Azure AD Connect-synchronisatie: filtering configurerenAzure AD Connect sync: Configure filtering

Met behulp van filteren kunt u bepalen welke objecten in Azure Active Directory (Azure AD) uit uw on-premises map worden weer gegeven.By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. Bij de standaard configuratie worden alle objecten in alle domeinen in de geconfigureerde forests gebruikt.The default configuration takes all objects in all domains in the configured forests. In het algemeen is dit de aanbevolen configuratie.In general, this is the recommended configuration. Gebruikers die Microsoft 365 werk belastingen, zoals Exchange Online en Skype voor bedrijven, profiteren van een volledige algemene adres lijst zodat ze een e-mail kunnen verzenden en iedereen kan bellen.Users using Microsoft 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. Met de standaard configuratie zouden ze dezelfde ervaring hebben als bij een on-premises implementatie van Exchange of Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

In sommige gevallen moet u echter enkele wijzigingen aanbrengen in de standaard configuratie.In some cases however, you're required make some changes to the default configuration. Hier volgen enkele voorbeelden:Here are some examples:

  • U wilt de multi-Azure AD-adreslijst topologiegebruiken.You plan to use the multi-Azure AD directory topology. Vervolgens moet u een filter Toep assen om te bepalen welke objecten worden gesynchroniseerd met een bepaalde Azure AD-adres lijst.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • U voert een pilot uit voor Azure of Microsoft 365 en u wilt alleen een subset van gebruikers in azure AD.You run a pilot for Azure or Microsoft 365 and you only want a subset of users in Azure AD. In de kleine pilot is het niet belang rijk dat u beschikt over een volledige algemene adres lijst om de functionaliteit te demonstreren.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • U hebt veel service accounts en andere niet-persoonlijke accounts die u niet wilt in azure AD.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • Om redenen van naleving verwijdert u geen gebruikers accounts on-premises.For compliance reasons, you don't delete any user accounts on-premises. U schakelt ze alleen uit.You only disable them. In azure AD wilt u echter alleen actieve accounts weer geven.But in Azure AD, you only want active accounts to be present.

In dit artikel wordt beschreven hoe u de verschillende filter methoden kunt configureren.This article covers how to configure the different filtering methods.

Belangrijk

Microsoft biedt geen ondersteuning voor het wijzigen of uitvoeren van Azure AD Connect-synchronisatie anders dan op de manier die officieel is gedocumenteerd.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Een van deze acties kan leiden tot een inconsistente of niet-ondersteunde status van Azure AD Connect synchronisatie. Als gevolg hiervan kan micro soft geen technische ondersteuning bieden voor dergelijke implementaties.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Basis beginselen en belang rijke opmerkingenBasics and important notes

In Azure AD Connect synchronisatie kunt u op elk gewenst moment filteren inschakelen.In Azure AD Connect sync, you can enable filtering at any time. Als u begint met een standaard configuratie van Directory synchronisatie en vervolgens filteren configureert, worden de gefilterde objecten niet meer gesynchroniseerd met Azure AD.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. Als gevolg van deze wijziging, worden alle objecten in azure AD die eerder zijn gesynchroniseerd, maar vervolgens gefilterd, verwijderd in azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Voordat u begint met het maken van wijzigingen in filters, moet u ervoor zorgen dat u de geplande taak uitschakelt , zodat u niet per ongeluk de wijzigingen exporteert die u nog niet hebt gecontroleerd.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Omdat met filteren veel objecten tegelijk kan worden verwijderd, moet u ervoor zorgen dat de nieuwe filters juist zijn voordat u wijzigingen in azure AD gaat exporteren.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. Nadat u de configuratie stappen hebt voltooid, raden we u ten zeerste aan de verificaties tappen te volgen voordat u Azure AD exporteert en wijzigt.After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Om te voor komen dat u per ongeluk veel objecten verwijdert, is de functie 'onopzettelijke verwijderingen voor komen' standaard ingeschakeld.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. Als u veel objecten als gevolg van filtering (standaard 500) wilt verwijderen, moet u de stappen in dit artikel volgen om de verwijderingen door te laten gaan naar Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Als u een build vóór november 2015 (1.0.9125) gebruikt, een wijziging aanbrengt in een filter configuratie en wachtwoord-hash-synchronisatie gebruikt, moet u een volledige synchronisatie van alle wacht woorden activeren nadat u de configuratie hebt voltooid.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Zie een volledige synchronisatie van alle wacht woorden activerenvoor de stappen voor het activeren van een volledige synchronisatie met een wacht woord.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Als u werkt met build 1.0.9125 of hoger, wordt in de normale volledige synchronisatie ook berekend of wacht woorden moeten worden gesynchroniseerd en als deze extra stap niet meer nodig is.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Als gebruikers objecten per ongeluk in azure AD zijn verwijderd vanwege een filter fout, kunt u de gebruikers objecten in azure AD opnieuw maken door uw filter configuraties te verwijderen.If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. Vervolgens kunt u uw directory's opnieuw synchroniseren.Then you can synchronize your directories again. Met deze actie worden de gebruikers teruggezet vanuit de Prullenbak in azure AD.This action restores the users from the recycle bin in Azure AD. U kunt echter geen andere object typen verwijderen.However, you can't undelete other object types. Als u bijvoorbeeld per ongeluk een beveiligings groep verwijdert en deze hebt gebruikt om een resource te ACL, kunnen de groep en de bijbehorende Acl's niet worden hersteld.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

