Azure AD Connect-synchronisatie: filtering configureren

Met behulp van filteren kunt u bepalen welke objecten worden weergegeven in Azure Active Directory (Azure AD) vanuit uw on-premises directory. De standaardconfiguratie neemt alle objecten in alle domeinen in de geconfigureerde forests. In het algemeen is dit de aanbevolen configuratie. Gebruikers die Microsoft 365 werkbelastingen gebruiken, zoals Exchange Online en Skype voor Bedrijven, profiteren van een volledige algemene adreslijst, zodat ze e-mail kunnen verzenden en iedereen kunnen bellen. Met de standaardconfiguratie hebben ze dezelfde ervaring als bij een on-premises implementatie van Exchange of Lync.

In sommige gevallen moet u echter enkele wijzigingen aanbrengen in de standaardconfiguratie. Hier volgen enkele voorbeelden:

• U bent van plan om de multi-Azure AD-adreslijsttopologie te gebruiken. Vervolgens moet u een filter toepassen om te bepalen welke objecten worden gesynchroniseerd met een bepaalde Azure AD-directory.
• U kunt een pilot uitvoeren voor Azure of Microsoft 365 en u wilt alleen een subset van gebruikers in Azure AD. In de kleine pilot is het niet belangrijk om een volledige algemene adreslijst te hebben om de functionaliteit te demonstreren.
• U hebt veel serviceaccounts en andere niet-persoonlijke accounts die u niet wilt gebruiken in Azure AD.
• Uit nalevingsoverwegingen verwijdert u geen on-premises gebruikersaccounts. U schakelt ze alleen uit. Maar in Azure AD wilt u dat alleen actieve accounts aanwezig zijn.

In dit artikel wordt beschreven hoe u de verschillende filtermethoden configureert.

Basisbeginselen en belangrijke opmerkingen

In Azure AD Verbinding maken synchroniseren kunt u filteren op elk moment inschakelen. Als u begint met een standaardconfiguratie van adreslijstsynchronisatie en vervolgens filtering configureert, worden de uitgefilterde objecten niet meer gesynchroniseerd met Azure AD. Als gevolg van deze wijziging worden objecten in Azure AD die eerder zijn gesynchroniseerd maar vervolgens zijn gefilterd, verwijderd in Azure AD.

Voordat u begint met het aanbrengen van wijzigingen in filteren, moet u de geplande taak uitschakelen, zodat u niet per ongeluk wijzigingen exporteert die u nog niet juist hebt geverifieerd.

Omdat filteren veel objecten tegelijkertijd kan verwijderen, moet u ervoor zorgen dat uw nieuwe filters juist zijn voordat u begint met het exporteren van wijzigingen naar Azure AD. Nadat u de configuratiestappen hebt voltooid, raden we u ten zeerste aan de verificatiestappen te volgen voordat u exporteert en wijzigingen aan Azure AD aan te brengen.

Om u te beschermen tegen het per ongeluk verwijderen van veel objecten, is de functie'onopzettelijk verwijderenvoorkomen' standaard ingeschakeld. Als u veel objecten verwijdert vanwege filteren (standaard 500), moet u de stappen in dit artikel volgen om de verwijderopties door te laten gaan naar Azure AD.

Als u een build gebruikt vóór november 2015(1.0.9125),een filterconfiguratie wijzigt en wachtwoordhashsynchronisatie gebruikt, moet u een volledige synchronisatie van alle wachtwoorden activeren nadat u de configuratie hebt voltooid. Zie Een volledige synchronisatie van alle wachtwoorden activeren voor stappen voor het activeren van een volledige wachtwoordsynchronisatie. Als u met build 1.0.9125 of hoger werkt, wordt met de normale volledige synchronisatieactie ook berekend of wachtwoorden moeten worden gesynchroniseerd en of deze extra stap niet meer nodig is.

Als gebruikersobjecten per ongeluk zijn verwijderd in Azure AD vanwege een filterfout, kunt u de gebruikersobjecten opnieuw maken in Azure AD door uw filterconfiguraties te verwijderen. Vervolgens kunt u uw directories opnieuw synchroniseren. Met deze actie worden de gebruikers vanuit de prullenbak in Azure AD hersteld. U kunt andere objecttypen echter niet verwijderen. Als u bijvoorbeeld per ongeluk een beveiligingsgroep verwijdert en deze is gebruikt voor een ACL voor een resource, kunnen de groep en de ACL's ervan niet worden hersteld.

