Sincronização do Azure AD Connect: Configurar a filtragemAzure AD Connect sync: Configure filtering

Com a filtragem, você pode controlar quais objetos do seu diretório local devem aparecer no Azure Active Directory (Azure AD).By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. A configuração padrão obtém todos os objetos em todos os domínios nas florestas configuradas.The default configuration takes all objects in all domains in the configured forests. Em geral, essa é a configuração recomendada.In general, this is the recommended configuration. Os usuários que utilizarem cargas de trabalho do Office 365, como o Exchange Online e o Skype for Business, receberão uma Lista de Endereços Global completa para poderem enviar emails e fazer chamadas para todos.Users using Office 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. Com a configuração padrão, eles teriam a mesma experiência de uma implementação local do Exchange ou do Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

Em alguns casos, é necessário fazer alterações na configuração padrão.In some cases however, you're required make some changes to the default configuration. Estes são alguns exemplos:Here are some examples:

  • Você planeja usar a topologia de vários diretórios do Azure AD.You plan to use the multi-Azure AD directory topology. Então, você precisa aplicar um filtro para controlar os objetos que devem ser sincronizados com um determinado diretório do Azure AD.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Você executa um piloto para o Azure ou o Office 365 e só deseja um subconjunto de usuários no Azure AD.You run a pilot for Azure or Office 365 and you only want a subset of users in Azure AD. Em um piloto pequeno, não é importante ter uma Lista de Endereços Global completa para demonstrar essa funcionalidade.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Você tem muitas contas de serviço e outras contas não pessoais que não deseja adicionar ao Azure AD.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • Por motivos de conformidade, não exclua contas de usuário locais.For compliance reasons, you don't delete any user accounts on-premises. Você só pode desabilitá-las.You only disable them. Mas no Azure AD, você deseja ter apenas as contas ativas.But in Azure AD, you only want active accounts to be present.

Este artigo mostra como configurar os diferentes métodos de filtragem.This article covers how to configure the different filtering methods.

Importante

A Microsoft não oferece suporte à modificação ou à operação da sincronização do Azure AD Connect fora das ações formalmente documentadas.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Qualquer uma dessas ações pode resultar em um estado inconsistente ou sem suporte da sincronização do Azure AD Connect. Consequentemente, a Microsoft não pode fornecer suporte técnico para essas implantações.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Noções básicas e observações importantesBasics and important notes

No Azure AD Connect Sync, você pode habilitar a filtragem a qualquer momento.In Azure AD Connect sync, you can enable filtering at any time. Se você já tiver começado com uma configuração padrão de sincronização de diretório e então configurou a filtragem, os objetos que são filtrados não são mais sincronizados ao AD do Azure.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. Devido a essa alteração, quaisquer objetos no Azure AD que foram anteriormente sincronizados, mas filtrados depois, serão excluídos do Azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Antes de começar a fazer alterações na filtragem, desabilite a tarefa agendada para não fazer acidentalmente alterações de exportação que ainda não tenham sido verificadas como corretas.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Como a filtragem pode remover muitos objetos ao mesmo tempo, certifique-se de que os novos filtros estejam corretos antes de iniciar a exportação de todas as alterações para o Azure AD.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. Depois de concluir as etapas de configuração, recomendamos que você siga as etapas de verificação antes de fazer alterações e de exportar para o Azure AD.After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Para que você não exclua muitos objetos por acidente, o recurso “impedir exclusões acidentais” está ativado por padrão.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. Se você excluir muitos objetos devido à filtragem (500, por padrão), precisará seguir as etapas deste artigo para permitir que as exclusões passem para o Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Se você usar uma build anterior à de novembro de 2015(1.0.9125), alterar a configuração de filtro e usar a sincronização de senha, precisará disparar uma sincronização completa de todas as senhas depois de concluir a configuração.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Para obter as etapas para disparar uma sincronização de senhas completa, consulte Disparar uma sincronização completa de todas as senhas.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Se você estiver usando a versão 1.0.9125 ou uma versão posterior, a ação da sincronização completa normal, também avalia se as senhas precisam ser sincronizadas e esta etapa adicional não será mais necessária.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Se objetos de usuário tiverem sido excluídos acidentalmente do Azure AD devido a um erro de filtragem, você pode recriar os objetos de usuário no Azure AD, removendo as configurações de filtragem.If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. Em seguida, você pode sincronizar os diretórios novamente.Then you can synchronize your directories again. Essa ação restaura os usuários da lixeira no Azure AD.This action restores the users from the recycle bin in Azure AD. Contudo, não é possível cancelar a exclusão de outros tipos de objeto.However, you can't undelete other object types. Por exemplo, se você excluir acidentalmente um grupo de segurança usado para criar a ACL de um recurso, o grupo e suas ACLs não poderão ser recuperados.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