Met Azure AD Connect worden alleen objecten verwijderd die in het bereik zijn opgenomen.Azure AD Connect only deletes objects that it has once considered to be in scope. Als er objecten in azure AD zijn die zijn gemaakt door een andere synchronisatie-engine en deze objecten zich niet in het bereik bevinden, worden ze niet verwijderd door filters toe te voegen.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Bijvoorbeeld, als u begint met een DirSync-server die een volledige kopie van uw hele directory in azure AD heeft gemaakt en u een nieuwe Azure AD Connect-synchronisatie Server Parallel installeert met filtering ingeschakeld, Azure AD Connect worden de extra objecten die zijn gemaakt door DirSync niet verwijderd.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

De filter configuratie blijft behouden wanneer u een nieuwere versie van Azure AD Connect installeert of bijwerkt.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. Het is altijd een best practice om te controleren of de configuratie niet per ongeluk is gewijzigd na een upgrade naar een nieuwere versie voordat u de eerste synchronisatie cyclus uitvoert.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

Als u meer dan één forest hebt, moet u de filter configuraties die in dit onderwerp worden beschreven, Toep assen op elk forest (ervan uitgaande dat u dezelfde configuratie voor al hen wilt).If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

De geplande taak uitschakelenDisable the scheduled task

Voer de volgende stappen uit om de ingebouwde scheduler die elke 30 minuten een synchronisatie cyclus activeert, uit te scha kelen:To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Ga naar een Power shell-prompt.Go to a PowerShell prompt.
  2. Voer uit Set-ADSyncScheduler -SyncCycleEnabled $False om de scheduler uit te scha kelen.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Breng de wijzigingen aan die in dit artikel worden beschreven.Make the changes that are documented in this article.
  4. Voer uit Set-ADSyncScheduler -SyncCycleEnabled $True om de Scheduler opnieuw in te scha kelen.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

Als u een Azure AD Connect-build gebruikt vóór 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Voer de volgende stappen uit om de geplande taak uit te scha kelen die elke drie uur een synchronisatie cyclus activeert:To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. Taak planner starten vanuit het menu Start .Start Task Scheduler from the Start menu.
  2. Zoek direct onder de taak planner-bibliotheek de taak met de naam Azure AD Sync scheduler, klik met de rechter muisknop en selecteer uitschakelen.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    Taak plannerTask Scheduler
  3. U kunt nu configuratie wijzigingen aanbrengen en de synchronisatie-engine hand matig uitvoeren vanuit de Synchronization Service Manager -console.You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

Wanneer u alle filter wijzigingen hebt voltooid, vergeet dan niet om terug te gaan en de taak opnieuw in te scha kelen .After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Filter optiesFiltering options

U kunt de volgende filter configuratie typen Toep assen op het hulp programma Directory-synchronisatie:You can apply the following filtering configuration types to the directory synchronization tool:

  • Op groep gebaseerd: filteren op basis van één groep kan alleen worden geconfigureerd tijdens de eerste installatie met behulp van de installatie wizard.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • Op domein gebaseerd: met deze optie kunt u selecteren welke domeinen moeten worden gesynchroniseerd met Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. U kunt ook domeinen toevoegen aan en verwijderen uit de configuratie van de synchronisatie-engine wanneer u wijzigingen aanbrengt in uw on-premises infra structuur nadat u Azure AD Connect synchronisatie hebt geïnstalleerd.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • Organisatie-eenheid (OE) – gebaseerd: met deze optie kunt u selecteren welke organisatie-eenheden worden gesynchroniseerd met Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Deze optie is voor alle object typen in geselecteerde organisatie-eenheden.This option is for all object types in selected OUs.
  • Op basis van kenmerken: met deze optie kunt u objecten filteren op basis van kenmerk waarden voor de objecten.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. U kunt ook verschillende filters hebben voor verschillende object typen.You can also have different filters for different object types.

U kunt op hetzelfde moment meerdere filter opties gebruiken.You can use multiple filtering options at the same time. U kunt bijvoorbeeld filteren op basis van een organisatie-eenheid gebruiken om alleen objecten in één OE op te laten voegen.For example, you can use OU-based filtering to only include objects in one OU. Op hetzelfde moment kunt u op kenmerken gebaseerde filtering gebruiken om de objecten verder te filteren.At the same time, you can use attribute-based filtering to filter the objects further. Wanneer u meerdere filter methoden gebruikt, gebruiken de filters een logische ' en ' tussen de filters.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Filteren op basis van een domeinDomain-based filtering

In deze sectie vindt u de stappen voor het configureren van uw domein filter.This section provides you with the steps to configure your domain filter. Als u domeinen in uw forest hebt toegevoegd of verwijderd nadat u Azure AD Connect hebt geïnstalleerd, moet u ook de filter configuratie bijwerken.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

De aanbevolen manier om op domein gebaseerde filtering te wijzigen, is door de installatie wizard uit te voeren en het filteren van domeinen en OE tewijzigen.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. De installatie wizard automatiseert alle taken die in dit onderwerp worden beschreven.The installation wizard automates all the tasks that are documented in this topic.

Volg deze stappen alleen als u de installatie wizard om een of andere reden niet kunt uitvoeren.You should only follow these steps if you're unable to run the installation wizard for some reason.

Op domein gebaseerde filter configuratie bestaat uit de volgende stappen:Domain-based filtering configuration consists of these steps:

  1. Selecteer de domeinen die u wilt toevoegen aan de synchronisatie.Select the domains that you want to include in the synchronization.
  2. Voor elk toegevoegd en verwijderd domein past u de uitvoerings profielen aan.For each added and removed domain, adjust the run profiles.
  3. Wijzigingen Toep assen en controleren.Apply and verify changes.

