Microsoft Entra Connect Sync: filtering configureren

Met behulp van filteren kunt u bepalen welke objecten worden weergegeven in Microsoft Entra-id vanuit uw on-premises map. De standaardconfiguratie geldt voor alle objecten in alle domeinen in de geconfigureerde forests. Over het algemeen is dit de aanbevolen configuratie. Gebruikers die Microsoft 365-workloads gebruiken, zoals Exchange Online en Skype voor Bedrijven, profiteren van een volledige algemene adreslijst, zodat ze e-mail kunnen verzenden en iedereen kunnen bellen. Met de standaardconfiguratie hebben ze dezelfde ervaring als in het geval van een on-premises implementatie van Exchange of Lync.

In sommige gevallen moet u echter enkele wijzigingen aanbrengen aan de standaardconfiguratie. Hieronder volgen een aantal voorbeelden:

• U voert een testfase uit voor Azure of Microsoft 365 en u wilt alleen een subset van gebruikers in Microsoft Entra-id. In de kleine testfase is het niet belangrijk om een volledige algemene adreslijst te hebben om de functionaliteit te demonstreren.
• U hebt veel serviceaccounts en andere niet-personenaccounts die u niet wilt gebruiken in Microsoft Entra-id.
• Om nalevingsredenen verwijdert u on-premises geen gebruikersaccounts. U schakelt ze alleen uit. Maar in Microsoft Entra-id wilt u alleen actieve accounts weergeven.

In dit artikel wordt beschreven hoe u de verschillende filtermethoden configureert.

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of gebruiken van Microsoft Entra Verbinding maken Sync buiten de acties die formeel worden gedocumenteerd. Een van deze acties kan leiden tot een inconsistente of niet-ondersteunde status van Microsoft Entra Verbinding maken Sync. Als gevolg hiervan kan Microsoft geen technische ondersteuning bieden voor dergelijke implementaties.

Basisbeginselen en belangrijke opmerkingen

In Microsoft Entra Verbinding maken Sync kunt u filteren op elk gewenst moment inschakelen. Als u begint met een standaardconfiguratie van adreslijstsynchronisatie en vervolgens filteren configureert, worden de objecten die worden gefilterd, niet meer gesynchroniseerd met Microsoft Entra-id. Vanwege deze wijziging worden alle objecten in Microsoft Entra-id die eerder zijn gesynchroniseerd, maar vervolgens gefilterd, verwijderd in Microsoft Entra-id.

Voordat u wijzigingen aanbrengt in het filteren, moet u ervoor zorgen dat u de ingebouwde planner uitschakelt, zodat u niet per ongeluk wijzigingen exporteert die u nog niet hebt geverifieerd om correct te zijn.

Omdat filteren veel objecten tegelijk kan verwijderen, wilt u ervoor zorgen dat uw nieuwe filters juist zijn voordat u begint met het exporteren van wijzigingen in Microsoft Entra-id. Nadat u de configuratiestappen hebt voltooid, raden we u ten zeerste aan de verificatiestappen te volgen voordat u de microsoft-entra-id exporteert en wijzigingen aanbrengt.

Als bescherming tegen het per ongeluk verwijderen van veel objecten, is de functie onbedoelde verwijderingen voorkomen standaard ingeschakeld. Als u veel objecten verwijdert vanwege filteren (standaard 500), moet u de stappen in dit artikel volgen om de verwijderingen door te laten gaan naar Microsoft Entra-id.

Als u een build van vóór november 2015 (1.0.9125) gebruikt, wijzigt u een filterconfiguratie en gebruikt u hash-synchronisatie van wachtwoorden. Nadat u de configuratie hebt voltooid, activeert u een volledige synchronisatie van alle wachtwoorden. Zie Een volledige synchronisatie van alle wachtwoorden activeren voor de stappen voor het activeren van een volledige wachtwoordsynchronisatie. Als u build 1.0.9125 of hoger gebruikt, berekent de normale volledige synchronisatieactie ook of wachtwoorden moeten worden gesynchroniseerd en of deze extra stap niet meer nodig is.