O Azure AD Connect só exclui os objetos que já considerou como parte do escopo.Azure AD Connect only deletes objects that it has once considered to be in scope. Se houver objetos no Azure AD criados por outro mecanismo de sincronização e eles não estiverem no escopo, adicionar filtros não os removerá.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Por exemplo, se você começar com um servidor DirSync, que criou uma cópia completa do diretório inteiro no Azure AD, e instalar um novo servidor de sincronização do Azure AD Connect em paralelo com a filtragem habilitada desde o início, o Azure AD Connect não removerá os objetos adicionais criados pelo DirSync.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

As configurações de filtragem serão mantidas quando você instalar ou atualizar para uma versão mais recente do Azure AD Connect.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. É sempre uma prática recomendada verificar se a configuração não foi inadvertidamente alterada após uma atualização para uma versão mais recente, antes de executar o primeiro ciclo de sincronização.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

Se você tiver mais de uma floresta, aplique as configurações de filtragem descritas neste tópico a todas as florestas (supondo que você queira a mesma configuração para todas elas).If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

Desabilitar a tarefa agendadaDisable the scheduled task

Para desabilitar o agendador interno, dispara um ciclo de sincronização a cada 30 minutos, siga estas etapas:To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Vá até um prompt do PowerShell.Go to a PowerShell prompt.
  2. Execute Set-ADSyncScheduler -SyncCycleEnabled $False para desabilitar o agendador.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Faça as alterações documentadas neste artigo.Make the changes that are documented in this article.
  4. Execute Set-ADSyncScheduler -SyncCycleEnabled $True para habilitar o agendador novamente.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

Se você usa um build do Azure AD Connect anterior ao 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Para desabilitar a tarefa agendada que dispara um ciclo de sincronização a cada três horas, siga estas etapas:To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. Inicie o Agendador de Tarefas no menu Iniciar.Start Task Scheduler from the Start menu.
  2. Diretamente na Biblioteca do Agendador de Tarefas, localize a tarefa chamada Agendador de Sincronização do Azure AD, clique com o botão direito do mouse e selecione Desabilitar.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    Agendador de TarefasTask Scheduler
  3. Agora você pode fazer alterações de configuração e executar o mecanismo de sincronização manualmente do console do Synchronization Service Manager .You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

Depois de concluir todas as alterações de filtragem, não se esqueça de voltar e Habilitar a tarefa novamente.After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Opções de filtragemFiltering options

Você pode aplicar os seguintes tipos de configuração de filtragem à Ferramenta de Sincronização de Diretório:You can apply the following filtering configuration types to the directory synchronization tool:

  • Baseada em grupo: a filtragem baseada em um único grupo só pode ser configurada na instalação inicial usando o assistente de instalação.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • Baseada em domínio: essa opção permite que você selecione quais domínios devem sincronizar com o Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. Você também pode adicionar e remover domínios da configuração do mecanismo de sincronização quando fizer alterações na infraestrutura local, depois de instalar da sincronização do Azure AD Connect.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • Baseada na unidade organizacional (UO): : essa opção permite que você selecione quais UOs sincronizar com o Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Essa opção é para todos os tipos de objeto em UOs selecionadas.This option is for all object types in selected OUs.
  • Baseada em atributo: essa opção permite que você filtre objetos com base nos valores de atributo que eles possuem.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. Você também pode ter filtros diferentes para tipos de objeto diferentes.You can also have different filters for different object types.

Você pode usar várias opções de filtragem ao mesmo tempo.You can use multiple filtering options at the same time. Por exemplo, você pode usar a filtragem baseada em unidade organizacional para incluir apenas os objetos em uma unidade organizacional.For example, you can use OU-based filtering to only include objects in one OU. Ao mesmo tempo, você pode usar a filtragem baseada em atributo para filtrar ainda mais os objetos.At the same time, you can use attribute-based filtering to filter the objects further. Quando você usa vários métodos de filtragem, os filtros usam um “E” lógico entre eles.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Filtragem baseada em domínioDomain-based filtering

Esta seção fornece as etapas para configurar o filtro de domínio.This section provides you with the steps to configure your domain filter. Se você adicionar ou remover domínios na floresta depois de ter instalado o Azure AD Connect, também será necessário atualizar a configuração de filtragem.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

A melhor maneira de alterar a filtragem baseada em domínio é executando o assistente de instalação para alterar a filtragem de domínio e UO.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. O assistente de instalação automatiza todas as tarefas documentadas neste tópico.The installation wizard automates all the tasks that are documented in this topic.

