Synchronizacja programu Azure AD Connect: konfigurowanie filtrowaniaAzure AD Connect sync: Configure filtering

Korzystając z funkcji filtrowania, można kontrolować, które obiekty są wyświetlane w Azure Active Directory (Azure AD) z katalogu lokalnego.By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. Konfiguracja domyślna pobiera wszystkie obiekty we wszystkich domenach w skonfigurowanych lasach.The default configuration takes all objects in all domains in the configured forests. Ogólnie rzecz biorąc jest to zalecana konfiguracja.In general, this is the recommended configuration. Użytkownicy korzystający z obciążeń Microsoft 365, takich jak Exchange Online i Skype dla firm, korzystają z kompletnej globalnej listy adresów, aby mogli wysyłać wiadomości e-mail i wywoływać wszystkich użytkowników.Users using Microsoft 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. W przypadku konfiguracji domyślnej mogą one korzystać z tego samego środowiska z lokalną implementacją programu Exchange lub Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

W niektórych przypadkach wymagane jest wprowadzenie pewnych zmian w konfiguracji domyślnej.In some cases however, you're required make some changes to the default configuration. Oto kilka przykładów:Here are some examples:

  • Planujesz użycie topologii katalogu usługi AD systemu Azure.You plan to use the multi-Azure AD directory topology. Następnie należy zastosować filtr w celu kontrolowania, które obiekty są synchronizowane z określonym katalogiem usługi Azure AD.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Uruchamiasz program pilotażowy dla systemu Azure lub Microsoft 365 i potrzebujesz tylko podzbioru użytkowników w usłudze Azure AD.You run a pilot for Azure or Microsoft 365 and you only want a subset of users in Azure AD. W małych pilotażach nie ma konieczności posiadania kompletnej globalnej listy adresów, aby zademonstrować tę funkcjonalność.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Masz wiele kont usług i innych kont nienależących do użytkownika, które nie są potrzebne w usłudze Azure AD.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • Ze względów zgodności nie należy usuwać żadnych kont użytkowników lokalnie.For compliance reasons, you don't delete any user accounts on-premises. Można je wyłączyć.You only disable them. Jednak w usłudze Azure AD chcesz mieć tylko aktywne konta.But in Azure AD, you only want active accounts to be present.

W tym artykule opisano sposób konfigurowania różnych metod filtrowania.This article covers how to configure the different filtering methods.

Ważne

Firma Microsoft nie obsługuje modyfikowania ani działania synchronizacji programu Azure AD Connect poza akcjami, które zostały formalnie udokumentowane.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Każda z tych akcji może skutkować niespójnością lub nieobsługiwanym stanem synchronizacji Azure AD Connect. W związku z tym firma Microsoft nie może zapewnić pomocy technicznej dotyczącej takich wdrożeń.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Podstawowe i ważne uwagiBasics and important notes

W przypadku synchronizacji Azure AD Connect można włączyć filtrowanie w dowolnym momencie.In Azure AD Connect sync, you can enable filtering at any time. Jeśli zaczniesz od domyślnej konfiguracji synchronizacji katalogów, a następnie skonfigurujesz filtrowanie, obiekty, które są odfiltrowane, nie są już synchronizowane z usługą Azure AD.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. Ze względu na tę zmianę wszystkie obiekty w usłudze Azure AD, które zostały wcześniej zsynchronizowane, ale zostały następnie odfiltrowane, są usuwane w usłudze Azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Przed rozpoczęciem wprowadzania zmian w filtrowaniu upewnij się, że zostało wyłączone zaplanowane zadanie , aby nie eksportować zmian, które nie zostały jeszcze zweryfikowane, aby były poprawne.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Ponieważ filtrowanie może usunąć wiele obiektów w tym samym czasie, przed rozpoczęciem eksportowania zmian do usługi Azure AD upewnij się, że nowe filtry są poprawne.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. Po wykonaniu kroków konfiguracyjnych zdecydowanie zalecamy wykonanie kroków weryfikacji przed wyeksportowaniem i wprowadzeniem zmian w usłudze Azure AD.After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Aby chronić przed przypadkowym usunięciem wielu obiektów, funkcja "Zapobiegaj przypadkowemu usuwaniu" jest domyślnie włączona.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. Jeśli usuniesz wiele obiektów ze względu na filtrowanie (domyślnie 500), musisz wykonać kroki opisane w tym artykule, aby umożliwić usuwanie w usłudze Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Jeśli używasz kompilacji przed listopadem 2015 (1.0.9125), wprowadź zmiany w konfiguracji filtru i użyj synchronizacji skrótów haseł, a następnie musisz wyzwolić pełną synchronizację wszystkich haseł po zakończeniu konfiguracji.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Aby dowiedzieć się, jak wyzwolić pełną synchronizację hasła, zobacz wyzwalanie pełnej synchronizacji wszystkich haseł.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Jeśli korzystasz z kompilacji 1.0.9125 lub nowszej, zwykła Akcja pełna synchronizacja oblicza również, czy hasła powinny być zsynchronizowane i czy ten dodatkowy krok nie jest już wymagany.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Jeśli obiekty użytkownika zostały przypadkowo usunięte w usłudze Azure AD z powodu błędu filtrowania, możesz ponownie utworzyć obiekty użytkownika w usłudze Azure AD, usuwając konfiguracje filtrowania.If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. Następnie można zsynchronizować katalogi ponownie.Then you can synchronize your directories again. Ta akcja spowoduje przywrócenie użytkowników z Kosza w usłudze Azure AD.This action restores the users from the recycle bin in Azure AD. Nie można jednak cofnąć usunięcia innych typów obiektów.However, you can't undelete other object types. Jeśli na przykład przypadkowo usuniesz grupę zabezpieczeń, która została użyta do zasobu listy ACL, nie można odzyskać grupy i jej list ACL.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