Azure AD Verbinding maken verwijdert alleen objecten die eenmaal als binnen het bereik zijn beschouwd. Als er objecten in Azure AD zijn die zijn gemaakt door een andere synchronisatie-engine en deze objecten niet binnen het bereik vallen, worden deze niet verwijderd door filters toe te voegen. Als u bijvoorbeeld begint met een DirSync-server die een volledige kopie van uw volledige directory in Azure AD heeft gemaakt en u een nieuwe Azure AD Verbinding maken-synchronisatieserver parallel installeert met filteren vanaf het begin ingeschakeld, verwijdert Azure AD Verbinding maken de extra objecten die door DirSync zijn gemaakt niet.

De filterconfiguratie blijft behouden wanneer u een nieuwere versie van Azure AD-Verbinding maken. Het is altijd een best practice te controleren of de configuratie niet per ongeluk is gewijzigd na een upgrade naar een nieuwere versie voordat de eerste synchronisatiecyclus wordt uitgevoerd.

Als u meer dan één forest hebt, moet u de filterconfiguraties die in dit onderwerp worden beschreven, toepassen op elk forest (ervan uitgaande dat u dezelfde configuratie voor alle forests wilt).

De geplande taak uitschakelen

Volg deze stappen om de ingebouwde scheduler uit te schakelen die elke 30 minuten een synchronisatiecyclus activeert:

1. Ga naar een PowerShell-prompt.
2. Voer uit Set-ADSyncScheduler -SyncCycleEnabled $False om de scheduler uit te schakelen.
3. Maak de wijzigingen die in dit artikel worden beschreven.
4. Voer Set-ADSyncScheduler -SyncCycleEnabled $True uit om de scheduler opnieuw in te stellen.

Als u een Azure AD-Verbinding maken build vóór 1.1.105.0
Volg deze stappen om de geplande taak uit te schakelen die elke drie uur een synchronisatiecyclus activeert:

1. Start Task Scheduler vanuit het menu Start.
2. Zoek direct Task Scheduler bibliotheek de taak met de naam Azure AD Sync Scheduler, klik met de rechtermuisknop en selecteer Uitschakelen.
   
3. U kunt nu configuratiewijzigingen aanbrengen en de synchronisatie-engine handmatig uitvoeren vanuit Synchronization Service Manager console.

Nadat u alle filterwijzigingen hebt voltooid, vergeet dan niet om terug te komen en de taak opnieuw in te stellen.

Filteropties

U kunt de volgende filterconfiguratietypen toepassen op het hulpprogramma voor adreslijstsynchronisatie:

• Op basis van groepen:Filteren op basis van één groep kan alleen worden geconfigureerd bij de eerste installatie met behulp van de installatiewizard.
• Op domein gebaseerd:met deze optie kunt u selecteren welke domeinen worden gesynchroniseerd met Azure AD. U kunt ook domeinen toevoegen aan en verwijderen uit de configuratie van de synchronisatie-engine wanneer u wijzigingen aan uw on-premises infrastructuur aanwijst nadat u Azure AD hebt geïnstalleerd Verbinding maken synchronisatie.
• Organisatie-eenheid (OE) op basisvan : met deze optie kunt u selecteren welke OE's worden gesynchroniseerd met Azure AD. Deze optie is voor alle objecttypen in geselecteerde OE's.
• Op basis van kenmerken:met deze optie kunt u objecten filteren op basis van kenmerkwaarden op de objecten. U kunt ook verschillende filters voor verschillende objecttypen hebben.

U kunt meerdere filteropties tegelijk gebruiken. U kunt bijvoorbeeld filteren op basis van een OE gebruiken om alleen objecten in één OE op te nemen. Tegelijkertijd kunt u filteren op basis van kenmerken gebruiken om de objecten verder te filteren. Wanneer u meerdere filtermethoden gebruikt, gebruiken de filters een logische 'AND' tussen de filters.

Filteren op basis van een domein

In deze sectie vindt u de stappen voor het configureren van uw domeinfilter. Als u domeinen in uw forest hebt toegevoegd of verwijderd nadat u Azure AD Verbinding maken, moet u ook de filterconfiguratie bijwerken.