Você só deve seguir estas etapas se, por algum motivo, não conseguir executar o assistente de instalação.You should only follow these steps if you're unable to run the installation wizard for some reason.

A configuração de filtragem baseada em domínio consiste nestas etapas:Domain-based filtering configuration consists of these steps:

  1. Selecione os domínios que você deseja incluir na sincronização.Select the domains that you want to include in the synchronization.
  2. Para cada domínio adicionado e removido, ajuste os perfis de execução.For each added and removed domain, adjust the run profiles.
  3. Aplicar e verificar as alterações.Apply and verify changes.

Selecionar os domínios a serem sincronizadosSelect the domains to be synchronized

Há duas maneiras de selecionar os domínios a serem sincronizados:There are two ways to select the domains to be synchronized: - Usando o serviço de sincronizaçãoUsing the Synchronization Service - Usando o Assistente do Azure AD Connect.Using the Azure AD Connect wizard.

Selecione os domínios a serem sincronizados usando o serviço de sincronizaçãoSelect the domains to be synchronized using the Synchronization Service

Para definir o filtro de domínio, siga estas etapas:To set the domain filter, do the following steps:

  1. Entre no servidor que está executando a sincronização do Azure AD Connect usando uma conta que seja membro do grupo de segurança ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Inicie o Serviço de Sincronização no menu Iniciar.Start Synchronization Service from the Start menu.
  3. Selecione Conectores e, na lista Conectores, selecione o conector com o tipo Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. Em Ações, selecione Propriedades.In Actions, select Properties.
    Propriedades do conectorConnector properties
  4. Clique em Configurar Partições de Diretório.Click Configure Directory Partitions.
  5. Na lista Selecionar partições de diretório, marque ou desmarque as caixas de seleção dos domínios conforme necessário.In the Select directory partitions list, select and unselect domains as needed. Verifique se apenas as partições que você deseja sincronizar estão selecionadas.Verify that only the partitions that you want to synchronize are selected.
    PartiçõesPartitions
    Se você tiver alterado a infraestrutura local do Active Drectory e tiver adicionado ou removido domínios da floresta, clique no botão Atualizar para obter uma lista atualizada.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Ao atualizar, você precisará fornecer as credenciais.When you refresh, you're asked for credentials. Forneça todas as credenciais com o acesso de leitura para o Windows Server Active Directory.Provide any credentials with read access to Windows Server Active Directory. Ele não precisa ser o usuário previamente preenchido na caixa de diálogo.It doesn't have to be the user that is prepopulated in the dialog box.
    Atualização necessáriaRefresh needed
  6. Quando terminar, clique em OK para fechar a caixa de diálogo Propriedades.When you're done, close the Properties dialog by clicking OK. Se você tiver removido domínios da floresta, será exibida uma mensagem informando que um domínio foi removido e que a configuração será limpa.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Prossiga para ajustar os perfis de execução.Continue to adjust the run profiles.

Selecione os domínios a serem sincronizados usando o Assistente do Azure AD ConnectSelect the domains to be synchronized using the Azure AD Connect wizard

Para definir o filtro de domínio, siga estas etapas:To set the domain filter, do the following steps:

  1. Iniciar o Assistente do Azure AD ConnectStart the Azure AD Connect wizard
  2. Clique em Configurar.Click Configure.
  3. Selecione personalizar opções de sincronização e clique em próxima.Select Customize Synchronization Options and click Next.
  4. Insira suas credenciais de AD do AzureEnter your Azure AD credentials
  5. Sobre o diretórios conectados tela clique próxima.On the Connected Directories screen click Next.
  6. Sobre o página de filtragem de domínio e UO clique em atualizar.On the Domain and OU filtering page click Refresh. Novos domínios mal agora são exibidos e os domínios excluídos desaparecerá.New domains ill now appear and deleted domains will disappear. PartiçõesPartitions

Atualizar perfis de execuçãoUpdate the run profiles

Se você tiver atualizado o filtro de domínio, também precisará atualizar os perfis de execução.If you've updated your domain filter, you also need to update the run profiles.