Azure AD Connect usuwa tylko te obiekty, które zostały uznane za należące do zakresu.Azure AD Connect only deletes objects that it has once considered to be in scope. Jeśli istnieją obiekty w usłudze Azure AD, które zostały utworzone przez inny aparat synchronizacji i te obiekty nie znajdują się w zakresie, dodanie filtrowania nie powoduje jego usunięcia.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Na przykład, jeśli zaczniesz od serwera DirSync, który utworzył kompletną kopię całego katalogu w usłudze Azure AD, i instalujesz nowy serwer synchronizacji Azure AD Connect równolegle z włączonym filtrowaniem, Azure AD Connect nie usunie dodatkowych obiektów utworzonych przez narzędzie DirSync.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

Konfiguracja filtrowania jest zachowywana podczas instalowania lub uaktualniania do nowszej wersji Azure AD Connect.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. Najlepszym rozwiązaniem jest upewnienie się, że konfiguracja nie została przypadkowo zmieniona po uaktualnieniu do nowszej wersji przed uruchomieniem pierwszego cyklu synchronizacji.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

Jeśli masz więcej niż jeden las, należy zastosować konfiguracje filtrowania, które są opisane w tym temacie, do każdego lasu (przy założeniu, że dla wszystkich z nich ma być taka sama konfiguracja).If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

Wyłącz zaplanowane zadanieDisable the scheduled task

Aby wyłączyć wbudowany harmonogram wyzwalający cykl synchronizacji co 30 minut, wykonaj następujące czynności:To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Przejdź do wiersza polecenia programu PowerShell.Go to a PowerShell prompt.
  2. Uruchom, Set-ADSyncScheduler -SyncCycleEnabled $False Aby wyłączyć harmonogram.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Wprowadź zmiany, które zostały opisane w tym artykule.Make the changes that are documented in this article.
  4. Uruchom, Set-ADSyncScheduler -SyncCycleEnabled $True Aby ponownie włączyć harmonogram.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

Jeśli używasz kompilacji Azure AD Connect przed 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Aby wyłączyć zaplanowane zadanie wyzwalające cykl synchronizacji co trzy godziny, wykonaj następujące czynności:To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. Rozpocznij harmonogram zadań z menu Start .Start Task Scheduler from the Start menu.
  2. Bezpośrednio w obszarze biblioteka harmonogram zadań Znajdź zadanie o nazwie Harmonogram Azure AD Sync, kliknij prawym przyciskiem myszy, a następnie wybierz pozycję Wyłącz.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    Harmonogram zadańTask Scheduler
  3. Teraz można wprowadzać zmiany konfiguracji i uruchamiać aparat synchronizacji ręcznie z poziomu konsoli Synchronization Service Manager .You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

Po zakończeniu wszystkich zmian filtrowania nie zapomnij wrócić i ponownie włączyć zadanie.After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Opcje filtrowaniaFiltering options

Do narzędzia synchronizacji katalogów można zastosować następujące typy konfiguracji filtrowania:You can apply the following filtering configuration types to the directory synchronization tool:

  • Oparte na grupach: filtrowanie na podstawie pojedynczej grupy można skonfigurować tylko podczas instalacji początkowej przy użyciu Kreatora instalacji.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • Oparte na domenie: korzystając z tej opcji, można wybrać, które domeny mają być synchronizowane z usługą Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. Możesz również dodawać i usuwać domeny z konfiguracji aparatu synchronizacji po wprowadzeniu zmian w infrastrukturze lokalnej po zainstalowaniu synchronizacji Azure AD Connect.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • Jednostka organizacyjna — oparta na: przy użyciu tej opcji można wybrać, które jednostki organizacyjne są synchronizowane z usługą Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Ta opcja dotyczy wszystkich typów obiektów w wybranych jednostkach organizacyjnych.This option is for all object types in selected OUs.
  • Oparte na atrybutach: za pomocą tej opcji można filtrować obiekty na podstawie wartości atrybutów obiektów.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. Można również mieć różne filtry dla różnych typów obiektów.You can also have different filters for different object types.

Można użyć wielu opcji filtrowania jednocześnie.You can use multiple filtering options at the same time. Na przykład można użyć filtrowania opartego na jednostce organizacyjnej, aby uwzględnić tylko obiekty w jednej jednostce organizacyjnej.For example, you can use OU-based filtering to only include objects in one OU. W tym samym czasie można użyć filtrowania opartego na atrybutach, aby dodatkowo odfiltrować obiekty.At the same time, you can use attribute-based filtering to filter the objects further. W przypadku korzystania z wielu metod filtrowania filtry używają logicznego "i" między filtrami.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Filtrowanie oparte na domenieDomain-based filtering

Ta sekcja zawiera instrukcje konfigurowania filtru domeny.This section provides you with the steps to configure your domain filter. W przypadku dodania lub usunięcia domen w lesie po zainstalowaniu Azure AD Connect należy również zaktualizować konfigurację filtrowania.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

Preferowanym sposobem zmiany filtrowania opartego na domenie jest uruchomienie Kreatora instalacji i zmiana filtrowania domen i jednostek organizacyjnych.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. Kreator instalacji automatyzuje wszystkie zadania opisane w tym temacie.The installation wizard automates all the tasks that are documented in this topic.

Należy wykonać następujące czynności tylko wtedy, gdy z jakiegoś powodu nie można uruchomić Kreatora instalacji.You should only follow these steps if you're unable to run the installation wizard for some reason.

Konfiguracja filtrowania oparta na domenie obejmuje następujące kroki:Domain-based filtering configuration consists of these steps:

  1. Wybierz domeny, które chcesz dołączyć do synchronizacji.Select the domains that you want to include in the synchronization.
  2. Dla każdej dodanej i usuniętej domeny Dopasuj profile uruchamiania.For each added and removed domain, adjust the run profiles.
  3. Zastosuj i Sprawdź zmiany.Apply and verify changes.