De domeinen selecteren die moeten worden gesynchroniseerdSelect the domains to be synchronized

Er zijn twee manieren om de domeinen te selecteren die moeten worden gesynchroniseerd:There are two ways to select the domains to be synchronized: - De synchronisatie service gebruikenUsing the Synchronization Service - Met de wizard Azure AD Connect.Using the Azure AD Connect wizard.

De domeinen selecteren die moeten worden gesynchroniseerd met de synchronisatie serviceSelect the domains to be synchronized using the Synchronization Service

Voer de volgende stappen uit om het domein filter in te stellen:To set the domain filter, do the following steps:

  1. Meld u aan bij de server waarop Azure AD Connect synchronisatie wordt uitgevoerd met behulp van een account dat lid is van de beveiligings groep ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Start de synchronisatie service vanuit het menu Start .Start Synchronization Service from the Start menu.
  3. Selecteer connectors en selecteer in de lijst connectors de Connector met het type Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. In acties, selecteert u Eigenschappen.In Actions, select Properties.
    Connector eigenschappenConnector properties
  4. Klik op mappartities configureren.Click Configure Directory Partitions.
  5. Selecteer in de lijst Directory partities selecteren de optie en selecteer de selectie van de domeinen als dat nodig is.In the Select directory partitions list, select and unselect domains as needed. Controleer of alleen de partities die u wilt synchroniseren zijn geselecteerd.Verify that only the partitions that you want to synchronize are selected.
    Scherm opname van de Directory partities in het venster Eigenschappen.Screenshot that shows the directory partitions in the "Properties" window.
    Als u uw on-premises Active Directory-infra structuur hebt gewijzigd en domeinen uit het forest hebt toegevoegd of verwijderd, klikt u op de knop vernieuwen om een bijgewerkte lijst op te halen.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Wanneer u vernieuwt, wordt u gevraagd om referenties.When you refresh, you're asked for credentials. Geef alle referenties met lees toegang tot Windows Server Active Directory op.Provide any credentials with read access to Windows Server Active Directory. Het hoeft niet de gebruiker te zijn die vooraf ingevuld is in het dialoog venster.It doesn't have to be the user that is prepopulated in the dialog box.
    Vernieuwen is vereistRefresh needed
  6. Wanneer u klaar bent, sluit u het dialoog venster Eigenschappen door op OK te klikken.When you're done, close the Properties dialog by clicking OK. Als u domeinen uit het forest hebt verwijderd, ziet u een bericht pop-up met de melding dat een domein is verwijderd en dat de configuratie wordt opgeruimd.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Ga verder met het aanpassen van de uitvoerings profielen.Continue to adjust the run profiles.

De domeinen selecteren die moeten worden gesynchroniseerd met de wizard Azure AD ConnectSelect the domains to be synchronized using the Azure AD Connect wizard

Voer de volgende stappen uit om het domein filter in te stellen:To set the domain filter, do the following steps:

  1. De wizard Azure AD Connect startenStart the Azure AD Connect wizard
  2. Klik op ConfigurerenClick Configure.
  3. Selecteer synchronisatie opties aanpassen en klik op volgende.Select Customize Synchronization Options and click Next.
  4. Voer uw Azure AD-referenties inEnter your Azure AD credentials
  5. Klik in het scherm verbonden directory's op volgende.On the Connected Directories screen click Next.
  6. Klik op de pagina domein en OE filteren op vernieuwen.On the Domain and OU filtering page click Refresh. Nieuwe domeinen worden nu weer gegeven, en verwijderde domeinen verdwijnen.New domains will now appear and deleted domains will disappear. PartitiesPartitions

De uitvoerings profielen bijwerkenUpdate the run profiles

Als u uw domein filter hebt bijgewerkt, moet u ook de uitvoerings profielen bijwerken.If you've updated your domain filter, you also need to update the run profiles.

  1. Controleer in de lijst Connect oren of de connector die u in de vorige stap hebt gewijzigd, is geselecteerd.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. Selecteer in acties Run-profielen configureren.In Actions, select Configure Run Profiles.
    Profielen voor connector uitvoering 1Connector run profiles 1
  2. De volgende profielen zoeken en identificeren:Find and identify the following profiles:
    • Volledig importbewerkingFull Import
    • Volledige synchronisatieFull Synchronization
    • Delta-ImportDelta Import
    • DeltasynchronisatieDelta Synchronization
    • ExporterenExport
  3. Voor elk profiel past u de toegevoegde en Verwijderde domeinen aan.For each profile, adjust the added and removed domains.
    1. Voor elk van de vijf profielen voert u de volgende stappen uit voor elk domein toegevoegd :For each of the five profiles, do the following steps for each added domain:
      1. Selecteer het uitvoerings profiel en klik op nieuwe stap.Select the run profile and click New Step.
      2. Selecteer op de pagina stap configureren in de vervolg keuzelijst type het stap type met de naam van het profiel dat u wilt configureren.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Klik op Volgende.Then click Next.
        Profielen voor connector uitvoering 2Connector run profiles 2
      3. Selecteer op de pagina connector configuratie in de vervolg keuzelijst partitie de naam van het domein dat u aan uw domein filter hebt toegevoegd.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Profielen voor connector-uitvoering 3Connector run profiles 3
      4. Klik op volt ooien om het dialoog venster uitvoerings profiel configureren te sluiten.To close the Configure Run Profile dialog, click Finish.
    2. Voor elk van de vijf profielen voert u de volgende stappen uit voor elk verwijderd domein:For each of the five profiles, do the following steps for each removed domain:
      1. Selecteer het uitvoerings profiel.Select the run profile.
      2. Als de waarde van het partitie kenmerk een GUID is, selecteert u de stap uitvoeren en klikt u op stap verwijderen.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Connector profielen uitvoeren 4Connector run profiles 4
    3. Controleer de wijziging.Verify your change. Elk domein dat u wilt synchroniseren, moet worden vermeld als een stap in elk uitvoerings profiel.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Klik op OK om het dialoog venster uitvoerings profielen configureren te sluiten.To close the Configure Run Profiles dialog, click OK.
  5. Als u de configuratie wilt volt ooien, moet u een volledige import en een Delta synchronisatie uitvoeren. Ga verder met het lezen van de sectie Apply en controleer de wijzigingen.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Filteren op basis van een organisatie-eenheidOrganizational unit–based filtering