  1. Na lista Conectores , verifique se o conector que você alterou na etapa anterior está selecionado.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. Em Ações, selecione Configurar Perfis de Execução.In Actions, select Configure Run Profiles.
    Perfis de execução do conector 1Connector run profiles 1
  2. Localize e identifique os seguintes perfis:Find and identify the following profiles:
    • Importação completaFull Import
    • sincronização totalFull Synchronization
    • Importação de deltaDelta Import
    • Sincronização de deltaDelta Synchronization
    • ExportaçãoExport
  3. Para cada perfil, ajuste os domínios adicionados e removidos.For each profile, adjust the added and removed domains.
    1. Para cada um dos cinco perfis, execute as seguintes etapas para cada domínio adicionado:For each of the five profiles, do the following steps for each added domain:
      1. Selecione o perfil de execução e clique em Nova Etapa.Select the run profile and click New Step.
      2. Na página Configurar Etapa, no menu suspenso Tipo, selecione o tipo de etapa com o mesmo nome do perfil que você está configurando.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Em seguida, clique em Próximo.Then click Next.
        Perfis de execução do conector 2Connector run profiles 2
      3. Na página Configuração do Conector, no menu suspenso Partição, selecione o nome do domínio que você adicionou ao filtro de domínio.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Perfis de execução do conector 3Connector run profiles 3
      4. Para fechar a caixa de diálogo Configurar Perfil de Execução, clique em Concluir.To close the Configure Run Profile dialog, click Finish.
    2. Para cada um dos cinco perfis, execute as seguintes etapas para cada domínio removido:For each of the five profiles, do the following steps for each removed domain:
      1. Selecione o perfil de execução.Select the run profile.
      2. Se o Valor do atributo Partition for um GUID, selecione a etapa de execução e clique em Excluir Etapa.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Perfis de execução do conector 4Connector run profiles 4
    3. Verifique se a alteração.Verify your change. Cada domínio que você deseja sincronizar deve estar listado como uma etapa em cada perfil de execução.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Para fechar o diálogo Configurar Perfis de Execução, clique em OK.To close the Configure Run Profiles dialog, click OK.
  5. Para concluir a configuração, você precisa executar uma Importação completa e uma Sincronização Delta. Continue a ler a seção Aplicar e verificar as alterações.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Filtragem baseada em unidade organizacionalOrganizational unit–based filtering

A melhor maneira de alterar a filtragem baseada em unidade organizacional é executar o assistente de instalação e alterar a filtragem de domínio e UO.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. O assistente de instalação automatiza todas as tarefas documentadas neste tópico.The installation wizard automates all the tasks that are documented in this topic.

Você só deve seguir estas etapas se, por algum motivo, não conseguir executar o assistente de instalação.You should only follow these steps if you're unable to run the installation wizard for some reason.

Para configurar a filtragem baseada em unidade organizacional, execute as seguintes etapas:To configure organizational unit–based filtering, do the following steps:

  1. Entre no servidor que está executando a sincronização do Azure AD Connect usando uma conta que seja membro do grupo de segurança ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Inicie o Serviço de Sincronização no menu Iniciar.Start Synchronization Service from the Start menu.
  3. Selecione Conectores e, na lista Conectores, selecione o conector com o tipo Active Directory Domain Services.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. Em Ações, selecione Propriedades.In Actions, select Properties.
    Propriedades do conectorConnector properties
  4. Clique em Configurar Partições de Diretório, selecione o domínio que você deseja configurar e clique em Contêineres.Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Quando solicitado, forneça todas as credenciais com o acesso de leitura para o Active Directory local.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Ele não precisa ser o usuário previamente preenchido na caixa de diálogo.It doesn't have to be the user that is prepopulated in the dialog box.
  6. Na caixa de diálogo Selecionar Contêineres, desmarque as UOs que você não deseja sincronizar com o diretório de nuvem e clique em OK.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Unidades organizacionais na caixa de diálogo Selecionar ContêineresOUs in the Select Containers dialog box
    • O contêiner Computadores deve ser selecionado para que os computadores com Windows 10 sejam sincronizados com êxito com o Azure AD.The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Se os computadores ingressados no domínio estiverem localizados em outras UOs, verifique se eles estão selecionados.If your domain-joined computers are located in other OUs, make sure those are selected.
    • O contêiner ForeignSecurityPrincipals deverá ser selecionado se você tiver várias florestas com relações de confiança.The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Esse contêiner permite que a associação de grupo de segurança entre florestas seja resolvida.This container allows cross-forest security group membership to be resolved.
    • A UO RegisteredDevices deverá ser selecionada caso você tenha habilitado o recurso de write-back do dispositivo.The RegisteredDevices OU should be selected if you enabled the device writeback feature. Se você usar outro recurso de write-back, como o write-back de grupo, verifique se esses locais estão selecionados.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Selecione qualquer outra UO, onde usuários, iNetOrgPersons, grupos, contatos e computadores estão localizados.Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. Na figura, todas essas UOs estão localizadas na UO ManagedObjects.In the picture, all these OUs are located in the ManagedObjects OU.
    • Se você usar a filtragem baseada em grupo, a UO onde o grupo está localizado deverá ser incluída.If you use group-based filtering, then the OU where the group is located must be included.
    • Observe que você pode configurar se as novas UOs adicionadas após a conclusão da configuração da filtragem deverão ser sincronizadas ou não.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. Consulte a próxima seção para obter detalhes.See the next section for details.
  7. Quando terminar, clique em OK para fechar a caixa de diálogo Propriedades.When you're done, close the Properties dialog by clicking OK.
  8. Para concluir a configuração, você precisa executar uma Importação completa e uma Sincronização Delta. Continue a ler a seção Aplicar e verificar as alterações.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Sincronizar novas UOsSynchronize new OUs