Wybierz domeny do zsynchronizowaniaSelect the domains to be synchronized

Istnieją dwa sposoby wybierania domen do zsynchronizowania:There are two ways to select the domains to be synchronized: - Korzystanie z usługi synchronizacjiUsing the Synchronization Service - Korzystanie z Kreatora Azure AD Connect.Using the Azure AD Connect wizard.

Wybierz domeny, które mają być synchronizowane przy użyciu usługi synchronizacjiSelect the domains to be synchronized using the Synchronization Service

Aby ustawić filtr domeny, wykonaj następujące czynności:To set the domain filter, do the following steps:

  1. Zaloguj się na serwerze z uruchomioną Azure AD Connect synchronizacji przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Uruchom usługę synchronizacji z menu Start .Start Synchronization Service from the Start menu.
  3. Wybierz pozycję Łączniki, a następnie na liście Łączniki wybierz łącznik z typem Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. W obszarze Akcje wybierz pozycję Właściwości.In Actions, select Properties.
    Właściwości łącznikaConnector properties
  4. Kliknij pozycję Konfiguruj partycje katalogu.Click Configure Directory Partitions.
  5. Z listy Wybierz partycje katalogów wybierz i usuń zaznaczenie domen zgodnie z wymaganiami.In the Select directory partitions list, select and unselect domains as needed. Sprawdź, czy wybrano tylko partycje, które chcesz synchronizować.Verify that only the partitions that you want to synchronize are selected.
    Zrzut ekranu pokazujący partycje katalogu w oknie "właściwości".Screenshot that shows the directory partitions in the "Properties" window.
    Jeśli została zmieniona lokalna infrastruktura Active Directory i dodano lub usunięto domeny z lasu, kliknij przycisk Odśwież , aby wyświetlić zaktualizowaną listę.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Po odświeżeniu zostanie wyświetlony monit o podanie poświadczeń.When you refresh, you're asked for credentials. Podaj wszelkie poświadczenia z dostępem do odczytu do systemu Windows Server Active Directory.Provide any credentials with read access to Windows Server Active Directory. Nie musi to być użytkownik, który jest wstępnie wypełniony w oknie dialogowym.It doesn't have to be the user that is prepopulated in the dialog box.
    Wymagana odświeżenieRefresh needed
  6. Gdy skończysz, Zamknij okno dialogowe Właściwości , klikając przycisk OK.When you're done, close the Properties dialog by clicking OK. W przypadku usunięcia domen z lasu zostanie wyświetlony komunikat z informacją, że domena została usunięta i że konfiguracja zostanie oczyszczona.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Kontynuuj dostosowywanie profilów uruchamiania.Continue to adjust the run profiles.

Wybierz domeny do zsynchronizowania za pomocą Kreatora Azure AD ConnectSelect the domains to be synchronized using the Azure AD Connect wizard

Aby ustawić filtr domeny, wykonaj następujące czynności:To set the domain filter, do the following steps:

  1. Uruchom Kreatora Azure AD ConnectStart the Azure AD Connect wizard
  2. Kliknij przycisk Konfiguruj.Click Configure.
  3. Wybierz pozycję Dostosuj opcje synchronizacji , a następnie kliknij przycisk dalej.Select Customize Synchronization Options and click Next.
  4. Wprowadzanie poświadczeń usługi Azure ADEnter your Azure AD credentials
  5. Na ekranie podłączone katalogi kliknij przycisk dalej.On the Connected Directories screen click Next.
  6. Na stronie filtrowanie domen i jednostek organizacyjnych kliknij przycisk Odśwież.On the Domain and OU filtering page click Refresh. Zostaną wyświetlone nowe domeny, a usunięte domeny znikną.New domains will now appear and deleted domains will disappear. PartycjePartitions

Aktualizowanie profilów uruchamianiaUpdate the run profiles

Jeśli filtr domeny został zaktualizowany, należy również zaktualizować profile uruchamiania.If you've updated your domain filter, you also need to update the run profiles.

  1. Upewnij się, że na liście łączników została wybrana wartość łącznika, który został zmieniony w poprzednim kroku.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. W obszarze Akcje wybierz pozycję Konfiguruj profile uruchamiania.In Actions, select Configure Run Profiles.
    Profile uruchamiania łącznika 1Connector run profiles 1
  2. Znajdź i zidentyfikuj następujące profile:Find and identify the following profiles:
    • Pełny importFull Import
    • Pełna synchronizacjaFull Synchronization
    • Import zmianDelta Import
    • Synchronizacja zmianDelta Synchronization
    • EksportowanieExport
  3. Dla każdego profilu Dostosuj dodane i usunięte domeny.For each profile, adjust the added and removed domains.
    1. Dla każdego z pięciu profilów wykonaj następujące kroki dla każdej dodanej domeny:For each of the five profiles, do the following steps for each added domain:
      1. Wybierz profil uruchomienia, a następnie kliknij przycisk nowy krok.Select the run profile and click New Step.
      2. Na stronie Konfiguruj krok z menu rozwijanego Typ wybierz typ kroku o takiej samej nazwie jak konfigurowany profil.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Następnie kliknij przycisk Dalej.Then click Next.
        Profile uruchamiania łączników 2Connector run profiles 2
      3. Na stronie Konfiguracja łącznika w menu rozwijanym partycji wybierz nazwę domeny, która została dodana do filtru domeny.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Profile uruchamiania łączników 3Connector run profiles 3
      4. Aby zamknąć okno dialogowe Konfigurowanie profilu uruchamiania , kliknij przycisk Zakończ.To close the Configure Run Profile dialog, click Finish.
    2. Dla każdego z pięciu profilów wykonaj następujące czynności dla każdej usuniętej domeny:For each of the five profiles, do the following steps for each removed domain:
      1. Wybierz profil uruchomienia.Select the run profile.
      2. Jeśli wartość atrybutu partycji jest identyfikatorem GUID, wybierz krok Uruchom i kliknij polecenie Usuń krok.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Profile uruchamiania łączników 4Connector run profiles 4
    3. Sprawdź zmianę.Verify your change. Każda domena, która ma zostać zsynchronizowana, powinna być wymieniona jako krok w każdym profilu przebiegu.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Aby zamknąć okno dialogowe Konfigurowanie profili uruchamiania , kliknij przycisk OK.To close the Configure Run Profiles dialog, click OK.
  5. Aby ukończyć konfigurację, należy uruchomić pełny import i synchronizację Delta. Kontynuuj odczytywanie sekcji stosowanie i weryfikowanie zmian.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Filtrowanie na podstawie jednostki organizacyjnejOrganizational unit–based filtering