Als gebruikersobjecten per ongeluk zijn verwijderd in Microsoft Entra-id vanwege een filterfout, kunt u de gebruikersobjecten opnieuw maken in Microsoft Entra-id door uw filterconfiguraties te verwijderen. Vervolgens kunt u uw mappen opnieuw synchroniseren. Met deze actie worden de gebruikers uit de prullenbak in Microsoft Entra ID hersteld. U kunt echter de verwijdering van andere objecttypen niet ongedaan maken. Als u bijvoorbeeld per ongeluk een beveiligingsgroep verwijdert die als ACL voor een resource werd gebruikt, kunnen de groep en de bijbehorende ACL's niet worden teruggezet.

Microsoft Entra Verbinding maken verwijdert alleen objecten die als bereik zijn beschouwd. Als er objecten zijn in Microsoft Entra-id die zijn gemaakt door een andere synchronisatie-engine en deze objecten niet binnen het bereik vallen, worden deze niet verwijderd door het toevoegen van filters. Als u bijvoorbeeld begint met een DirSync-server die een volledige kopie van uw hele map in Microsoft Entra-id hebt gemaakt en u een nieuwe Microsoft Entra Verbinding maken Sync-server parallel installeert met filteren vanaf het begin ingeschakeld, worden de extra objecten die door DirSync worden gemaakt, niet verwijderd door Microsoft Entra Verbinding maken.

De filterconfiguratie wordt bewaard wanneer u een nieuwere versie van Microsoft Entra Verbinding maken installeert of upgradet. Voordat u de eerste synchronisatiecyclus uitvoert, is het altijd een best practice om te controleren of de configuratie niet per ongeluk is gewijzigd na een upgrade naar een nieuwere versie.

Als u meer dan één forest hebt, moet u de filterconfiguraties die in dit onderwerp worden beschreven, toepassen op elke forest (ervan uitgaande dat u dezelfde configuratie voor alle forests wilt).

De synchronisatieplanner uitschakelen

Voer de volgende stappen uit om de ingebouwde scheduler uit te schakelen die elke dertig minuten een synchronisatiecyclus activeert:

1. Open Windows PowerShell, importeer de ADSync-module en schakel de planner uit met behulp van de volgende opdrachten

import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False

2. Breng de wijzigingen aan die in dit artikel worden beschreven. Schakel de scheduler vervolgens opnieuw in met de volgende opdracht

Set-ADSyncScheduler -SyncCycleEnabled $True

Filteropties

U kunt de volgende filterconfiguratietypen toepassen op het hulpprogramma voor adreslijstsynchronisatie:

• Op groepen gebaseerd: filteren op basis van één groep kan alleen met behulp van de installatiewizard bij de eerste installatie worden geconfigureerd.
• Op basis van een domein: met deze optie kunt u selecteren welke domeinen worden gesynchroniseerd met Microsoft Entra-id. U kunt ook domeinen toevoegen aan en verwijderen uit de configuratie van de synchronisatie-engine wanneer u wijzigingen aanbrengt in uw on-premises infrastructuur nadat u Microsoft Entra Verbinding maken Sync hebt geïnstalleerd.
• Organisatie-eenheid (OE):met deze optie kunt u selecteren welke organisatie-eenheden worden gesynchroniseerd met Microsoft Entra-id. Deze optie geldt voor alle objecttypen in bepaalde OE's.
• Op basis van kenmerken: met deze optie kunt u objecten filteren op basis van kenmerkwaarden van de objecten. U kunt ook verschillende filters voor verschillende objecttypen gebruiken.