As novas UOs criadas após a configuração da filtragem são sincronizadas por padrão.New OUs that are created after filtering has been configured are synchronized by default. Esse estado é indicado por uma marca de seleção na caixa.This state is indicated by a selected check box. Você também pode cancelar a seleção de alguns subunidades organizacionais.You can also unselect some sub-OUs. Para isso, clique na caixa até que ela se torne branca com uma marca de seleção azul (seu estado padrão).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Em seguida, desmarque todas as subunidades organizacionais que você não deseja sincronizar.Then unselect any sub-OUs that you don't want to synchronize.

Se todas as subunidades organizacionais forem sincronizadas, a caixa ficará branca com uma marca de seleção azul.If all sub-OUs are synchronized, then the box is white with a blue check mark.
UO com todas as caixas selecionadas

Se algumas subunidades organizacionais forem desmarcadas, a caixa ficará cinza com uma marca de seleção branca.If some sub-OUs have been unselected, then the box is gray with a white check mark.
UO com algumas subunidades organizacionais desmarcadas

Com essa configuração, uma nova UO que foi criada em ManagedObjects será sincronizada.With this configuration, a new OU that was created under ManagedObjects is synchronized.

O assistente de instalação do Azure AD Connect sempre cria essa configuração.The Azure AD Connect installation wizard always creates this configuration.

Não sincronizar novas UOsDon't synchronize new OUs

Você pode configurar o mecanismo de sincronização para não sincronizar novas UOs após a conclusão da configuração da filtragem.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. Esse estado é indicado na interface do usuário por uma caixa cinza sem marca de seleção.This state is indicated in the UI by the box appearing solid gray with no check mark. Para isso, clique na caixa até que ela se torne branca sem marca de seleção.To get this behavior, click the box until it becomes white with no check mark. Em seguida, escolha as subunidades organizacionais que você deseja sincronizar.Then select the sub-OUs that you want to synchronize.

UO com raiz desmarcada

Com essa configuração, uma nova UO que foi criada em ManagedObjects não será sincronizada.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Filtragem baseada em atributoAttribute-based filtering

Verifique se você está usando a versão de novembro de 2015 (1.0.9125) ou uma versão posterior para que estas etapas funcionem.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Importante

A Microsoft recomenda não alterar as regras padrão criadas pelo Azure AD Connect.Microsoft recommends to not modify the default rules created by Azure AD Connect. Se você quiser modificar a regra, clone-a e desabilite a regra original.If you want to modify the rule, then clone it, and disable the original rule. Faça alterações somente na regra clonada.Make any changes to the cloned rule. Observe que ao fazer isso (desabilitar a regra original), você perderá as correções de bugs ou os recursos habilitados por meio dessa regra.Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

A filtragem baseada em atributo é a maneira mais flexível de filtrar objetos.Attribute-based filtering is the most flexible way to filter objects. Você pode usar o provisionamento declarativo para controlar quase todos os aspectos de quando um objeto deve ser sincronizado com o Azure AD.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

Você pode aplicar a filtragem de entrada do Active Directory para o metaverso e a filtragem de saída do metaverso para o Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. É recomendável que você aplique a filtragem de entrada porque ela é mais fácil de manter.We recommend that you apply inbound filtering because that is the easiest to maintain. Você só deve usar a filtragem de saída se ela for necessária para unir objetos de mais de uma floresta antes da avaliação.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Filtragem de entradaInbound filtering

A filtragem de entrada usa a configuração padrão, na qual objetos em direção ao Azure AD não devem ter o atributo metaverso cloudFiltered definido como um valor a ser sincronizado.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Se o valor desse atributo for definido como True, o objeto não será sincronizado.If this attribute's value is set to True, then the object isn't synchronized. Ele não deve ser definido como False por padrão.It shouldn't be set to False, by design. Para garantir que outras regras tenham a capacidade de contribuir com um valor, esse atributo só deverá ter os valores True ou NULL (ausente).To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