Preferowanym sposobem zmiany filtrowania opartego na jednostce organizacyjnej jest uruchomienie Kreatora instalacji i zmiana filtrowania domen i jednostek organizacyjnych.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. Kreator instalacji automatyzuje wszystkie zadania opisane w tym temacie.The installation wizard automates all the tasks that are documented in this topic.

Należy wykonać następujące czynności tylko wtedy, gdy z jakiegoś powodu nie można uruchomić Kreatora instalacji.You should only follow these steps if you're unable to run the installation wizard for some reason.

Aby skonfigurować filtrowanie na podstawie jednostki organizacyjnej, wykonaj następujące czynności:To configure organizational unit–based filtering, do the following steps:

  1. Zaloguj się na serwerze z uruchomioną Azure AD Connect synchronizacji przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Uruchom usługę synchronizacji z menu Start .Start Synchronization Service from the Start menu.
  3. Wybierz pozycję Łączniki, a następnie na liście Łączniki wybierz łącznik z typem Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. W obszarze Akcje wybierz pozycję Właściwości.In Actions, select Properties.
    Właściwości łącznikaConnector properties
  4. Kliknij pozycję Konfiguruj partycje katalogu, wybierz domenę, którą chcesz skonfigurować, a następnie kliknij pozycję kontenery.Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Po wyświetleniu monitu podaj poświadczenia z dostępem do odczytu do lokalnego Active Directory.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Nie musi to być użytkownik, który jest wstępnie wypełniony w oknie dialogowym.It doesn't have to be the user that is prepopulated in the dialog box.
  6. W oknie dialogowym Wybieranie kontenerów Wyczyść jednostki organizacyjne, które nie mają być synchronizowane z katalogiem w chmurze, a następnie kliknij przycisk OK.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Jednostki organizacyjne w oknie dialogowym Wybierz konteneryOUs in the Select Containers dialog box
    • Aby komputery z systemem Windows 10 zostały pomyślnie zsynchronizowane z usługą Azure AD, należy wybrać kontener komputery .The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Jeśli komputery przyłączone do domeny znajdują się w innych jednostkach organizacyjnych, upewnij się, że są zaznaczone.If your domain-joined computers are located in other OUs, make sure those are selected.
    • Należy wybrać kontener ForeignSecurityPrincipals w przypadku używania wielu lasów z relacjami zaufania.The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Ten kontener umożliwia rozpoznanie członkostwa w grupie zabezpieczeń obejmującej wiele lasów.This container allows cross-forest security group membership to be resolved.
    • Jeśli włączono funkcję zapisywania zwrotnego urządzeń, należy wybrać jednostkę organizacyjną RegisteredDevices .The RegisteredDevices OU should be selected if you enabled the device writeback feature. Jeśli używasz innej funkcji zapisywania zwrotnego, takiej jak zapisywanie zwrotne grup, upewnij się, że te lokalizacje są zaznaczone.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Wybierz dowolną inną jednostkę organizacyjną, w której znajdują się użytkownicy, obiekty iNetOrgPerson, grupy, kontakty i komputery.Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. Na obrazie wszystkie te jednostki organizacyjne znajdują się w jednostce organizacyjnej ManagedObjects.In the picture, all these OUs are located in the ManagedObjects OU.
    • Jeśli używasz filtrowania opartego na grupach, jednostka organizacyjna, w której znajduje się grupa, musi być uwzględniona.If you use group-based filtering, then the OU where the group is located must be included.
    • Należy pamiętać, że można określić, czy nowe jednostki organizacyjne, które są dodawane po zakończeniu konfiguracji filtrowania, są synchronizowane lub niezsynchronizowane.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. Szczegółowe informacje są podane w następnej sekcji.See the next section for details.
  7. Gdy skończysz, Zamknij okno dialogowe Właściwości , klikając przycisk OK.When you're done, close the Properties dialog by clicking OK.
  8. Aby ukończyć konfigurację, należy uruchomić pełny import i synchronizację Delta. Kontynuuj odczytywanie sekcji stosowanie i weryfikowanie zmian.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Synchronizuj nowe jednostki organizacyjneSynchronize new OUs

Nowe jednostki organizacyjne, które są tworzone po filtrowaniu, są domyślnie synchronizowane.New OUs that are created after filtering has been configured are synchronized by default. Ten stan jest wskazywany przez zaznaczone pole wyboru.This state is indicated by a selected check box. Można również usunąć zaznaczenie niektórych podrzędnych jednostek organizacyjnych.You can also unselect some sub-OUs. Aby uzyskać takie zachowanie, kliknij pole do momentu, aż stanie się biały z niebieskim znacznikiem wyboru (jego stan domyślny).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Następnie usuń zaznaczenie wszystkich podrzędnych jednostek organizacyjnych, które nie mają być synchronizowane.Then unselect any sub-OUs that you don't want to synchronize.