U kunt meerdere filteropties tegelijkertijd gebruiken. U kunt bijvoorbeeld filteren op basis van organisatie-eenheid waarbij alleen objecten in één organisatie-eenheid worden gefilterd. Tegelijkertijd kunt u filteren op basis van kenmerken om de objecten verder te filteren. Wanneer u meerdere filtermethoden gebruikt, wordt gebruikgemaakt van een logische 'AND' tussen de filters.

Filteren op basis van een domein

Deze sectie bevat de stappen voor het configureren van een domeinfilter. Als u domeinen in uw forest hebt toegevoegd of verwijderd nadat u Microsoft Entra Verbinding maken hebt geïnstalleerd, moet u ook de filterconfiguratie bijwerken.

Als u filteren op basis van een domein wilt wijzigen, voert u de installatiewizard uit: Filteren op basis van domein of OE. De installatiewizard automatiseert alle taken die in dit onderwerp worden beschreven.

Filteren op basis van organisatie-eenheid

Als u filteren op basis van OE wilt wijzigen, voert u de installatiewizard uit: Filteren op basis van domein of OE. De installatiewizard automatiseert alle taken die in dit onderwerp worden beschreven.

Belangrijk

Als u expliciet een organisatie-eenheid voor synchronisatie selecteert, voegt Microsoft Entra Verbinding maken de DistinguishedName van die organisatie-eenheid toe aan de opnamelijst voor het synchronisatiebereik van het domein. Als u de naam van die organisatie-eenheid in Active Directory later wijzigt, wordt de DistinguishedName van de organisatie-eenheid echter gewijzigd. Daarom wordt microsoft Entra Verbinding maken deze organisatie-eenheid niet meer in het synchronisatiebereik gezien. Dit veroorzaakt geen onmiddellijk probleem, maar bij een volledige importstap zal Microsoft Entra Verbinding maken het synchronisatiebereik opnieuw geëvalueerd en verwijderen (dat wil bijvoorbeeld verouderd) alle objecten buiten het synchronisatiebereik, wat mogelijk een onverwachte massaverwijdering van objecten in Microsoft Entra-id kan veroorzaken. Als u dit probleem wilt voorkomen, voert u Microsoft Entra Verbinding maken Wizard uit nadat u de naam van een organisatie-eenheid hebt hernoemd en selecteert u de organisatie-eenheid die opnieuw moet worden opgenomen in het synchronisatiebereik.

Filteren op basis van kenmerken

Zorg ervoor dat u de build van november 2015 (1.0.9125) of hoger gebruikt om deze stappen te kunnen uitvoeren.

Belangrijk

Microsoft raadt aan de standaardregels die zijn gemaakt door Microsoft Entra Verbinding maken niet te wijzigen. Als u de regel wilt wijzigen, kloont u deze en schakelt u de oorspronkelijke regel uit. Breng eventuele wijzigingen aan de gekloonde regel aan. Als u dit doet (het uitschakelen van de oorspronkelijke regel), mist u eventuele bugfixes of functies die via die regel zijn ingeschakeld.

Filteren op basis van kenmerken is de meest flexibele manier om objecten te filteren. U kunt de kracht van declaratieve inrichting gebruiken om vrijwel elk aspect van wanneer een object wordt gesynchroniseerd met Microsoft Entra-id te beheren.

U kunt binnenkomend filteren vanuit Active Directory toepassen op de metaverse en uitgaande filtering van de metaverse naar Microsoft Entra-id. We U wordt aangeraden filteren in binnenkomende richting toe te passen, omdat dit de eenvoudigst te onderhouden manier is. Gebruik alleen filteren in uitgaande richting als het nodig is om objecten uit meer dan één forest samen te voegen voordat de evaluatie kan plaatsvinden.