Na filtragem de entrada, você usa o escopo para determinar quais objetos devem ou não ser sincronizados.In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. Aqui, você faz os ajustes para os requisitos da sua própria organização.This is where you make adjustments to fit your own organization's requirements. O módulo do escopo tem um grupo e uma cláusula para determinar quando uma regra de sincronização deve estar no escopo.The scope module has a group and a clause to determine when a sync rule is in scope. Um grupo contém uma ou muitas cláusulas.A group contains one or many clauses. Há um “E” lógico entre várias cláusulas e um “OU” lógico entre vários grupos.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Vamos examinar um exemplo:Let us look at an example:
EscopoScope
Isso deve ser lido como (departamento = TI) OU (departamento = Vendas E c = EUA) .This should be read as (department = IT) OR (department = Sales AND c = US).

Nos exemplos e nas etapas abaixo, usaremos o objeto de usuário como um exemplo, mas você poderá usar isso para todos os tipos de objeto.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

Nos exemplos a seguir, o valor de precedência começa com 50.In the following samples, the precedence value starts with 50. Isso pode ser qualquer número não usado, mas deve ser inferior a 100.This can be any number not used, but should be lower than 100.

Filtragem negativa, “não sincronizar estes”Negative filtering: "do not sync these"

No exemplo abaixo, você filtra (e não sincroniza) todos os usuários em que extensionAttribute15 tem o valor NoSync.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Entre no servidor que está executando a sincronização do Azure AD Connect usando uma conta que seja membro do grupo de segurança ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Inicie o Editor de Regras de Sincronização no menu Iniciar.Start Synchronization Rules Editor from the Start menu.
  3. Verifique se a opção Entrada está selecionada e clique em Adicionar Nova Regra.Make sure Inbound is selected, and click Add New Rule.
  4. Dê à regra um nome descritivo, como "Entrada do AD – User DoNotSyncFilter".Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Selecione a floresta correta, Usuário como o Tipo de objeto do CS e Pessoa como o Tipo de objeto do MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Em Tipo de Link, selecione Junção.In Link Type, select Join. Em Precedência, digite um valor que não esteja sendo usado atualmente por outra regra de sincronização (por exemplo, 50). Em seguida, clique em Avançar.In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Descrição da entrada 1Inbound 1 description
  5. Em Filtro de escopo, clique em Adicionar Grupo e em Adicionar Cláusula.In Scoping filter, click Add Group, and click Add Clause. Em Atributo, selecione ExtensionAttribute15.In Attribute, select ExtensionAttribute15. Verifique se Operador está definido como EQUAL e digite o valor NoSync na caixa Valor.Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Clique em Avançar.Click Next.
    Escopo da entrada 2Inbound 2 scope
  6. Deixe as regras de Junção vazias e clique em Avançar.Leave the Join rules empty, and then click Next.
  7. Clique em Adicionar Transformação, selecione FlowType como Constante e selecione cloudFiltered como o Atributo de Destino.Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. Na caixa de texto Origem, digite True.In the Source text box, type True. Clique em Adicionar para salvar a regra.Click Add to save the rule.
    Transformação da entrada 3Inbound 3 transformation
  8. Para concluir a configuração, você precisa executar uma Sincronização completa. Continue a ler a seção Aplicar e verificar as alterações.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Filtragem positiva: "sincronizar somente estas"Positive filtering: "only sync these"

Expressar a filtragem positiva pode ser mais desafiador, já que você também precisa considerar os objetos que não são óbvios para a sincronização, como as salas de conferência.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. Você também irá substituir o filtro padrão na regra diretamente Entrada do AD – Associação de Usuário.You are also going to override the default filter in the out-of-box rule In from AD - User Join. Quando você criar seu filtro personalizado, não inclua os objetos críticos do sistema, objetos de replicação em conflito, caixas de correio especiais e contas de serviço para o Azure AD Connect.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

A opção de filtragem positiva requer duas regras de sincronização.The positive filtering option requires two sync rules. Você precisa de uma regra (ou várias) com o escopo correto dos objetos que serão sincronizados.You need one rule (or several) with the correct scope of objects to synchronize. Você também precisa de uma segunda regra de sincronização pega-tudo que filtra todos os objetos ainda não identificados como um objeto a ser sincronizado.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