De voorkeursmethode voor het wijzigen van domeinfilters is door de installatiewizard uit te laten en domein- en OE-filtering te wijzigen. De installatiewizard automatiseert alle taken die in dit onderwerp worden beschreven.

Volg deze stappen alleen als u de installatiewizard om een of andere reden niet kunt uitvoeren.

Filterconfiguratie op basis van een domein bestaat uit de volgende stappen:

1. Selecteer de domeinen die u wilt opnemen in de synchronisatie.
2. Pas voor elk toegevoegd en verwijderd domein de run-profielen aan.
3. Pas wijzigingen toe en verifieer deze.

Selecteer de domeinen die moeten worden gesynchroniseerd

Er zijn twee manieren om de domeinen te selecteren die moeten worden gesynchroniseerd: - De synchronisatieservice gebruiken - De wizard Azure AD Verbinding maken gebruiken.

Selecteer de domeinen die moeten worden gesynchroniseerd met behulp van de synchronisatieservice

Ga als volgt te werk om het domeinfilter in te stellen:

1. Meld u aan bij de server met Azure AD Verbinding maken te synchroniseren met behulp van een account dat lid is van de ADSyncAdmins-beveiligingsgroep.
2. Start Synchronization Service vanuit het menu Start.
3. Selecteer Connectors en selecteer in de lijst Connectors de Connector met het type Active Directory Domain Services. Selecteer eigenschappen in Acties.
   
4. Klik op Directorypartities configureren.
5. In de lijst Mappartities selecteren selecteert en deselecteert u de selectie van domeinen naar behoefte. Controleer of alleen de partities die u wilt synchroniseren zijn geselecteerd.
   
   Als u uw infrastructuur voor on-premises Active Directory hebt gewijzigd en domeinen hebt toegevoegd aan of verwijderd uit het forest, klikt u op de knop Vernieuwen om een bijgewerkte lijst op te halen. Wanneer u vernieuwt, wordt u gevraagd om referenties. Geef alle referenties op met leestoegang tot Windows Server Active Directory. Dit hoeft niet de gebruiker te zijn die vooraf is ingevuld in het dialoogvenster.
   
6. Wanneer u klaar bent, sluit u het dialoogvenster Eigenschappen door op OK te klikken. Als u domeinen uit het forest hebt verwijderd, wordt in een pop-upbericht weergegeven dat een domein is verwijderd en dat de configuratie wordt opgeschoond.
7. Ga door met het aanpassen van de run-profielen.

Selecteer de domeinen die moeten worden gesynchroniseerd met de wizard Azure AD Verbinding maken gebruiken

Ga als volgt te werk om het domeinfilter in te stellen:

1. De wizard Azure AD Verbinding maken starten
2. Klik op Configureren
3. Selecteer Synchronisatieopties aanpassen en klik op Volgende.
4. Voer uw Azure AD-referenties in
5. Klik in het scherm Verbonden directories op Volgende.
6. Klik op de pagina Domein- en OE-filters op Vernieuwen. Nieuwe domeinen worden nu weergegeven en verwijderde domeinen verdwijnen.

De run-profielen bijwerken

Als u uw domeinfilter hebt bijgewerkt, moet u ook de run-profielen bijwerken.

1. Zorg ervoor dat in de lijst Connectors de connector is geselecteerd die u in de vorige stap hebt gewijzigd. Selecteer in Acties de optie Run profiles configureren.
   
2. Zoek en identificeer de volgende profielen:
   • Volledig importbewerking
   • Volledige synchronisatie
   • Delta-Import
   • Deltasynchronisatie
   • Exporteren
3. Pas voor elk profiel de toegevoegde en verwijderde domeinen aan.
   1. Voor elk van de vijf profielen moet u de volgende stappen voor elk toegevoegd domein volgen:
      1. Selecteer het run-profiel en klik op Nieuwe stap.
      2. Selecteer op de pagina Stap configureren in de vervolgkeuzelijst Type het staptype met dezelfde naam als het profiel dat u configureert. Klik op Volgende.
         
      3. Selecteer op de pagina Connectorconfiguratie in de vervolgkeuzelijst Partitie de naam van het domein dat u aan uw domeinfilter hebt toegevoegd.
         