De voorkeurs manier om filteren op basis van een organisatie-eenheid te wijzigen, is door de installatie wizard uit te voeren en het filteren van domeinen en OE tewijzigen.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. De installatie wizard automatiseert alle taken die in dit onderwerp worden beschreven.The installation wizard automates all the tasks that are documented in this topic.

Volg deze stappen alleen als u de installatie wizard om een of andere reden niet kunt uitvoeren.You should only follow these steps if you're unable to run the installation wizard for some reason.

Voer de volgende stappen uit om filtering op basis van een organisatie-eenheid te configureren:To configure organizational unit–based filtering, do the following steps:

  1. Meld u aan bij de server waarop Azure AD Connect synchronisatie wordt uitgevoerd met behulp van een account dat lid is van de beveiligings groep ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Start de synchronisatie service vanuit het menu Start .Start Synchronization Service from the Start menu.
  3. Selecteer connectors en selecteer in de lijst connectors de Connector met het type Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. In acties, selecteert u Eigenschappen.In Actions, select Properties.
    Connector eigenschappenConnector properties
  4. Klik op mappartities configureren, selecteer het domein dat u wilt configureren en klik vervolgens op containers.Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Wanneer u hierom wordt gevraagd, geeft u de referenties met lees toegang tot uw on-premises Active Directory op.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Het hoeft niet de gebruiker te zijn die vooraf ingevuld is in het dialoog venster.It doesn't have to be the user that is prepopulated in the dialog box.
  6. Wis in het dialoog venster containers selecteren de organisatie-eenheden die u niet wilt synchroniseren met de Cloud Directory en klik vervolgens op OK.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Organisatie-eenheden in het dialoog venster containers selecterenOUs in the Select Containers dialog box
    • De container computers moet worden geselecteerd om uw Windows 10-computers te synchroniseren met Azure AD.The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Als de computers die lid zijn van het domein zich in andere organisatie-eenheden bevinden, moet u ervoor zorgen dat deze zijn geselecteerd.If your domain-joined computers are located in other OUs, make sure those are selected.
    • De container ForeignSecurityPrincipals moet zijn geselecteerd als er meerdere forests met vertrouwensrelaties zijn.The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Dankzij deze container kan het lidmaatschap van de beveiligingsgroep van verschillende forests worden omgezet.This container allows cross-forest security group membership to be resolved.
    • Als u de functie voor het terugschrijven van apparaten hebt ingeschakeld, moet u de RegisteredDevices -OE selecteren.The RegisteredDevices OU should be selected if you enabled the device writeback feature. Als u een andere terugschrijf functie gebruikt, zoals de groep terugschrijven, moet u ervoor zorgen dat deze locaties zijn geselecteerd.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Selecteer een andere organisatie-eenheid waar gebruikers, iNetOrgPersons, groepen, contact personen en computers zich bevinden.Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. In de afbeelding bevinden al deze organisatie-eenheden zich in de ManagedObjects-OE.In the picture, all these OUs are located in the ManagedObjects OU.
    • Als u filtering op basis van groepen gebruikt, moet de organisatie-eenheid waar de groep zich bevindt, worden opgenomen.If you use group-based filtering, then the OU where the group is located must be included.
    • Houd er rekening mee dat u kunt configureren of nieuwe organisatie-eenheden die worden toegevoegd nadat de filter configuratie is voltooid, worden gesynchroniseerd of niet zijn gesynchroniseerd.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. Zie de volgende sectie voor details.See the next section for details.
  7. Wanneer u klaar bent, sluit u het dialoog venster Eigenschappen door op OK te klikken.When you're done, close the Properties dialog by clicking OK.
  8. Als u de configuratie wilt volt ooien, moet u een volledige import en een Delta synchronisatie uitvoeren. Ga verder met het lezen van de sectie Apply en controleer de wijzigingen.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Nieuwe organisatie-eenheden synchroniserenSynchronize new OUs

Nieuwe Ou's die zijn gemaakt nadat het filter is geconfigureerd, worden standaard gesynchroniseerd.New OUs that are created after filtering has been configured are synchronized by default. Deze status wordt aangegeven door een ingeschakeld selectie vakje.This state is indicated by a selected check box. U kunt de selectie van sommige onderliggende organisatie-eenheden ook opheffen.You can also unselect some sub-OUs. Als u dit gedrag wilt weer geven, klikt u op het vak totdat het wit wordt met een blauw vinkje (de standaard status).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Vervolgens schakelt u de selectie van de onderliggende organisatie-eenheden die u niet wilt synchroniseren.Then unselect any sub-OUs that you don't want to synchronize.