No exemplo a seguir, você só sincroniza os objetos de usuário quando o atributo de departamento tiver o valor Vendas.In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Entre no servidor que está executando a sincronização do Azure AD Connect usando uma conta que seja membro do grupo de segurança ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Inicie o Editor de Regras de Sincronização no menu Iniciar.Start Synchronization Rules Editor from the Start menu.
  3. Verifique se a opção Entrada está selecionada e clique em Adicionar Nova Regra.Make sure Inbound is selected, and click Add New Rule.
  4. Dê à regra um nome descritivo, como "Entrada do AD – Sincronização de Vendas de Usuário".Give the rule a descriptive name, such as "In from AD – User Sales sync". Selecione a floresta correta, Usuário como o Tipo de objeto do CS e Pessoa como o Tipo de objeto do MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Em Tipo de Link, selecione Junção.In Link Type, select Join. Em Precedência, digite um valor que não esteja sendo usado atualmente por outra regra de sincronização (por exemplo, 51). Em seguida, clique em Avançar.In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Descrição da entrada 4Inbound 4 description
  5. Em Filtro de escopo, clique em Adicionar Grupo e em Adicionar Cláusula.In Scoping filter, click Add Group, and click Add Clause. Em Atributo, selecione Departamento.In Attribute, select department. Verifique se Operador está definido como EQUAL e digite o valor Vendas na caixa Valor.Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Clique em Avançar.Click Next.
    Escopo da entrada 5Inbound 5 scope
  6. Deixe as regras de Junção vazias e clique em Avançar.Leave the Join rules empty, and then click Next.
  7. Clique em Adicionar Transformação, selecione Constant como FlowType e selecione cloudFiltered como o Atributo de Destino.Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. Na caixa Origem , digite False.In the Source box, type False. Clique em Adicionar para salvar a regra.Click Add to save the rule.
    Transformação da entrada 6Inbound 6 transformation
    Este é um caso especial em que você define cloudFiltered explicitamente como False.This is a special case where you explicitly set cloudFiltered to False.
  8. Agora temos de criar a regra de sincronização que captura tudo.We now have to create the catch-all sync rule. Dê à regra um nome descritivo, como "Entrada do AD – Filtro Captura Tudo Usuário".Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Selecione a floresta correta, Usuário como o Tipo de objeto do CS e Pessoa como o Tipo de objeto do MV.Select the correct forest, select User as the CS object type, and select Person as the MV object type. Em Tipo de Link, selecione Junção.In Link Type, select Join. Em Precedência, digite um valor que não esteja sendo usado atualmente por outra Regra de Sincronização (por exemplo, 99).In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). Você selecionou um valor de precedência mais alto (menor precedência) do que para a regra de sincronização anterior.You've selected a precedence value that is higher (lower precedence) than the previous sync rule. Mas você também deixou algum espaço para poder adicionar mais regras de sincronização de filtragem depois, quando quiser iniciar a sincronização de outros departamentos.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Clique em Avançar.Click Next.
    Descrição da entrada 7Inbound 7 description
  9. Deixe Filtro de escopo vazio e clique em Avançar.Leave Scoping filter empty, and click Next. Um filtro vazio indica que a regra deve ser aplicada a todos os objetos.An empty filter indicates that the rule is to be applied to all objects.
  10. Deixe as regras de Junção vazias e clique em Avançar.Leave the Join rules empty, and then click Next.
  11. Clique em Adicionar Transformação, selecione Constant como FlowType e selecione cloudFiltered como o Atributo de Destino.Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. Na caixa Origem , digite True.In the Source box, type True. Clique em Adicionar para salvar a regra.Click Add to save the rule.
    Transformação da entrada 3Inbound 3 transformation
  12. Para concluir a configuração, você precisa executar uma Sincronização completa. Continue a ler a seção Aplicar e verificar as alterações.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Se for necessário, você pode criar mais regras do primeiro tipo, para incluir outros objetos para sincronização.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Filtragem de saídaOutbound filtering

Em alguns casos, é necessário fazer a filtragem somente depois que os objetos já estiverem no metaverso.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Por exemplo, pode ser necessário examinar o atributo de email na floresta de recursos e o atributo userPrincipalName na floresta de contas para determinar se um objeto deve ser sincronizado.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. Nesses casos, você cria a filtragem na regra de saída.In these cases, you create the filtering on the outbound rule.