Filteren in binnenkomende richting

Inkomende filtering maakt gebruik van de standaardconfiguratie, waarbij objecten die naar De Microsoft Entra-id gaan, het metaversekenmerk cloudFiltered moeten hebben dat niet is ingesteld op een waarde die moet worden gesynchroniseerd. Als de waarde van dit kenmerk is ingesteld op True, wordt het object niet gesynchroniseerd. De waarde mag standaard niet worden ingesteld op False. Om ervoor te zorgen dat andere regels de mogelijkheid hebben om een waarde bij te dragen, mag dit kenmerk alleen de waarden True of NULL (afwezig) hebben.

Microsoft Entra Connect is ontworpen om de objecten op te schonen die het systeem moest inrichten in Microsoft Entra ID. Als het systeem het object in het verleden niet heeft ingericht in Microsoft Entra ID, maar het Microsoft Entra-object verkrijgt tijdens een importstap, wordt er correct van uitgegaan dat dit object door een ander systeem is gemaakt in Microsoft Entra ID. Microsoft Entra Verbinding maken schoont deze typen Microsoft Entra-objecten niet op, zelfs niet wanneer het metaverse-kenmerk cloudFiltered is ingesteld op Waar.

Bij filteren in binnenkomende richting gebruikt u de kracht van het bereik om te bepalen welke objecten al dan niet moeten worden gesynchroniseerd. Hier kunt u aanpassingen aanbrengen volgens de vereisten van uw organisatie. De bereikmodule beschikt over de elementen group (groep) en clause (component) om te bepalen wanneer een synchronisatieregel binnen het bereik valt. Een groep bevat een of meer componenten. Er is een logische 'AND' tussen meerdere componenten en een logische 'OF' tussen meerdere groepen.

Laten we eens naar een voorbeeld kijken:

Dit moet worden gelezen als (department = IT) OR (department = Sales AND c = VS).

In de volgende voorbeelden en stappen gebruikt u het gebruikersobject als voorbeeld, maar u kunt dit voor alle objecttypen gebruiken.

In de volgende voorbeelden begint de prioriteitswaarde met 50. Dit kan elk getal zijn dat niet wordt gebruikt, maar het moet lager zijn dan 100.

Negatief filteren: 'deze niet synchroniseren'

In het volgende voorbeeld filtert u alle gebruikers uit (niet synchroniseren) waarbij extensionAttribute15 de waarde NoSync heeft.

1. Meld u aan bij de server waarop Microsoft Entra Verbinding maken Sync wordt uitgevoerd met behulp van een account dat lid is van de BEVEILIGINGSgroep ADSync Beheer s.
2. Start in het startmenu de editor voor synchronisatieregels.
3. Zorg ervoor dat Binnenkomend is geselecteerd en klik op Nieuwe regel toevoegen.
4. Geef de regel een beschrijvende naam, zoals In vanuit AD - Gebruiker DoNotSyncFilter. Selecteer de juiste forest, selecteer Gebruiker als CS-objecttype en selecteer Persoon als MV-objecttype. Selecteer in Koppelingstype de optie Join. Typ bij Prioriteit een waarde die momenteel niet door een andere synchronisatieregel wordt gebruikt (bijvoorbeeld 50) en klik op Volgende.
   
5. Klik in Bereikfilter op Groep toevoegen en klik op Component toevoegen. Selecteer in KenmerkExtensionAttribute15. Zorg ervoor dat Operator is ingesteld op EQUAL en typ in het vak Waarde de waarde NoSync. Klik op Volgende.
   
6. Laat Join-regels leeg en klik op Volgende.
7. Klik op Transformatie toevoegen, selecteer FlowType als Constant en selecteer cloudFiltered als Doelkenmerk. Type in het tekstvak BronTrue. Klik op Toevoegen om de regel op te slaan.
   
8. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder de sectie Wijzigingen toepassen en controleren.

Positief filteren: 'alleen deze synchroniseren'

Het opstellen van positieve filters kan lastiger zijn, omdat u ook objecten in overweging moet nemen waarvoor synchronisatie niet logisch lijkt, zoals vergaderruimten. U overschrijft ook het standaardfilter in de vooraf gedefinieerde regel In vanuit AD - Gebruikers-join. Wanneer u uw aangepaste filter maakt, moet u ervoor zorgen dat u geen kritieke systeemobjecten, replicatieconflicten, speciale postvakken en de serviceaccounts voor Microsoft Entra Verbinding maken opneemt.