Als alle onderliggende organisatie-eenheden zijn gesynchroniseerd, is het vak wit met een blauw vinkje.If all sub-OUs are synchronized, then the box is white with a blue check mark.
OE met alle selectie vakjes

Als sommige suborganisatie-eenheden niet zijn geselecteerd, is het vak grijs met een wit vinkje.If some sub-OUs have been unselected, then the box is gray with a white check mark.
OE met een of meer suborganisatie-eenheden niet geselecteerd

Met deze configuratie wordt een nieuwe organisatie-eenheid die is gemaakt onder ManagedObjects gesynchroniseerd.With this configuration, a new OU that was created under ManagedObjects is synchronized.

Deze configuratie wordt altijd door de installatie wizard van Azure AD Connect gemaakt.The Azure AD Connect installation wizard always creates this configuration.

Nieuwe organisatie-eenheden niet synchroniserenDon't synchronize new OUs

U kunt de synchronisatie-engine zo configureren dat nieuwe organisatie-eenheden niet worden gesynchroniseerd nadat de filter configuratie is voltooid.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. Deze status wordt aangegeven in de gebruikers interface, omdat het vak effen grijs wordt weer gegeven zonder vinkje.This state is indicated in the UI by the box appearing solid gray with no check mark. Als u dit gedrag wilt weer geven, klikt u op het vak totdat het wit wordt zonder vinkje.To get this behavior, click the box until it becomes white with no check mark. Selecteer vervolgens de onderliggende organisatie-eenheden die u wilt synchroniseren.Then select the sub-OUs that you want to synchronize.

OE met de hoofdmap niet geselecteerd

Met deze configuratie is een nieuwe organisatie-eenheid die is gemaakt onder ManagedObjects niet gesynchroniseerd.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Filteren op basis van kenmerkenAttribute-based filtering

Zorg ervoor dat u de1.0.9125(november 2015) of hoger gebruikt voor het werken met deze stappen.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Belangrijk

U wordt aangeraden de standaard regels die door Azure AD Connect zijn gemaakt, niet te wijzigen.Microsoft recommends to not modify the default rules created by Azure AD Connect. Als u de regel wilt wijzigen, moet u deze klonen en de oorspronkelijke regel uitschakelen.If you want to modify the rule, then clone it, and disable the original rule. Breng de gewenste wijzigingen aan in de gekloonde regel.Make any changes to the cloned rule. Als u dit doet (door de oorspronkelijke regel uit te scha kelen), zult u eventuele oplossingen voor fouten of functies die via die regel zijn ingeschakeld, missen.Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

Op kenmerken gebaseerde filtering is de meest flexibele manier om objecten te filteren.Attribute-based filtering is the most flexible way to filter objects. U kunt de kracht van declaratieve inrichting gebruiken om bijna elk aspect te beheren wanneer een object wordt gesynchroniseerd met Azure AD.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

U kunt Inkomend filteren van Active Directory Toep assen op de tekst en uitgaande filters van het omgekeerde naar Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. U wordt aangeraden inkomende filtering toe te passen, omdat dat de eenvoudigste is om te onderhouden.We recommend that you apply inbound filtering because that is the easiest to maintain. Gebruik alleen uitgaande filtering als het nodig is om objecten van meer dan één forest samen te voegen voordat de evaluatie kan worden uitgevoerd.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Inkomende filteringInbound filtering

Bij inkomend filteren wordt de standaard configuratie gebruikt, waarbij objecten naar Azure AD moeten beschikken over het cloudFiltered-kenmerk niet zijn ingesteld op een waarde die moet worden gesynchroniseerd.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Als de waarde van dit kenmerk is ingesteld op True, is het object niet gesynchroniseerd.If this attribute's value is set to True, then the object isn't synchronized. Het mag niet worden ingesteld op Onwaar.It shouldn't be set to False, by design. Om ervoor te zorgen dat andere regels een waarde kunnen bijdragen, mag dit kenmerk alleen de waarden True of Null (afwezig) hebben.To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

Bij inkomend filteren gebruikt u de kracht van bereik om te bepalen welke objecten moeten worden gesynchroniseerd of niet moeten worden gesynchroniseerd.In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. Hier maakt u aanpassingen aan de vereisten van uw eigen organisatie.This is where you make adjustments to fit your own organization's requirements. De scope module heeft een groep en een component om te bepalen wanneer een synchronisatie regel binnen het bereik valt.The scope module has a group and a clause to determine when a sync rule is in scope. Een groep bevat een of meer componenten.A group contains one or many clauses. Er bevindt zich een logische ' AND ' tussen meerdere componenten en een logische ' OR ' of ' tussen meerdere groepen.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Laten we een voor beeld bekijken:Let us look at an example:
Een scherm opname met een voor beeld van het toevoegen van bereik filters.A screenshot showing an example of adding scoping filters.
Dit moet worden gelezen als (afdeling = IT) of (afdeling = verkoop en c = US).This should be read as (department = IT) OR (department = Sales AND c = US).

In de volgende voor beelden en stappen gebruikt u het gebruikers object als voor beeld, maar u kunt dit voor alle object typen gebruiken.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

In de volgende voor beelden begint de prioriteits waarde met 50.In the following samples, the precedence value starts with 50. Dit kan een wille keurig getal zijn dat niet wordt gebruikt, maar moet lager zijn dan 100.This can be any number not used, but should be lower than 100.

