Tipo di oggetto CS) e Person (Persona) come MV object type (Tipo di oggetto MV). In Link Type (Tipo di collegamento) selezionare Join (Unisci). In Precedence (Precedenza) digitare un valore attualmente non usato da un'altra regola di sincronizzazione, ad esempio 99. È stato selezionato un valore di precedenza più alto (precedenza inferiore) rispetto alla regola di sincronizzazione precedente, ma è stato lasciato anche spazio per aggiungere in seguito più regole di sincronizzazione del filtro quando si vuole avviare la sincronizzazione di altri reparti. Fare clic su Avanti.
    Inbound 7 description
  9. Lasciare vuoto Scoping filter e fare clic su Next. Un filtro vuoto indica che la regola deve essere applicata a tutti gli oggetti.
  10. Lasciare vuote le regole Join e quindi fare clic su Next.
  11. Fare clic su Add Transformation (Aggiungi trasformazione), selezionare Constant per FlowType e cloudFiltered come Target Attribute (Attributo di destinazione). Nella casella Source (Origine) digitare True. Fare clic su Add (Aggiungi) per salvare la regola.
    Inbound 3 transformation
  12. Per completare la configurazione, è necessario eseguire una sincronizzazione completa. Continuare a leggere la sezione Applicare e verificare le modifiche.

Se necessario, è possibile creare più regole del primo tipo per includere altri oggetti nella sincronizzazione.

Filtri in uscita

In alcuni casi è necessario applicare il filtro solo dopo aver unito gli oggetti al metaverse. Per determinare se è necessario sincronizzare un oggetto, potrebbe ad esempio essere opportuno cercare l'attributo mail nella foresta di risorse e l'attributo userPrincipalName nella foresta di account. In questi casi, vengono creati i filtri nella regola in uscita.

In questo esempio si modifica il filtro in modo che vengano sincronizzati solo gli utenti per cui entrambi gli attributi mail e userPrincipalName terminano in @contoso.com:

  1. Accedere al server che esegue Microsoft Entra Connessione Sync usando un account membro del gruppo di sicurezza ADSync Amministrazione s.
  2. Avviare l'editor delle regole di sincronizzazione dal menu Start.
  3. In Rules Type (Tipo di regola) fare clic su Outbound (In uscita).
  4. A seconda della versione di Connessione in uso, trovare la regola denominata Out to Microsoft Entra ID – User Join or Out to Microsoft Entra ID - User Join SOAInAD e fare clic su Modifica.
  5. Nel popup selezionare Yes (Sì) per creare una copia della regola.
  6. Nella pagina Description (Descrizione) modificare il campo Precedence (Precedenza) su un valore non usato, ad esempio 50.
  7. Fare clic su Scoping filter (Filtro ambito) nel riquadro di spostamento a sinistra e quindi fare clic su Add clause (Aggiungi clausola). In Attribute (Attributo) selezionare mail. In Operator (Operatore) selezionare ENDSWITH (TERMINACON). In Valore digitare @contoso.com e quindi fare clic su Aggiungi clausola. In Attribute (Attributo) selezionare userPrincipalName. In Operator (Operatore) selezionare ENDSWITH (TERMINACON). In Valore digitare @contoso.com.
  8. Fare clic su Salva.
  9. Per completare la configurazione, è necessario eseguire una sincronizzazione completa. Continuare a leggere la sezione Applicare e verificare le modifiche.

Applicare e verificare le modifiche

Dopo aver apportato le modifiche alla configurazione, è necessario applicarle agli oggetti già presenti nel sistema. È possibile anche che gli oggetti non presenti attualmente nel motore di sincronizzazione debbano essere elaborati e che il motore di sincronizzazione debba leggere di nuovo il sistema di origine per verificarne il contenuto.

Se la configurazione è stata modificata usando il filtro basato su dominio o su unità organizzativa, è necessario eseguire un'operazione Full import (Importazione completa), seguita da un'operazione Delta synchronization (Sincronizzazione delta).

Se la configurazione è stata modificata usando il filtro basato su attributi, è necessario eseguire un'operazione Full synchronization (Sincronizzazione completa).