Voor de optie voor positief filteren zijn twee synchronisatieregels vereist. U hebt één regel (of meerdere) met het juiste bereik van de te synchroniseren objecten. U hebt ook een tweede catch-all-synchronisatieregel nodig, waarmee alle objecten worden gefilterd die nog niet zijn geïdentificeerd als een object dat moet worden gesynchroniseerd.

In het volgende voorbeeld synchroniseert u alleen gebruikersobjecten waarvan het kenmerk department de waarde Sales heeft.

1. Meld u aan bij de server waarop Microsoft Entra Verbinding maken Sync wordt uitgevoerd met behulp van een account dat lid is van de BEVEILIGINGSgroep ADSync Beheer s.
2. Start in het startmenu de editor voor synchronisatieregels.
3. Zorg ervoor dat Binnenkomend is geselecteerd en klik op Nieuwe regel toevoegen.
4. Geef de regel een beschrijvende naam, zoals In vanuit AD - Synchronisatie verkoop gebruiker. Selecteer de juiste forest, selecteer Gebruiker als CS-objecttype en selecteer Persoon als MV-objecttype. Selecteer in Koppelingstype de optie Join. Typ bij Prioriteit een waarde die momenteel niet door een andere synchronisatieregel wordt gebruikt (bijvoorbeeld 51) en klik op Volgende.
   
5. Klik in Bereikfilter op Groep toevoegen en klik op Component toevoegen. Selecteer in Kenmerk de optie department. Zorg ervoor dat Operator is ingesteld op EQUAL en typ in het vak Waarde de waarde Sales. Klik op Volgende.
   
6. Laat Join-regels leeg en klik op Volgende.
7. Klik op Transformatie toevoegen, selecteer Constant als FlowType en selecteer cloudFiltered als Doelkenmerk. Typ in het vak BronFalse. Klik op Toevoegen om de regel op te slaan.
   
   Dit is een speciaal geval waarbij u cloudFiltered expliciet instelt op False.
8. Nu moet de catch-all-synchronisatieregel worden gemaakt. Geef de regel een beschrijvende naam, zoals In vanuit AD - Catch-all-filter Gebruiker. Selecteer de juiste forest, selecteer Gebruiker als CS-objecttype en selecteer Persoon als MV-objecttype. Selecteer in Koppelingstype de optie Join. Typ bij Prioriteit een waarde die momenteel niet door een andere synchronisatieregel wordt gebruikt (bijvoorbeeld 99). U hebt een prioriteitswaarde geselecteerd die hoger (lagere prioriteit) is dan de vorige synchronisatieregel. Maar u hebt ook wat ruimte overgelaten, zodat u later meer filtersynchronisatieregels kunt toevoegen wanneer u extra afdelingen wilt synchroniseren. Klik op Volgende.
   
9. Laat Bereikfilter leeg en klik op Volgende. Een leeg filter geeft aan dat de regel moet worden toegepast op alle objecten.
10. Laat Join-regels leeg en klik op Volgende.
11. Klik op Transformatie toevoegen, selecteer Constant als FlowType en selecteer cloudFiltered als Doelkenmerk. Typ in het vak BronTrue. Klik op Toevoegen om de regel op te slaan.
    
12. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder de sectie Wijzigingen toepassen en controleren.

Indien nodig kunt u meer regels maken van het eerste type, waarin u meer objecten in de synchronisatie opneemt.