      4. Klik op Voltooien om het dialoogvenster Run profile configureren te sluiten.
   2. Voor elk van de vijf profielen moet u de volgende stappen voor elk verwijderd domein volgen:
      1. Selecteer het runprofiel.
      2. Als de waarde van het kenmerk Partitie een GUID is, selecteert u de stap uitvoeren en klikt u op Stap verwijderen.
         
   3. Controleer uw wijziging. Elk domein dat u wilt synchroniseren, moet worden vermeld als een stap in elk runprofiel.
4. Klik op OK om het dialoogvenster Run profiles configureren te sluiten.
5. Als u de configuratie wilt voltooien, moet u een volledige import en een Delta-synchronisatie uitvoeren. Lees verder in de sectie Wijzigingen toepassen en controleren.

Filteren op basis van organisatie-eenheden

De voorkeursmethode voor het wijzigen van filteren op basis van een OE is door de installatiewizard uit te laten en domein- en OE-filtering te wijzigen. De installatiewizard automatiseert alle taken die in dit onderwerp worden beschreven.

Volg deze stappen alleen als u de installatiewizard om de een of andere reden niet kunt uitvoeren.

Ga als volgt te werk om filteren op basis van organisatie-eenheden te configureren:

1. Meld u aan bij de server met Azure AD Verbinding maken te synchroniseren met behulp van een account dat lid is van de ADSyncAdmins-beveiligingsgroep.
2. Start Synchronization Service vanuit het menu Start.
3. Selecteer Connectors en selecteer in de lijst Connectors de connector met het type Active Directory Domain Services. Selecteer eigenschappen in Acties.
   
4. Klik op Mappartities configureren, selecteer het domein dat u wilt configureren en klik vervolgens op Containers.
5. Wanneer u hier om wordt gevraagd, geeft u referenties op met leestoegang tot uw on-premises Active Directory. Dit hoeft niet de gebruiker te zijn die vooraf in het dialoogvenster is ingevuld.
6. Schakel in het dialoogvenster Containers selecteren de OE's uit die u niet wilt synchroniseren met de cloudmap en klik vervolgens op OK.
   
   • De computers container moet worden geselecteerd voor uw Windows 10 computers worden gesynchroniseerd met Azure AD. Als uw computers die lid zijn van een domein zich in andere OE's bevinden, zorg er dan voor dat deze zijn geselecteerd.
   • De container ForeignSecurityPrincipals moet zijn geselecteerd als er meerdere forests met vertrouwensrelaties zijn. Dankzij deze container kan het lidmaatschap van de beveiligingsgroep van verschillende forests worden omgezet.
   • De OE RegisteredDevices moet worden geselecteerd als u de functie voor het terugschrijven van apparaten hebt ingeschakeld. Als u een andere functie voor terugschrijven gebruikt, zoals terugschrijven van groepen, moet u ervoor zorgen dat deze locaties zijn geselecteerd.
   • Selecteer een andere organisatie-eenheid waar gebruikers, iNetOrgPersons, groepen, contactpersonen en computers zich bevinden. In de afbeelding bevinden al deze OE's zich in de OE ManagedObjects.
   • Als u filteren op basis van groepen gebruikt, moet de OE waarin de groep zich bevindt, worden opgenomen.
   • U kunt configureren of nieuwe OE's die worden toegevoegd nadat de filterconfiguratie is bereikt, worden gesynchroniseerd of niet. Zie de volgende sectie voor details.
7. Wanneer u klaar bent, sluit u het dialoogvenster Eigenschappen door op OK te klikken.
8. Als u de configuratie wilt voltooien, moet u een volledige import en een Delta-synchronisatie uitvoeren. Lees verder in de sectie Wijzigingen toepassen en controleren.

Nieuwe OE's synchroniseren

Nieuwe OE's die worden gemaakt nadat filteren is geconfigureerd, worden standaard gesynchroniseerd. Deze status wordt aangegeven door een geselecteerd selectievakje. U kunt ook de selectie van een aantal sub-OE's ongedaan maken. Als u dit gedrag wilt zien, klikt u op het vak totdat het wit wordt met een blauw vinkje (de standaardinstelling). Schakel vervolgens de selectie van sub-OE's uit die u niet wilt synchroniseren.

Als alle sub-OE's zijn gesynchroniseerd, is het vak wit met een blauw vinkje.