Effettua i passaggi seguenti:

  1. Avviare Synchronization Service (Servizio di sincronizzazione) dal menu Start.
  2. Seleziona Connettori. Nell'elenco Connectors (Connettori) selezionare il connettore in cui in precedenza è stata apportata una modifica alla configurazione. In Actions (Azioni) selezionare Run (Esegui).
    Connector run
  3. In Run profiles (Profili di esecuzione) selezionare l'operazione indicata nella sezione precedente. Se è necessario eseguire due azioni, eseguire la seconda dopo il completamento della prima. Il valore della colonna State (Stato) è impostato su Idle (Inattivo) per il connettore selezionato.

Dopo la sincronizzazione, tutte le modifiche vengono inserite temporaneamente per essere esportate. Prima di apportare effettivamente le modifiche in Microsoft Entra ID, si vuole verificare che tutte queste modifiche siano corrette.

  1. Avviare un prompt dei comandi e passare a %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Eseguire csexport "Name of Connector" %temp%\export.xml /f:x.
    Il nome del connettore si trova nel servizio di sincronizzazione. Ha un nome simile a "contoso.com – Microsoft Entra ID" per Microsoft Entra ID.
  3. Eseguire CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. A questo punto si avrà un file denominato export.csv in %temp%, che può essere esaminato in Microsoft Excel. Questo file contiene tutte le modifiche in fase di esportazione.
  5. Apportare le modifiche necessarie ai dati o alla configurazione ed eseguire di nuovo questi passaggi (importazione, sincronizzazione e verifica) finché le modifiche che verranno esportate non saranno quelle previste.

Quando si è soddisfatti, esportare le modifiche in Microsoft Entra ID.

  1. Seleziona Connettori. Nell'elenco Connessione ors selezionare Microsoft Entra Connessione or. In Actions (Azioni) selezionare Run (Esegui).
  2. In Run profiles (Profili di esecuzione) selezionare Export (Esporta).
  3. Se le modifiche della configurazione comportano l'eliminazione di molti oggetti, viene visualizzato un errore nell'esportazione se il numero è superiore alla soglia configurata (500 per impostazione predefinita). Se viene visualizzato questo errore, è necessario disabilitare temporaneamente la funzionalità che impedisce eliminazioni accidentali.

A questo punto è possibile abilitare di nuovo l'utilità di pianificazione.

  1. Avviare Utilità di pianificazione dal menu Start.
  2. In Libreria Utilità di pianificazione trovare l'attività denominata Azure AD Sync Scheduler, fare clic con il pulsante destro del mouse e scegliere Abilita.

Filtri basati sui gruppi

È possibile configurare il filtro basato su gruppo la prima volta che si installa Microsoft Entra Connessione usando l'installazione personalizzata. Tale filtro è progettato per una distribuzione pilota in cui si desidera solo un piccolo gruppo di oggetti da sincronizzare. Dopo essere stato disabilitato, il filtro basato su gruppi non può essere abilitato nuovamente. L'uso del filtro basato su gruppi non è supportato in una configurazione personalizzata, ma è supportato solo per configurare questa funzionalità tramite l'installazione guidata. Dopo aver completato il progetto pilota, usare solo una delle altre opzioni di filtro descritte in questo argomento. Se si usa un filtro basato su unità organizzative insieme al filtro basato su gruppi, è necessario includere le unità organizzative in cui si trovano il gruppo e i relativi membri.

Quando si sincronizzano più foreste di AD, è possibile configurare i filtri basati sui gruppi specificando un gruppo diverso per ogni istanza di AD Connector. Per sincronizzare un utente in una foresta di AD e lo stesso utente dispone di uno o più oggetti corrispondenti nelle altre foreste di AD, è necessario assicurarsi che l'oggetto utente e tutti gli oggetti corrispondenti siano inclusi nell'ambito de filtro basati sui gruppi. Ad esempio:

  • un utente di una foresta dispone di un oggetto entità di protezione esterna corrispondente in un'altra foresta. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato con Microsoft Entra ID.

  • Un utente in una foresta ha un account della risorsa corrispondente, ad esempio una cassetta postale collegata, in un'altra foresta. Inoltre, è stato configurato Microsoft Entra Connessione per collegare l'utente all'account della risorsa. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato con Microsoft Entra ID.

  • Un utente in una foresta dispone di un contatto di posta corrispondente in un'altra foresta. Inoltre, è stato configurato Microsoft Entra Connessione per collegare l'utente al contatto di posta elettronica. Entrambi gli oggetti devono essere all'interno dell'ambito di filtro basato sul gruppo. In caso contrario, l'utente non verrà sincronizzato con Microsoft Entra ID.

Passaggi successivi