Filteren in uitgaande richting

In sommige gevallen is het nodig om de filters alleen uit te voeren nadat de objecten in de metaverse zijn samengevoegd. Het kan bijvoorbeeld nodig zijn om het e-mailkenmerk uit de resourceforest en het kenmerk userPrincipalName uit de accountforest te bekijken om te bepalen of een object moet worden gesynchroniseerd. In deze gevallen maakt u de filters op de uitgaande regel.

In dit voorbeeld wijzigt u de filters, zodat alleen gebruikers waarvan het e-mailadres en userPrincipalName eindigen op @contoso.com, worden gesynchroniseerd:

1. Meld u aan bij de server waarop Microsoft Entra Verbinding maken Sync wordt uitgevoerd met behulp van een account dat lid is van de BEVEILIGINGSgroep ADSync Beheer s.
2. Start in het startmenu de editor voor synchronisatieregels.
3. Klik onder Type regels op Uitgaand.
4. Afhankelijk van de versie van Verbinding maken die u gebruikt, zoekt u de regel met de naam Naar Microsoft Entra-id – User Join or Out to Microsoft Entra ID - User Join SOAInAD en klikt u op Bewerken.
5. Geef het antwoord Ja in het pop-upvenster om een kopie van de regel te maken.
6. Wijzig op de pagina BeschrijvingPrioriteit in een ongebruikte waarde, bijvoorbeeld 50.
7. Klik in de linkernavigatiebalk op Bereikfilter en klik vervolgens op Component Toevoegen. Selecteer in Kenmerk de optie E-mail. Selecteer in Operator de optie ENDSWITH. Typ in Waarde@contoso.com en klik op Component Toevoegen. Selecteer in Kenmerk de optie userPrincipalName. Selecteer in Operator de optie ENDSWITH. Typ in Waarde@contoso.com.
8. Klik op Opslaan.
9. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder de sectie Wijzigingen toepassen en controleren.

Wijzigingen toepassen en controleren

Nadat u de configuratiewijzigingen hebt aangebracht, moet u deze toepassen op de objecten die al in het systeem aanwezig zijn. Het kan ook zijn dat de objecten die zich momenteel niet in de synchronisatie-engine bevinden, moeten worden verwerkt (en dat de synchronisatie-engine het bronsysteem opnieuw moet lezen om de inhoud ervan te controleren).

Als u de configuratie hebt gewijzigd met behulp van de filters domein of organisatie-eenheid, moet u een volledige import uitvoeren, gevolgd door delta-synchronisatie.

Als u de configuratie hebt gewijzigd met behulp van het filter kenmerk, moet u een volledige synchronisatie uitvoeren.

Voer de volgende stappen uit:

1. Start vanuit het startmenuSynchronisatieservice.
2. Selecteer Connectors. Selecteer in de lijst Connectors de connector waarin u eerder een configuratiewijziging hebt aangebracht. Selecteer in Acties de optie Uitvoeren.
   
3. Selecteer in Uitvoeringsprofielen de bewerking die in de vorige sectie is vermeld. Als u twee acties wilt uitvoeren, voert u de tweede uit nadat de eerste bewerking is voltooid. (De kolom Status is Niet actief voor de geselecteerde connector.)

Na de synchronisatie worden alle wijzigingen gefaseerd geëxporteerd. Voordat u de wijzigingen in Microsoft Entra ID daadwerkelijk aanbrengt, wilt u controleren of al deze wijzigingen juist zijn.

1. Start een opdrachtprompt en ga naar %ProgramFiles%\Microsoft Azure AD Sync\bin.
2. Voer csexport "Name of Connector" %temp%\export.xml /f:x uit.
   De naam van de connector bevindt zich in de synchronisatieservice. Het heeft een naam die lijkt op 'contoso.com – Microsoft Entra ID' voor Microsoft Entra ID.
3. Voer CSExportAnalyzer %temp%\export.xml > %temp%\export.csv uit.
4. U hebt nu een bestand in %temp% met de naam export.csv dat in Microsoft Excel kan worden onderzocht. Dit bestand bevat alle wijzigingen die binnenkort worden geëxporteerd.
5. Breng de benodigde wijzigingen aan in de gegevens of configuratie en voer deze stappen opnieuw uit (importeren, synchroniseren en verifiëren) totdat de wijzigingen die binnenkort worden geëxporteerd, naar wens zijn.