Negatief filteren: "deze niet synchroniseren"Negative filtering: "do not sync these"

In het volgende voor beeld filtert u (niet synchroniseren) alle gebruikers waarbij extensionAttribute15 de waarde NoSync heeft.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Meld u aan bij de server waarop Azure AD Connect synchronisatie wordt uitgevoerd met behulp van een account dat lid is van de beveiligings groep ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Start de Editor voor synchronisatie regels vanuit het menu Start .Start Synchronization Rules Editor from the Start menu.
  3. Zorg ervoor dat Inkomend is geselecteerd en klik op nieuwe regel toevoegen.Make sure Inbound is selected, and click Add New Rule.
  4. Geef een beschrijvende naam op voor de regel, zoals 'in AD-User DoNotSyncFilter'.Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Selecteer het juiste forest, selecteer gebruiker als het object type CS en selecteer persoon als het object type MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Selecteer in type koppeling de optie samen voegen.In Link Type, select Join. Typ in het veld voor rang een waarde die momenteel niet wordt gebruikt door een andere synchronisatie regel (bijvoorbeeld 50) en klik vervolgens op volgende.In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Beschrijving inkomende 1Inbound 1 description
  5. Klik in het filter bereik op groep toevoegen en klik op component toevoegen.In Scoping filter, click Add Group, and click Add Clause. Selecteer Attribute in het kenmerk ExtensionAttribute15.In Attribute, select ExtensionAttribute15. Zorg ervoor dat de operator is ingesteld op gelijk en typ de waarde NoSync in het vak waarde .Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Klik op Volgende.Click Next.
    Inkomend 2 bereikInbound 2 scope
  6. Laat de regels voor samen voegen leeg en klik op volgende.Leave the Join rules empty, and then click Next.
  7. Klik op trans formatie toevoegen, selecteer de FlowType als constante en selecteer cloudFiltered als doel kenmerk.Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. Typ in het tekstvak bron de waarde waar.In the Source text box, type True. Klik op toevoegen om de regel op te slaan.Click Add to save the rule.
    Inkomende 3-trans formatieInbound 3 transformation
  8. Als u de configuratie wilt volt ooien, moet u een volledige synchronisatie uitvoeren. Ga verder met het lezen van de sectie Apply en controleer de wijzigingen.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Positieve filtering: alleen deze synchroniserenPositive filtering: "only sync these"

Het uitdrukken van positieve filtering kan lastiger zijn omdat u ook objecten moet overwegen die niet duidelijk zijn om te worden gesynchroniseerd, zoals Vergader zalen.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. U gaat ook het standaard filter in de out-of-Box-regel negeren in van de AD-User-koppeling.You are also going to override the default filter in the out-of-box rule In from AD - User Join. Wanneer u een aangepast filter maakt, moet u ervoor zorgen dat u geen essentiële systeem objecten, replicatie conflict objecten, speciale post vakken en de service accounts voor Azure AD Connect opneemt.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

Voor de optie voor positieve filtering zijn twee synchronisatie regels vereist.The positive filtering option requires two sync rules. U hebt één regel (of meerdere) nodig met het juiste bereik van objecten om te synchroniseren.You need one rule (or several) with the correct scope of objects to synchronize. U hebt ook een tweede catch-all Sync-regel nodig waarmee alle objecten worden gefilterd die nog niet zijn geïdentificeerd als een object dat moet worden gesynchroniseerd.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

In het volgende voor beeld synchroniseert u alleen gebruikers objecten waarbij het kenmerk afdeling de waarde Sales heeft.In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Meld u aan bij de server waarop Azure AD Connect synchronisatie wordt uitgevoerd met behulp van een account dat lid is van de beveiligings groep ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Start de Editor voor synchronisatie regels vanuit het menu Start .Start Synchronization Rules Editor from the Start menu.
  3. Zorg ervoor dat Inkomend is geselecteerd en klik op nieuwe regel toevoegen.Make sure Inbound is selected, and click Add New Rule.
  4. Geef een beschrijvende naam op voor de regel, zoals 'in van AD-gebruikers verkoop synchroniseren'.Give the rule a descriptive name, such as "In from AD – User Sales sync". Selecteer het juiste forest, selecteer gebruiker als het object type CS en selecteer persoon als het object type MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Selecteer in type koppeling de optie samen voegen.In Link Type, select Join. Typ in het veld voor rang een waarde die momenteel niet wordt gebruikt door een andere synchronisatie regel (bijvoorbeeld 51) en klik vervolgens op volgende.In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Beschrijving van binnenkomend 4Inbound 4 description
  5. Klik in het filter bereik op groep toevoegen en klik op component toevoegen.In Scoping filter, click Add Group, and click Add Clause. Selecteer in kenmerk afdeling.In Attribute, select department. Zorg ervoor dat operator is ingesteld op gelijk en typ de waarde Sales in het vak waarde .Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Klik op Volgende.Click Next.
    Inkomend 5 bereikInbound 5 scope
  6. Laat de regels voor samen voegen leeg en klik op volgende.Leave the Join rules empty, and then click Next.
  7. Klik op trans formatie toevoegen, selecteer constante als de FlowType en selecteer de cloudFiltered als doel kenmerk.Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. Typ Onwaar in het vak bron .In the Source box, type False. Klik op toevoegen om de regel op te slaan.Click Add to save the rule.
    Binnenkomende 6-trans formatieInbound 6 transformation
    Dit is een speciaal geval waarin u cloudFiltered expliciet instelt op False.This is a special case where you explicitly set cloudFiltered to False.
  8. We moeten nu de regel voor het synchroniseren van de catch-out maken.We now have to create the catch-all sync rule. Geef een beschrijvende naam op voor de regel, zoals 'in van AD: gebruiker catch all filter'.Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Selecteer het juiste forest, selecteer gebruiker als het object type CS en selecteer persoon als het object type MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Selecteer in type koppeling de optie samen voegen.In Link Type, select Join. Typ in het veld voor rang een waarde die momenteel niet wordt gebruikt door een andere synchronisatie regel (bijvoorbeeld 99).In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). U hebt een prioriteits waarde geselecteerd die hoger is (lagere prioriteit) dan de vorige synchronisatie regel.You've selected a precedence value that is higher (lower precedence) than the previous sync rule. Maar u hebt ook enige ruimte gelaten, zodat u later meer filter synchronisatie regels kunt toevoegen wanneer u wilt beginnen met het synchroniseren van aanvullende afdelingen.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Klik op Volgende.Click Next.
    Beschrijving binnenkomende 7Inbound 7 description
  9. Laat het bereik filter leeg en klik op volgende.Leave Scoping filter empty, and click Next. Een leeg filter geeft aan dat de regel op alle objecten moet worden toegepast.An empty filter indicates that the rule is to be applied to all objects.
  10. Laat de regels voor samen voegen leeg en klik op volgende.Leave the Join rules empty, and then click Next.
  11. Klik op trans formatie toevoegen, selecteer constante als de FlowType en selecteer cloudFiltered als doel kenmerk.Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. Typ in het vak bron de waarde waar.In the Source box, type True. Klik op toevoegen om de regel op te slaan.Click Add to save the rule.
    Inkomende 3-trans formatieInbound 3 transformation
  12. Als u de configuratie wilt volt ooien, moet u een volledige synchronisatie uitvoeren. Ga verder met het lezen van de sectie Apply en controleer de wijzigingen.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Als dat het geval is, kunt u meer regels van het eerste type maken waarbij u meer objecten in de synchronisatie opneemt.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Uitgaande filtersOutbound filtering