Als sommige sub-OE's zijn uitgeschakeld, is het vak grijs met een wit vinkje.

Met deze configuratie wordt een nieuwe OE gesynchroniseerd die is gemaakt onder ManagedObjects.

De installatiewizard Verbinding maken Azure AD maakt deze configuratie altijd.

Nieuwe OE's niet synchroniseren

U kunt de synchronisatie-engine zodanig configureren dat nieuwe OE's niet meer worden gesynchroniseerd nadat de filterconfiguratie is voltooid. Deze status wordt in de gebruikersinterface aangegeven door het vak dat grijs wordt weergegeven zonder vinkje. Als u dit gedrag wilt zien, klikt u op het vak totdat het wit wordt zonder vinkje. Selecteer vervolgens de sub-OE's die u wilt synchroniseren.

Met deze configuratie wordt een nieuwe OE die is gemaakt onder ManagedObjects, niet gesynchroniseerd.

Filteren op basis van kenmerken

Zorg ervoor dat u de build november 2015(1.0.9125)of hoger gebruikt om deze stappen te laten werken.

Filteren op basis van kenmerken is de meest flexibele manier om objecten te filteren. U kunt de kracht van declaratieve inrichting gebruiken om vrijwel elk aspect te bepalen van wanneer een object wordt gesynchroniseerd met Azure AD.

U kunt binnenkomende filtering van Active Directory toepassen op de metaverse en uitgaande filtering van de metaverse naar Azure AD. U wordt aangeraden inkomende filters toe te passen, omdat dit het gemakkelijkst is om te onderhouden. U moet uitgaand filteren alleen gebruiken als het vereist is om objecten uit meer dan één forest samen te nemen voordat de evaluatie kan worden uitgevoerd.

Inkomende filtering

Voor binnenkomende filtering wordt de standaardconfiguratie gebruikt, waarbij objecten die naar Azure AD gaan, het metaversekenmerk cloudFiltered niet moeten hebben ingesteld op een waarde die moet worden gesynchroniseerd. Als de waarde van dit kenmerk is ingesteld op Waar, wordt het object niet gesynchroniseerd. Deze mag niet worden ingesteld op Onwaar. Om ervoor te zorgen dat andere regels de mogelijkheid hebben om een waarde bij te dragen, mag dit kenmerk alleen de waarden True of NULL (niet aanwezig) hebben.

Houd er rekening mee dat Azure AD Verbinding maken is ontworpen om de objecten op te schonen die verantwoordelijk waren voor het inrichten in Azure AD. Als het systeem het object in het verleden niet heeft ingericht in Azure AD, maar het Azure AD-object tijdens een importstap wordt opgenomen, wordt er correct van uitgenomen dat dit object door een ander systeem in Azure AD is gemaakt. Azure AD Verbinding maken schoont deze typen Azure AD-objecten niet op, zelfs niet wanneer het metaversekenmerk cloudFiltered is ingesteld op Waar.

Bij binnenkomende filtering gebruikt u de kracht van bereik om te bepalen welke objecten wel of niet moeten worden gesynchroniseerd. Hier kunt u aanpassingen aanbrengen om aan de vereisten van uw eigen organisatie te voldoen. De bereikmodule heeft een groep en een -component om te bepalen wanneer een synchronisatieregel binnen het bereik valt. Een groep bevat een of meer -components. Er is een logische 'AND' tussen meerdere -component en een logische 'OR' tussen meerdere groepen.

Laten we eens kijken naar een voorbeeld:

Dit moet worden gelezen als (afdeling = IT) OF (afdeling = Verkoop EN c = VS).

In de volgende voorbeelden en stappen gebruikt u het gebruikersobject als voorbeeld, maar u kunt dit gebruiken voor alle objecttypen.

In de volgende voorbeelden begint de prioriteitswaarde met 50. Dit kan elk getal zijn dat niet wordt gebruikt, maar moet lager zijn dan 100.

Negatief filteren: 'synchroniseer deze niet'

In het volgende voorbeeld filtert u alle gebruikers uit (niet synchroniseren) waarbij extensionAttribute15 de waarde NoSync heeft.