Wanneer u tevreden bent, exporteert u de wijzigingen naar de Microsoft Entra-id.

1. Selecteer Connectors. Selecteer in de lijst Verbinding maken ors de Microsoft Entra Verbinding maken or. Selecteer in Acties de optie Uitvoeren.
2. Selecteer in Uitvoeringsprofielen de optie Exporteren.
3. Als door de configuratiewijzigingen veel objecten zijn verwijderd, ziet u een fout in de export wanneer het aantal hoger is dan de geconfigureerde drempelwaarde (standaard 500). Als u deze fout ziet, moet u de functie Onbedoelde verwijderingen voorkomen tijdelijk uitschakelen.

Nu is het tijd om de scheduler opnieuw in te schakelen.

1. Start Task Scheduler vanuit het startmenu.
2. Zoek direct onder Task Scheduler-bibliotheek naar taak Azure AD Sync Scheduler, klik met de rechtermuisknop en selecteer Inschakelen.

Filteren op basis van groepen

U kunt filteren op basis van groepen configureren wanneer u Microsoft Entra voor de eerste keer installeert Verbinding maken met behulp van aangepaste installatie. Het is bedoeld voor een testimplementatie waarbij u slechts een kleine set objecten wilt synchroniseren. Wanneer u filteren op basis van groepen uitschakelt, kan het niet opnieuw worden ingeschakeld. Het wordt niet ondersteund voor het gebruik van op groepen gebaseerd filteren in een aangepaste configuratie. Het wordt alleen ondersteund om deze functie te configureren met behulp van de installatiewizard. Wanneer u de testfase hebt voltooid, gebruikt u een van de andere filteropties in dit onderwerp. Als u filteren op basis van een organisatie-eenheid gebruikt in combinatie met filteren op basis van groepen, moet de organisatie-eenheid worden opgenomen waarin de groep en de groepsleden zich bevinden,.

Wanneer u meerdere AD-forests synchroniseert, kunt u filteren op basis van groepen configureren door voor elke AD-connector een andere groep op te geven. Als u een gebruiker in een AD-forest wilt synchroniseren en dezelfde gebruiker een of meer bijbehorende objecten in andere AD-forests heeft, moet u ervoor zorgen dat het gebruikersobject en alle bijbehorende objecten zich binnen het bereik van het filter op basis van groepen bevinden. Voorbeelden:

• U hebt een gebruiker in het ene forest met een bijbehorend FSP-object (Foreign Security Principal) in een ander forest. Beide objecten moeten zich binnen het bereik van het filter op basis van groepen bevinden. Anders wordt de gebruiker niet gesynchroniseerd met Microsoft Entra-id.

• U hebt een gebruiker in een forest met een corresponderend resourceaccount (bijvoorbeeld gekoppeld postvak) in een andere forest. Verder hebt u Microsoft Entra Verbinding maken geconfigureerd om de gebruiker te koppelen aan het resourceaccount. Beide objecten moeten zich binnen het bereik van het filter op basis van groepen bevinden. Anders wordt de gebruiker niet gesynchroniseerd met Microsoft Entra-id.

• U hebt een gebruiker in een forest met een bijbehorend e-mailcontact in een andere forest. Verder hebt u Microsoft Entra Verbinding maken geconfigureerd om de gebruiker te koppelen aan de e-mailcontactpersoon. Beide objecten moeten zich binnen het bereik van het filter op basis van groepen bevinden. Anders wordt de gebruiker niet gesynchroniseerd met Microsoft Entra-id.

Volgende stappen

• Meer informatie over de configuratie van Microsoft Entra Verbinding maken Sync.
• Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.