In sommige gevallen is het alleen nodig om de filtering uit te voeren nadat de objecten zijn toegevoegd aan de tekst.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Het kan bijvoorbeeld nodig zijn om te kijken naar het kenmerk mail van het bron-forest en het kenmerk userPrincipalName van het account-forest om te bepalen of een object moet worden gesynchroniseerd.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. In deze gevallen maakt u het filter op de uitgaande regel.In these cases, you create the filtering on the outbound rule.

In dit voor beeld wijzigt u de filtering zodat alleen gebruikers met hun e-mail en userPrincipalName eindigend @contoso.com worden gesynchroniseerd:In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Meld u aan bij de server waarop Azure AD Connect synchronisatie wordt uitgevoerd met behulp van een account dat lid is van de beveiligings groep ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Start de Editor voor synchronisatie regels vanuit het menu Start .Start Synchronization Rules Editor from the Start menu.
  3. Klik onder regel type op uitgaand.Under Rules Type, click Outbound.
  4. Afhankelijk van de versie van de verbinding die u gebruikt, vindt u de regel met de naam naar Azure AD: de gebruiker wordt toegevoegd aan of verwijderd uit Azure AD-gebruiker toevoegen SOAInAD en klikt u op bewerken.Depending on the version of Connect you use, either find the rule named Out to Azure AD – User Join or Out to Azure AD - User Join SOAInAD, and click Edit.
  5. Beantwoord in het pop-upvenster Ja om een kopie van de regel te maken.In the pop-up, answer Yes to create a copy of the rule.
  6. Op de pagina Beschrijving wijzigt u de prioriteit in een ongebruikte waarde, zoals 50.On the Description page, change Precedence to an unused value, such as 50.
  7. Klik op het filter bereik op de navigatie balk aan de linkerkant en klik vervolgens op component toevoegen.Click Scoping filter on the left-hand navigation, and then click Add clause. Selecteer Attribute in het kenmerk mail.In Attribute, select mail. Selecteer in operator ENDSWITH.In Operator, select ENDSWITH. Typ @ contoso.com in het veld waarde en klik vervolgens op component toevoegen.In Value, type @contoso.com, and then click Add clause. Selecteer Attribute in het kenmerk userPrincipalName.In Attribute, select userPrincipalName. Selecteer in operator ENDSWITH.In Operator, select ENDSWITH. Typ @ contoso.com in het veld waarde.In Value, type @contoso.com.
  8. Klik op Opslaan.Click Save.
  9. Als u de configuratie wilt volt ooien, moet u een volledige synchronisatie uitvoeren. Ga verder met het lezen van de sectie Apply en controleer de wijzigingen.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Wijzigingen Toep assen en controlerenApply and verify changes

Nadat u de configuratie wijzigingen hebt aangebracht, moet u deze Toep assen op de objecten die al in het systeem aanwezig zijn.After you've made your configuration changes, you must apply them to the objects that are already present in the system. Het kan ook zijn dat de objecten die zich momenteel niet in de synchronisatie-engine bevinden, moeten worden verwerkt (en de synchronisatie-engine moet het bron systeem opnieuw lezen om de inhoud ervan te controleren).It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Als u de configuratie hebt gewijzigd door gebruik te maken van domein -of organisatie-eenheid filtering, moet u een volledige import bewerking uitvoeren, gevolgd door Delta synchronisatie.If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

Als u de configuratie hebt gewijzigd met kenmerk filtering, moet u een volledige synchronisatie uitvoeren.If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Voer de volgende stappen uit:Do the following steps:

  1. Start de synchronisatie service vanuit het menu Start .Start Synchronization Service from the Start menu.
  2. Selecteer connectors.Select Connectors. Selecteer in de lijst connectors de connector waar u eerder een configuratie wijziging hebt aangebracht.In the Connectors list, select the Connector where you made a configuration change earlier. In acties, selecteer uitvoeren.In Actions, select Run.
    Uitvoering van connectorConnector run
  3. Selecteer in profielen uitvoeren de bewerking die is vermeld in de vorige sectie.In Run profiles, select the operation that was mentioned in the previous section. Als u twee acties wilt uitvoeren, voert u de tweede actie uit nadat de eerste is voltooid.If you need to run two actions, run the second after the first one has finished. (De status kolom is niet actief voor de geselecteerde connector.)(The State column is Idle for the selected connector.)