Jeśli wszystkie podjednostki organizacyjne są zsynchronizowane, pole jest białe z niebieskim znacznikiem wyboru.If all sub-OUs are synchronized, then the box is white with a blue check mark.
Jednostka organizacyjna z wybranymi wszystkimi polami

Jeśli niektóre podjednostki organizacyjne nie zostały zaznaczone, to pole jest szare z białym znacznikiem wyboru.If some sub-OUs have been unselected, then the box is gray with a white check mark.
Jednostka organizacyjna z niezaznaczonymi podrzędnymi jednostkami organizacyjnymi

W przypadku tej konfiguracji jest synchronizowana nowa jednostka organizacyjna utworzona w obszarze ManagedObjects.With this configuration, a new OU that was created under ManagedObjects is synchronized.

Kreator instalacji Azure AD Connect zawsze tworzy tę konfigurację.The Azure AD Connect installation wizard always creates this configuration.

Nie Synchronizuj nowych jednostek organizacyjnychDon't synchronize new OUs

Aparat synchronizacji można skonfigurować tak, aby nie synchronizować nowych jednostek organizacyjnych po zakończeniu konfiguracji filtrowania.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. Ten stan jest wskazany w interfejsie użytkownika przez pole, w którym jest wyświetlany kolor szary bez znacznika wyboru.This state is indicated in the UI by the box appearing solid gray with no check mark. Aby uzyskać takie zachowanie, kliknij pole do momentu, gdy zostanie ono białe bez znacznika wyboru.To get this behavior, click the box until it becomes white with no check mark. Następnie wybierz podrzędne jednostki organizacyjne, które chcesz synchronizować.Then select the sub-OUs that you want to synchronize.

Jednostka organizacyjna z niezaznaczonym elementem głównym

W przypadku tej konfiguracji nowa jednostka organizacyjna utworzona w obszarze ManagedObjects nie jest zsynchronizowana.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Filtrowanie oparte na atrybutachAttribute-based filtering

Upewnij się, że korzystasz z 2015 listopada (1.0.9125) lub późniejszej kompilacji, aby wykonać te kroki.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Ważne

Firma Microsoft zaleca, aby nie modyfikować reguł domyślnych utworzonych przez Azure AD Connect.Microsoft recommends to not modify the default rules created by Azure AD Connect. Jeśli chcesz zmodyfikować regułę, Sklonuj ją i Wyłącz pierwotną regułę.If you want to modify the rule, then clone it, and disable the original rule. Wprowadź zmiany w sklonowanej regule.Make any changes to the cloned rule. Należy pamiętać, że przez wykonanie tej czynności (wyłączenie oryginalnej reguły) spowoduje to pominięcie wszelkich poprawek lub funkcji włączonych w ramach tej reguły.Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

Filtrowanie na podstawie atrybutu to najbardziej elastyczny sposób filtrowania obiektów.Attribute-based filtering is the most flexible way to filter objects. Możesz użyć mocy deklaracyjnej aprowizacji , aby kontrolować niemal każdy aspekt, gdy obiekt jest synchronizowany z usługą Azure AD.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

Filtrowanie przychodzące można zastosować z Active Directory do magazynu Metaverse oraz filtrowanie wychodzące z METAVERSE do usługi Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. Zalecamy stosowanie filtrowania przychodzącego, ponieważ jest to najłatwiejsze w obsłudze.We recommend that you apply inbound filtering because that is the easiest to maintain. Filtrowanie wychodzące powinno być używane tylko wtedy, gdy wymagane jest dołączenie obiektów z więcej niż jednego lasu, aby można było przeprowadzić ocenę.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Filtrowanie przychodząceInbound filtering

Filtrowanie przychodzące używa konfiguracji domyślnej, w której obiekty przechodzące do usługi Azure AD muszą mieć atrybut Metaverse cloudFiltered nie jest ustawiony na wartość do zsynchronizowania.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Jeśli wartość tego atrybutu jest równa true, obiekt nie jest synchronizowany.If this attribute's value is set to True, then the object isn't synchronized. Nie powinna być ustawiona na wartość false, przez zaprojektowanie.It shouldn't be set to False, by design. Aby upewnić się, że inne reguły mają możliwość współtworzenia wartości, ten atrybut ma tylko wartość PRAWDA lub wartość null (brak).To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

W przypadku filtrowania przychodzącego można użyć możliwości zakresu , aby określić, które obiekty mają być synchronizowane lub niezsynchronizowane.In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. Jest to miejsce, w którym wprowadzane są zmiany spełniające wymagania organizacji.This is where you make adjustments to fit your own organization's requirements. Moduł zakresu ma grupę i klauzulę , aby określić, kiedy reguła synchronizacji znajduje się w zakresie.The scope module has a group and a clause to determine when a sync rule is in scope. Grupa zawiera jedną lub wiele klauzul.A group contains one or many clauses. Istnieje koniunkcja logiczna "i" między wieloma klauzulami, a logiczna "OR" między wieloma grupami.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Poczekaj na przykład:Let us look at an example:
Zrzut ekranu przedstawiający przykład dodawania filtrów zakresu.A screenshot showing an example of adding scoping filters.
Powinno to być odczytane jako (dział = IT) lub (Department = Sales i c = US).This should be read as (department = IT) OR (department = Sales AND c = US).

W poniższych przykładach i krokach użyto obiektu użytkownika, ale można go użyć dla wszystkich typów obiektów.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

W poniższych przykładach wartość pierwszeństwa rozpoczyna się od 50.In the following samples, the precedence value starts with 50. Może to być dowolny numer nieużywany, ale powinien być niższy niż 100.This can be any number not used, but should be lower than 100.