1. Meld u aan bij de server met Azure AD Verbinding maken te synchroniseren met behulp van een account dat lid is van de adSyncAdmins-beveiligingsgroep.
2. Start synchronization Rules Editor vanuit het menu Start.
3. Zorg ervoor dat Inkomende is geselecteerd en klik op Nieuwe regel toevoegen.
4. Geef de regel een beschrijvende naam, zoals 'In from AD – User DoNotSyncFilter'. Selecteer het juiste forest, selecteer Gebruiker als het CS-objecttype en selecteer Persoon als het MV-objecttype. Selecteer in Koppelingstype de optie Deelnemen. Typ in Prioriteit een waarde die momenteel niet wordt gebruikt door een andere synchronisatieregel (bijvoorbeeld 50) en klik vervolgens op Volgende.
   
5. Klik in bereikfilter op Groep toevoegen en klik op Component toevoegen. Selecteer in Kenmerk de optie ExtensionAttribute15. Zorg ervoor dat Operator is ingesteld op EQUAL en typ de waarde NoSync in het vak Waarde. Klik op Volgende.
   
6. Laat de Join-regels leeg en klik vervolgens op Volgende.
7. Klik op Transformatie toevoegen, selecteer FlowType als Constant en selecteer cloudFiltered als doelkenmerk. Typ Waar in het tekstvak Bron. Klik op Toevoegen om de regel op te slaan.
   
8. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder in de sectie Wijzigingen toepassen en controleren.

Positief filteren: 'alleen deze synchroniseren'

Het uitdrukken van positief filteren kan lastiger zijn omdat u ook objecten moet overwegen die niet duidelijk zijn om te worden gesynchroniseerd, zoals vergaderruimten. U gaat ook het standaardfilter overschrijven in de out-of-box-regel In van AD - Gebruikers lid worden. Wanneer u uw aangepaste filter maakt, moet u geen kritieke systeemobjecten, replicatieconflictobjecten, speciale postvakken en de serviceaccounts voor Azure AD-Verbinding maken.

Voor de optie voor positief filteren zijn twee synchronisatieregels vereist. U hebt één regel (of meerdere) met het juiste bereik van objecten nodig om te synchroniseren. U hebt ook een tweede catch-all-synchronisatieregel nodig die alle objecten filtert die nog niet zijn geïdentificeerd als een object dat moet worden gesynchroniseerd.

In het volgende voorbeeld synchroniseert u alleen gebruikersobjecten waarbij het afdelingskenmerk de waarde Verkoop heeft.

1. Meld u aan bij de server met Azure AD Verbinding maken te synchroniseren met behulp van een account dat lid is van de adSyncAdmins-beveiligingsgroep.
2. Start synchronization Rules Editor vanuit het menu Start.
3. Zorg ervoor dat Inkomende is geselecteerd en klik op Nieuwe regel toevoegen.
4. Geef de regel een beschrijvende naam, zoals 'In from AD – User Sales sync'. Selecteer het juiste forest, selecteer Gebruiker als het CS-objecttype en selecteer Persoon als het MV-objecttype. Selecteer in Koppelingstype de optie Deelnemen. Typ in Prioriteit een waarde die momenteel niet wordt gebruikt door een andere synchronisatieregel (bijvoorbeeld 51) en klik vervolgens op Volgende.
   
5. Klik in bereikfilter op Groep toevoegen en klik op Component toevoegen. Selecteer afdeling in Kenmerk. Zorg ervoor dat Operator is ingesteld op EQUAL en typ de waarde Sales in het vak Value. Klik op Volgende.
   
6. Laat de Join-regels leeg en klik vervolgens op Volgende.
7. Klik op Transformatie toevoegen, selecteer Constant als het FlowType en selecteer cloudFiltered als doelkenmerk. Typ false in het vak Bron. Klik op Toevoegen om de regel op te slaan.
   
   Dit is een speciaal geval waarbij u cloudFiltered expliciet in stelt op False.
8. We moeten nu de synchronisatieregel catch-all maken. Geef de regel een beschrijvende naam, zoals 'In from AD – User Catch-all filter'. Selecteer het juiste forest, selecteer Gebruiker als het CS-objecttype en selecteer Persoon als het MV-objecttype. Selecteer in Koppelingstype de optie Deelnemen. Typ in Prioriteit een waarde die momenteel niet wordt gebruikt door een andere synchronisatieregel (bijvoorbeeld 99). U hebt een prioriteitswaarde geselecteerd die hoger is (lagere prioriteit) dan de vorige synchronisatieregel. Maar u hebt ook wat ruimte gelaten zodat u later meer filtersynchronisatieregels kunt toevoegen wanneer u wilt beginnen met het synchroniseren van extra afdelingen. Klik op Volgende.
   