Na de synchronisatie worden alle wijzigingen klaargezet om te worden geëxporteerd.After the synchronization, all changes are staged to be exported. Voordat u de wijzigingen in azure AD daad werkelijk aanbrengt, moet u controleren of al deze wijzigingen juist zijn.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Start een opdracht prompt en ga naar %ProgramFiles%\Microsoft Azure AD Sync\bin .Start a command prompt, and go to %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Voer csexport "Name of Connector" %temp%\export.xml /f:x uit.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    De naam van de connector bevindt zich in de synchronisatie service.The name of the Connector is in Synchronization Service. Het heeft een naam die vergelijkbaar is met ' contoso.com-azure AD ' voor Azure AD.It has a name similar to "contoso.com – Azure AD" for Azure AD.
  3. Voer CSExportAnalyzer %temp%\export.xml > %temp%\export.csv uit.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. U hebt nu een bestand in% Temp% met de naam export.csv dat in micro soft Excel kan worden onderzocht.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Dit bestand bevat alle wijzigingen die moeten worden geëxporteerd.This file contains all the changes that are about to be exported.
  5. Breng de benodigde wijzigingen aan in de gegevens of configuratie en voer deze stappen opnieuw uit (importeren, synchroniseren en verifiëren) totdat de wijzigingen die worden geëxporteerd, zijn wat u verwacht.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

Als u tevreden bent, exporteert u de wijzigingen naar Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Selecteer connectors.Select Connectors. Selecteer in de lijst Connect oren de Azure AD-connector.In the Connectors list, select the Azure AD Connector. In acties, selecteer uitvoeren.In Actions, select Run.
  2. Selecteer in Run Profiles de optie export.In Run profiles, select Export.
  3. Als uw configuratie wijzigingen veel objecten verwijderen, ziet u een fout in de export wanneer het aantal groter is dan de geconfigureerde drempel waarde (standaard 500).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). Als u deze fout ziet, moet u de functie 'onopzettelijke verwijderingen voor komen' tijdelijk uitschakelen.If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

Nu is het tijd om de Scheduler opnieuw in te scha kelen.Now it's time to enable the scheduler again.

  1. Taak planner starten vanuit het menu Start .Start Task Scheduler from the Start menu.
  2. Zoek direct onder de taak planner-bibliotheek de taak met de naam Azure AD Sync scheduler, klik met de rechter muisknop en selecteer inschakelen.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Filteren op basis van een groepGroup-based filtering

U kunt filteren op basis van een groep configureren de eerste keer dat u Azure AD Connect installeert met behulp van aangepaste installatie.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Het is bedoeld voor een pilot implementatie waarbij u slechts een klein aantal objecten wilt synchroniseren.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. Wanneer u filteren op basis van groepen uitschakelt, kan het niet meer worden ingeschakeld.When you disable group-based filtering, it can't be enabled again. Het wordt niet ondersteund voor het gebruik van filteren op basis van groepen in een aangepaste configuratie.It's not supported to use group-based filtering in a custom configuration. Het wordt alleen ondersteund voor het configureren van deze functie met behulp van de installatie wizard.It's only supported to configure this feature by using the installation wizard. Wanneer u de pilot hebt voltooid, gebruikt u een van de andere filter opties in dit onderwerp.When you've completed your pilot, then use one of the other filtering options in this topic. Wanneer u filtering op basis van een organisatie-eenheid gebruikt in combi natie met filteren op basis van een groep, moeten de OE (s) waar de groep en de leden ervan zich bevinden, worden opgenomen.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

Bij het synchroniseren van meerdere AD-forests kunt u filteren op basis van een groep configureren door voor elke AD-connector een andere groep op te geven.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Als u een gebruiker wilt synchroniseren in één AD-forest en dezelfde gebruiker een of meer overeenkomende objecten in andere AD-forests heeft, moet u ervoor zorgen dat het gebruikers object en alle bijbehorende objecten zich in groeps filter bereik bevinden.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Voorbeelden:For examples:

  • U hebt een gebruiker in een forest met een bijbehorend FSP-object (Foreign Security Principal) in een ander forest.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. Beide objecten moeten zich in een groeps filter bereik bevinden.Both objects must be within group-based filtering scope. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • U hebt een gebruiker in een forest met een bijbehorend resource account (bijvoorbeeld een gekoppeld postvak) in een ander forest.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. Verder hebt u Azure AD Connect geconfigureerd om de gebruiker te koppelen aan het resource-account.Further, you have configured Azure AD Connect to link the user with the resource account. Beide objecten moeten zich in een groeps filter bereik bevinden.Both objects must be within group-based filtering scope. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • U hebt een gebruiker in het ene forest met een bijbehorend e-mail adres in een ander forest.You have a user in one forest that has a corresponding mail contact in another forest. Verder hebt u Azure AD Connect geconfigureerd om de gebruiker te koppelen aan de contact persoon van de e-mail.Further, you have configured Azure AD Connect to link the user with the mail contact. Beide objecten moeten zich in een groeps filter bereik bevinden.Both objects must be within group-based filtering scope. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.Otherwise, the user will not be synchronized to Azure AD.

Volgende stappenNext steps