Filtrowanie ujemne: "nie Synchronizuj"Negative filtering: "do not sync these"

W poniższym przykładzie można odfiltrować (nie synchronizować) wszystkich użytkowników, których extensionAttribute15 ma wartość nosync.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Zaloguj się na serwerze z uruchomioną Azure AD Connect synchronizacji przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Uruchom Edytor reguł synchronizacji z menu Start .Start Synchronization Rules Editor from the Start menu.
  3. Upewnij się, że wybrano pozycję przychodzące , a następnie kliknij pozycję Dodaj nową regułę.Make sure Inbound is selected, and click Add New Rule.
  4. Nadaj regule nazwę opisową, taką jak "w programie AD — User DoNotSyncFilter".Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Wybierz odpowiedni Las, wybierz pozycję użytkownik jako Typ obiektu CS, a następnie wybierz pozycję osoba jako Typ obiektu MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. W obszarze Typ łącza wybierz pozycję Dołącz.In Link Type, select Join. W obszarze pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 50), a następnie kliknij przycisk dalej.In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Opis przychodzących 1Inbound 1 description
  5. W obszarze Filtr określania zakresu kliknij pozycję Dodaj grupę, a następnie kliknij pozycję Dodaj klauzulę.In Scoping filter, click Add Group, and click Add Clause. W polu atrybut wybierz pozycję ExtensionAttribute15.In Attribute, select ExtensionAttribute15. Upewnij się, że operator jest ustawiony na wartość równe, a w polu wartość wpisz wartości nosync .Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Kliknij przycisk Dalej.Click Next.
    Zakres ruchu przychodzącego 2Inbound 2 scope
  6. Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk dalej.Leave the Join rules empty, and then click Next.
  7. Kliknij pozycję Dodaj transformację, wybierz pozycję flowtype jako stałą, a następnie wybierz pozycję cloudFiltered jako atrybut docelowy.Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. W polu tekstowym Źródło wpisz true.In the Source text box, type True. Kliknij przycisk Dodaj , aby zapisać regułę.Click Add to save the rule.
    Transformacje przychodzące 3Inbound 3 transformation
  8. Aby ukończyć konfigurację, należy przeprowadzić pełną synchronizację. Kontynuuj odczytywanie sekcji stosowanie i weryfikowanie zmian.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Filtrowanie pozytywne: "Synchronizuj tylko te"Positive filtering: "only sync these"

Wyrażanie pozytywnego filtrowania może być trudniejsze, ponieważ należy również rozważyć obiekty, które nie są oczywiste do zsynchronizowania, takie jak pokoje konferencyjne.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. Należy również przesłonić domyślny filtr w regule "out-of-Box" w temacie from AD-User Join.You are also going to override the default filter in the out-of-box rule In from AD - User Join. Podczas tworzenia niestandardowego filtru upewnij się, że nie obejmują obiektów systemu krytycznego, obiektów powodujących konflikty replikacji, specjalnych skrzynek pocztowych i kont usługi dla Azure AD Connect.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

Opcja filtrowania pozytywnego wymaga dwóch reguł synchronizacji.The positive filtering option requires two sync rules. Wymagana jest jedna reguła (lub kilka) z prawidłowym zakresem obiektów do zsynchronizowania.You need one rule (or several) with the correct scope of objects to synchronize. Potrzebna jest także druga reguła synchronizacji dla wszystkich obiektów, która filtruje wszystkie obiekty, które nie zostały jeszcze zidentyfikowane jako obiekt, który powinien zostać zsynchronizowany.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

W poniższym przykładzie tylko zsynchronizujesz obiekty użytkownika, w których atrybut działu ma wartość Sales.In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Zaloguj się na serwerze z uruchomioną Azure AD Connect synchronizacji przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Uruchom Edytor reguł synchronizacji z menu Start .Start Synchronization Rules Editor from the Start menu.
  3. Upewnij się, że wybrano pozycję przychodzące , a następnie kliknij pozycję Dodaj nową regułę.Make sure Inbound is selected, and click Add New Rule.
  4. Nadaj regule nazwę opisową, taką jak "w programie AD — synchronizacja sprzedaży użytkownika".Give the rule a descriptive name, such as "In from AD – User Sales sync". Wybierz odpowiedni Las, wybierz pozycję użytkownik jako Typ obiektu CS, a następnie wybierz pozycję osoba jako Typ obiektu MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. W obszarze Typ łącza wybierz pozycję Dołącz.In Link Type, select Join. W obszarze pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 51), a następnie kliknij przycisk dalej.In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Opis przychodzący 4Inbound 4 description
  5. W obszarze Filtr określania zakresu kliknij pozycję Dodaj grupę, a następnie kliknij pozycję Dodaj klauzulę.In Scoping filter, click Add Group, and click Add Clause. W polu atrybut wybierz pozycję dział.In Attribute, select department. Upewnij się, że operator ma ustawioną wartość równą i wpisz wartości Sales w polu wartość .Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Kliknij przycisk Dalej.Click Next.
    Zakres ruchu przychodzącego 5Inbound 5 scope
  6. Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk dalej.Leave the Join rules empty, and then click Next.
  7. Kliknij pozycję Dodaj transformację, wybierz pozycję stała jako wartość flowtype, a następnie wybierz cloudFiltered jako atrybut docelowy.Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. W polu Źródło wpisz false.In the Source box, type False. Kliknij przycisk Dodaj , aby zapisać regułę.Click Add to save the rule.
    Przekształcenie przychodzące 6Inbound 6 transformation
    Jest to specjalny przypadek, w którym jawnie ustawiono wartość false dla cloudFiltered.This is a special case where you explicitly set cloudFiltered to False.
  8. Teraz trzeba utworzyć regułę synchronizacji catch-all.We now have to create the catch-all sync rule. Nadaj regule nazwę opisową, taką jak "w from AD – User catch-all Filter".Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Wybierz odpowiedni Las, wybierz pozycję użytkownik jako Typ obiektu CS, a następnie wybierz pozycję osoba jako Typ obiektu MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. W obszarze Typ łącza wybierz pozycję Dołącz.In Link Type, select Join. W obszarze pierwszeństwo wpisz wartość, która nie jest obecnie używana przez inną regułę synchronizacji (na przykład 99).In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). Wybrano wyższą wartość pierwszeństwa (niższy priorytet) niż reguła synchronizacji poprzedniej.You've selected a precedence value that is higher (lower precedence) than the previous sync rule. Ale pozostawiono również kilka miejsca, aby można było później dodać kolejne reguły synchronizacji filtrowania podczas synchronizacji dodatkowych działów.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Kliknij przycisk Dalej.Click Next.
    Opis ruchu przychodzącego 7Inbound 7 description
  9. Pozostaw pusty Filtr zakresu , a następnie kliknij przycisk dalej.Leave Scoping filter empty, and click Next. Pusty filtr wskazuje, że reguła ma być stosowana do wszystkich obiektów.An empty filter indicates that the rule is to be applied to all objects.
  10. Pozostaw puste reguły sprzężenia , a następnie kliknij przycisk dalej.Leave the Join rules empty, and then click Next.
  11. Kliknij pozycję Dodaj transformację, wybierz pozycję stała jako wartość flowtype, a następnie wybierz pozycję cloudFiltered jako atrybut docelowy.Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. W polu Źródło wpisz true.In the Source box, type True. Kliknij przycisk Dodaj , aby zapisać regułę.Click Add to save the rule.
    Transformacje przychodzące 3Inbound 3 transformation
  12. Aby ukończyć konfigurację, należy przeprowadzić pełną synchronizację. Kontynuuj odczytywanie sekcji stosowanie i weryfikowanie zmian.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Jeśli zachodzi taka potrzeba, można utworzyć więcej reguł pierwszego typu, w których dołączysz więcej obiektów w synchronizacji.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Filtrowanie wychodząceOutbound filtering