9. Laat het bereikfilter leeg en klik op Volgende. Een leeg filter geeft aan dat de regel moet worden toegepast op alle objecten.
10. Laat de Join-regels leeg en klik vervolgens op Volgende.
11. Klik op Transformatie toevoegen, selecteer Constant als het FlowType en selecteer cloudFiltered als doelkenmerk. Typ Waar in het vak Bron. Klik op Toevoegen om de regel op te slaan.
    
12. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder in de sectie Wijzigingen toepassen en controleren.

Als dat nodig is, kunt u meer regels van het eerste type maken, waarbij u meer objecten in de synchronisatie optelt.

Uitgaand filteren

In sommige gevallen is het nodig om pas te filteren nadat de objecten zijn samengevoegd in de metaverse. Het kan bijvoorbeeld nodig zijn om te kijken naar het e-mailkenmerk uit het resource-forest en het kenmerk userPrincipalName uit het account-forest om te bepalen of een object moet worden gesynchroniseerd. In dergelijke gevallen maakt u het filteren op de uitgaande regel.

In dit voorbeeld wijzigt u het filteren zodat alleen gebruikers met zowel hun e-mail als userPrincipalName die eindigen op @contoso.com , worden gesynchroniseerd:

1. Meld u aan bij de server met Azure AD Verbinding maken te synchroniseren met behulp van een account dat lid is van de adSyncAdmins-beveiligingsgroep.
2. Start synchronization Rules Editor vanuit het menu Start.
3. Klik onder Type regels op Uitgaand.
4. Afhankelijk van de versie van Verbinding maken u gebruikt, gaat u naar de regel met de naam Out to Azure AD – User Join of Out to Azure AD - User Join SOAInAD en klikt u op Edit.
5. Antwoord in het pop-upexemplaar Ja om een kopie van de regel te maken.
6. Op de pagina Beschrijving wijzigt u Prioriteit in een ongebruikte waarde, zoals 50.
7. Klik in het linkernavigatievenster op Bereikfilter en klik vervolgens op Component toevoegen. Selecteer in Kenmerk de optie e-mail. Selecteer in Operator de optie ENDSWITH. Typ in Waarde contoso.com @ en klik vervolgens op Component toevoegen. Selecteer in Kenmerk de optie userPrincipalName. Selecteer in Operator de optie ENDSWITH. Typ in Waarde @ contoso.com.
8. Klik op Opslaan.
9. Als u de configuratie wilt voltooien, moet u een volledige synchronisatie uitvoeren. Lees verder in de sectie Wijzigingen toepassen en controleren.

Wijzigingen toepassen en controleren

Nadat u de configuratiewijzigingen hebt aangebracht, moet u deze toepassen op de objecten die al aanwezig zijn in het systeem. Het kan ook zijn dat de objecten die zich momenteel niet in de synchronisatie-engine hebben, moeten worden verwerkt (en de synchronisatie-engine moet het bronsysteem opnieuw lezen om de inhoud ervan te controleren).

Als u de configuratie hebt gewijzigd met behulp van domein- of organisatie-eenheidsfilters, moet u een volledige import doen, gevolgd door Delta-synchronisatie.

Als u de configuratie hebt gewijzigd met behulp van kenmerkfiltering, moet u een volledige synchronisatie doen.

Voer de volgende stappen uit:

1. Start Synchronization Service vanuit het menu Start.
2. Selecteer Connectors. Selecteer in de lijst Connectors de Connector waar u eerder een configuratiewijziging hebt aangebracht. Selecteer in Acties de optie Uitvoeren.
   
3. Selecteer in Run profiles de bewerking die in de vorige sectie is genoemd. Als u twee acties moet uitvoeren, moet u de tweede uitvoeren nadat de eerste is voltooid. (De kolom Status is Inactief voor de geselecteerde connector.)

Na de synchronisatie worden alle wijzigingen gefaseerd geëxporteerd. Voordat u daadwerkelijk de wijzigingen in Azure AD aan te brengen, moet u controleren of al deze wijzigingen juist zijn.