W niektórych przypadkach należy wykonać filtrowanie dopiero po przyłączeniu obiektów do Metaverse.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Na przykład może być konieczne wyszukanie atrybutu mail z lasu zasobów i atrybutu userPrincipalName z lasu kont, aby określić, czy obiekt powinien być synchronizowany.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. W takich przypadkach można utworzyć filtrowanie dla reguły ruchu wychodzącego.In these cases, you create the filtering on the outbound rule.

W tym przykładzie zmienisz filtrowanie tak, aby były synchronizowane tylko użytkownicy, którzy mają zarówno wiadomość e-mail, jak i element userPrincipalName kończący @contoso.com się na:In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Zaloguj się na serwerze z uruchomioną Azure AD Connect synchronizacji przy użyciu konta, które jest członkiem grupy zabezpieczeń ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Uruchom Edytor reguł synchronizacji z menu Start .Start Synchronization Rules Editor from the Start menu.
  3. W obszarze Typ zasad kliknij pozycję wychodzące.Under Rules Type, click Outbound.
  4. W zależności od używanej wersji programu Connect można znaleźć regułę o nazwie do usługi Azure AD — przyłączanie do użytkownika lub do zewnątrz do usługi Azure AD — dołączanie użytkownika do SOAInAD, a następnie kliknij przycisk Edytuj.Depending on the version of Connect you use, either find the rule named Out to Azure AD – User Join or Out to Azure AD - User Join SOAInAD, and click Edit.
  5. W oknie podręcznym odpowiedź tak , aby utworzyć kopię reguły.In the pop-up, answer Yes to create a copy of the rule.
  6. Na stronie Opis Zmień pierwszeństwo na nieużywaną wartość, na przykład 50.On the Description page, change Precedence to an unused value, such as 50.
  7. Kliknij pozycję Filtr zakresu w obszarze nawigacji po lewej stronie, a następnie kliknij pozycję Dodaj klauzulę.Click Scoping filter on the left-hand navigation, and then click Add clause. W polu atrybut wybierz opcję poczta.In Attribute, select mail. W operatorze wybierz pozycję ENDSWITH.In Operator, select ENDSWITH. W wartość, wpisz @ contoso.com, a następnie kliknij przycisk Dodaj klauzulę.In Value, type @contoso.com, and then click Add clause. W polu atrybut wybierz element userPrincipalName.In Attribute, select userPrincipalName. W operatorze wybierz pozycję ENDSWITH.In Operator, select ENDSWITH. W polu wartość wpisz @ contoso.com.In Value, type @contoso.com.
  8. Kliknij pozycję Zapisz.Click Save.
  9. Aby ukończyć konfigurację, należy przeprowadzić pełną synchronizację. Kontynuuj odczytywanie sekcji stosowanie i weryfikowanie zmian.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Zastosuj i Weryfikuj zmianyApply and verify changes

Po wprowadzeniu zmian w konfiguracji należy zastosować je do obiektów, które są już obecne w systemie.After you've made your configuration changes, you must apply them to the objects that are already present in the system. Może to być również, że obiekty, które nie są obecnie w aparacie synchronizacji, powinny być przetwarzane (a aparat synchronizacji musi ponownie odczytać system źródłowy, aby zweryfikować jego zawartość).It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Jeśli konfiguracja została zmieniona przy użyciu funkcji filtrowania domeny lub jednostki organizacyjnej , należy wykonać pełny import, a następnie synchronizację Delta.If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

W przypadku zmiany konfiguracji przy użyciu funkcji filtrowania atrybutów należy wykonać pełną synchronizację.If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Wykonaj następujące czynności:Do the following steps:

  1. Uruchom usługę synchronizacji z menu Start .Start Synchronization Service from the Start menu.
  2. Wybierz pozycję Łączniki.Select Connectors. Na liście Łączniki wybierz łącznik, w którym została wcześniej wprowadzona zmiana konfiguracji.In the Connectors list, select the Connector where you made a configuration change earlier. W obszarze Akcje wybierz pozycję Uruchom.In Actions, select Run.
    Uruchomienie łącznikaConnector run
  3. W obszarze Profile uruchamiania wybierz operację, która została wymieniona w poprzedniej sekcji.In Run profiles, select the operation that was mentioned in the previous section. Jeśli musisz uruchomić dwie akcje, uruchom sekundę po zakończeniu pierwszego z nich.If you need to run two actions, run the second after the first one has finished. (Kolumna stanu jest bezczynna dla wybranego łącznika).(The State column is Idle for the selected connector.)

Po synchronizacji wszystkie zmiany zostaną przygotowane do wyeksportowania.After the synchronization, all changes are staged to be exported. Przed faktycznym wprowadzeniem zmian w usłudze Azure AD należy sprawdzić, czy wszystkie te zmiany są poprawne.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Uruchom wiersz polecenia i przejdź do %ProgramFiles%\Microsoft Azure AD Sync\bin .Start a command prompt, and go to %ProgramFiles%\Microsoft Azure AD Sync\bin.
  2. Uruchom polecenie csexport "Name of Connector" %temp%\export.xml /f:x.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    Nazwa łącznika znajduje się w usłudze synchronizacji.The name of the Connector is in Synchronization Service. Ma nazwę podobną do "contoso.com – Azure AD" dla usługi Azure AD.It has a name similar to "contoso.com – Azure AD" for Azure AD.
  3. Uruchom polecenie CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Masz teraz plik w katalogu% Temp% o nazwie export.csv, który można sprawdzić w programie Microsoft Excel.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Ten plik zawiera wszystkie zmiany, które mają zostać wyeksportowane.This file contains all the changes that are about to be exported.
  5. Wprowadź niezbędne zmiany w danych lub konfiguracji, a następnie ponownie wykonaj te kroki (zaimportuj, zsynchronizuj i sprawdź), aż zmiany, które mają zostać wyeksportowane, są oczekiwane.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

Gdy skończysz, Eksportuj zmiany do usługi Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Wybierz pozycję Łączniki.Select Connectors. Na liście Łączniki wybierz pozycję Łącznik usługi Azure AD.In the Connectors list, select the Azure AD Connector. W obszarze Akcje wybierz pozycję Uruchom.In Actions, select Run.
  2. W obszarze Profile uruchamiania wybierz pozycję Eksportuj.In Run profiles, select Export.
  3. Jeśli konfiguracja zmieni się na Usuń wiele obiektów, podczas eksportowania zostanie wyświetlony komunikat o błędzie, gdy liczba jest większa niż skonfigurowany próg (domyślnie 500).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). W przypadku wyświetlenia tego błędu należy tymczasowo wyłączyć funkcję "Zapobiegaj przypadkowe usuwanie".If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

Teraz można ponownie włączyć harmonogram.Now it's time to enable the scheduler again.

  1. Rozpocznij harmonogram zadań z menu Start .Start Task Scheduler from the Start menu.
  2. Bezpośrednio w obszarze biblioteka harmonogram zadań Znajdź zadanie o nazwie Harmonogram Azure AD Sync, kliknij prawym przyciskiem myszy, a następnie wybierz pozycję Włącz.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Filtrowanie na podstawie grupyGroup-based filtering

Filtrowanie oparte na grupach można skonfigurować przy pierwszej instalacji Azure AD Connect przy użyciu instalacji niestandardowej.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Jest on przeznaczony do wdrożenia pilotażowego, w którym ma być synchronizowany tylko niewielki zestaw obiektów.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. Wyłączenie filtrowania opartego na grupach nie jest możliwe.When you disable group-based filtering, it can't be enabled again. Użycie filtrowania opartego na grupach nie jest obsługiwane w konfiguracji niestandardowej.It's not supported to use group-based filtering in a custom configuration. Ta funkcja jest obsługiwana tylko przez Kreatora instalacji programu.It's only supported to configure this feature by using the installation wizard. Po zakończeniu pilotażu należy użyć jednej z innych opcji filtrowania w tym temacie.When you've completed your pilot, then use one of the other filtering options in this topic. W przypadku używania filtrowania opartego na jednostce organizacyjnej w połączeniu z filtrowaniem opartym na grupach, należy uwzględnić jednostki organizacyjne, w których znajdują się grupa i jej członkowie.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

Podczas synchronizowania wielu lasów usługi AD można skonfigurować filtrowanie na podstawie grup, określając inną grupę dla każdego łącznika usługi AD.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Jeśli chcesz synchronizować użytkownika w jednym lesie usługi AD, a ten sam użytkownik ma jeden lub więcej odpowiadających obiektów w innych lasach usługi AD, musisz się upewnić, że obiekt użytkownika i wszystkie odpowiednie obiekty znajdują się w zakresie filtrowania na podstawie grupy.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Przykłady:For examples:

  • Użytkownik ma w jednym lesie, który ma odpowiadający mu obiekt FSP (podmiot zabezpieczeń obcych) w innym lesie.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. Oba obiekty muszą znajdować się w zakresie filtrowania na podstawie grupy.Both objects must be within group-based filtering scope. W przeciwnym razie użytkownik nie będzie synchronizowany z usługą Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Użytkownik znajduje się w jednym lesie, który ma odpowiednie konto zasobu (np. połączoną skrzynkę pocztową) w innym lesie.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. Dodatkowo skonfigurowano Azure AD Connect do łączenia użytkownika z kontem zasobu.Further, you have configured Azure AD Connect to link the user with the resource account. Oba obiekty muszą znajdować się w zakresie filtrowania na podstawie grupy.Both objects must be within group-based filtering scope. W przeciwnym razie użytkownik nie będzie synchronizowany z usługą Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • Użytkownik znajduje się w jednym lesie, który ma odpowiednią osobę kontaktową poczty w innym lesie.You have a user in one forest that has a corresponding mail contact in another forest. Dodatkowo skonfigurowano Azure AD Connect do łączenia użytkownika z kontaktem z pocztą.Further, you have configured Azure AD Connect to link the user with the mail contact. Oba obiekty muszą znajdować się w zakresie filtrowania na podstawie grupy.Both objects must be within group-based filtering scope. W przeciwnym razie użytkownik nie będzie synchronizowany z usługą Azure AD.Otherwise, the user will not be synchronized to Azure AD.

Następne krokiNext steps