1. Start een opdrachtprompt en ga naar %ProgramFiles%\Microsoft Azure AD Sync\bin .
2. Voer csexport "Name of Connector" %temp%\export.xml /f:x uit.
   De naam van de connector staat in Synchronisatieservice. Het heeft een naam die vergelijkbaar is met 'contoso.com – Azure AD' voor Azure AD.
3. Voer CSExportAnalyzer %temp%\export.xml > %temp%\export.csv uit.
4. U hebt nu een bestand in %temp% met de naam export.csv dat kan worden onderzocht in Microsoft Excel. Dit bestand bevat alle wijzigingen die op het punt staan te worden geëxporteerd.
5. Voer de benodigde wijzigingen aan in de gegevens of configuratie en voer deze stappen opnieuw uit (Importeren, Synchroniseren en Verifiëren) totdat de wijzigingen die op het punt staan te worden geëxporteerd, zijn wat u verwacht.

Wanneer u tevreden bent, exporteert u de wijzigingen naar Azure AD.

1. Selecteer Connectors. Selecteer de Azure AD-connector in de lijst Connectors. Selecteer in Acties de optie Uitvoeren.
2. Selecteer in Profielen uitvoeren de optie Exporteren.
3. Als uw configuratiewijzigingen veel objecten verwijderen, ziet u een fout in de export wanneer het aantal hoger is dan de geconfigureerde drempelwaarde (standaard 500). Als deze fout wordt weergegeven, moet u de functie'Onopzettelijk verwijderen voorkomen'tijdelijk uitschakelen.

Het is nu tijd om de scheduler opnieuw in teschakelen.

1. Start Task Scheduler vanuit het menu Start.
2. Zoek direct Task Scheduler bibliotheek naar de taak Azure AD Sync Scheduler, klik met de rechtermuisknop en selecteer Inschakelen.

Filteren op basis van groepen

U kunt filteren op basis van groepen configureren de eerste keer dat u Azure AD-Verbinding maken met behulp van aangepaste installatie. Het is bedoeld voor een testimplementatie waarbij u wilt dat slechts een kleine set objecten wordt gesynchroniseerd. Wanneer u filteren op basis van groepen uit schakelen, kan deze niet opnieuw worden ingeschakeld. Het gebruik van filteren op basis van groepen in een aangepaste configuratie wordt niet ondersteund. Het configureren van deze functie wordt alleen ondersteund met behulp van de installatiewizard. Wanneer u de testfase hebt voltooid, gebruikt u een van de andere filteropties in dit onderwerp. Wanneer u filteren op basis van een OE gebruikt in combinatie met filteren op basis van groepen, moeten de OE('s) waarin de groep en de leden zich bevinden, worden opgenomen.

Wanneer u meerdere AD-forests synchroniseert, kunt u filteren op basis van groepen configureren door voor elke AD-connector een andere groep op te geven. Als u een gebruiker in één AD-forest wilt synchroniseren en dezelfde gebruiker een of meer bijbehorende objecten in andere AD-forests heeft, moet u ervoor zorgen dat het gebruikersobject en alle bijbehorende objecten zich binnen het filterbereik op basis van groepen. Voorbeelden:

• U hebt een gebruiker in het ene forest met een bijbehorend FSP-object (Foreign Security Principal) in een ander forest. Beide objecten moeten binnen het filterbereik op basis van groepen zijn. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.

• U hebt een gebruiker in het ene forest met een bijbehorend resourceaccount (bijvoorbeeld een gekoppeld postvak) in een ander forest. Daarnaast hebt u Azure AD-Verbinding maken om de gebruiker te koppelen aan het resourceaccount. Beide objecten moeten binnen het filterbereik op basis van groepen zijn. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.

• U hebt een gebruiker in het ene forest met een bijbehorende e-mailcontact in een ander forest. Daarnaast hebt u Azure AD-Verbinding maken om de gebruiker te koppelen aan de e-mailcontact. Beide objecten moeten binnen het filterbereik op basis van groepen zijn. Anders wordt de gebruiker niet gesynchroniseerd met Azure AD.

Volgende stappen

• Meer informatie over de configuratie van Azure AD Verbinding maken synchronisatie.
• Meer informatie over het integreren van uw on-premises identiteiten met Azure AD.