Neste exemplo, você altera a filtragem para que somente usuários com emails e o userPrincipalName terminados em @contoso.com sejam sincronizados:In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Entre no servidor que está executando a sincronização do Azure AD Connect usando uma conta que seja membro do grupo de segurança ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Inicie o Editor de Regras de Sincronização no menu Iniciar.Start Synchronization Rules Editor from the Start menu.
  3. Em Tipos de Regra, clique em Saída.Under Rules Type, click Outbound.
  4. Dependendo da versão do Connect que você usar, localize a regra nomeada Saída para AAD – Ingresso de usuário ou Saída para AAD - Usuário ingressado no SOAInAD e clique em Editar.Depending on the version of Connect you use, either find the rule named Out to AAD – User Join or Out to AAD - User Join SOAInAD, and click Edit.
  5. No pop-up, responda Sim para criar uma cópia da regra.In the pop-up, answer Yes to create a copy of the rule.
  6. Na página Descrição, altere Precedência para um valor não usado, por exemplo, 50.On the Description page, change Precedence to an unused value, such as 50.
  7. Clique em Filtro de escopo na barra de navegação à esquerda e clique em Adicionar cláusula.Click Scoping filter on the left-hand navigation, and then click Add clause. Em Atributo, selecione mail.In Attribute, select mail. Em Operador, selecione ENDSWITH.In Operator, select ENDSWITH. Na valor, digite @contoso.come, em seguida, clique em Adicionar cláusula.In Value, type @contoso.com, and then click Add clause. Em Atributo, selecione userPrincipalName.In Attribute, select userPrincipalName. Em Operador, selecione ENDSWITH.In Operator, select ENDSWITH. Na valor, digite @contoso.com.In Value, type @contoso.com.
  8. Clique em Salvar.Click Save.
  9. Para concluir a configuração, você precisa executar uma Sincronização completa. Continue a ler a seção Aplicar e verificar as alterações.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Aplicar e verificar as alteraçõesApply and verify changes

Depois de alterar as configurações, você precisa aplicá-las aos objetos já presentes no sistema.After you've made your configuration changes, you must apply them to the objects that are already present in the system. Os objetos que não estão presentes no mecanismo de sincronização talvez precisem ser processados (e o mecanismo de sincronização talvez precise ler o sistema de origem novamente para verificar seu conteúdo).It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Se tiver alterado a configuração usando a filtragem de domínio ou de unidade organizacional, você precisará fazer uma Importação completa seguida pela Sincronização Delta.If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

Se tiver alterado a configuração usando a filtragem de atributo, você precisará fazer uma Sincronização completa.If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Execute as seguintes etapas:Do the following steps:

  1. Inicie o Serviço de Sincronização no menu Iniciar.Start Synchronization Service from the Start menu.
  2. Selecione Conectores.Select Connectors. Na lista Conectores, selecione o conector cuja configuração você anteriormente.In the Connectors list, select the Connector where you made a configuration change earlier. Em Ações, selecione Executar.In Actions, select Run.
    Execução do conectorConnector run
  3. Em Perfis de execução, selecione a operação mencionada na seção anterior.In Run profiles, select the operation that was mentioned in the previous section. Se você precisar executar duas ações, execute a segunda após a conclusão da primeira.If you need to run two actions, run the second after the first one has finished. (A coluna Estado indica que o conector selecionado está Ocioso.)(The State column is Idle for the selected connector.)

Após a sincronização, todas as alterações serão preparadas para exportação.After the synchronization, all changes are staged to be exported. Antes de realmente fazer as alterações no Azure AD, convém verificar se todas essas alterações estão corretas.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Inicie um prompt de comando e vá para %Program Files%\Microsoft Azure AD Sync\bin.Start a command prompt, and go to %Program Files%\Microsoft Azure AD Sync\bin.
  2. Execute csexport "Name of Connector" %temp%\export.xml /f:x.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    O nome do conector pode ser encontrado no Serviço de Sincronização.The name of the Connector is in Synchronization Service. Ele tem um nome semelhante a "contoso.com – AAD" para o Azure AD.It has a name similar to "contoso.com – AAD" for Azure AD.
  3. Execute CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Agora você tem um arquivo em %temp% chamado export.csv que pode ser examinado no Microsoft Excel.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Esse arquivo contém todas as alterações que estão prestes a ser exportadas.This file contains all the changes that are about to be exported.
  5. Faça as alterações necessárias na configuração ou nos dados e execute essas etapas novamente (importar, sincronizar e verificar) até que você esteja satisfeito com as alterações que serão exportadas.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

Quando estiver satisfeito, exporte as alterações para o Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Selecione Conectores.Select Connectors. Na lista Conectores, selecione o conector do Azure AD.In the Connectors list, select the Azure AD Connector. Em Ações, selecione Executar.In Actions, select Run.
  2. Em Perfis de execução, selecione Exportar.In Run profiles, select Export.
  3. Se suas alterações na configuração excluírem vários objetos, você verá um erro na exportação quando o número for maior do que o limite configurado (por padrão, 500).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). Se você vir esse erro, será necessário desabilitar temporariamente o recurso “impedir exclusões acidentais”.If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

Agora é hora de habilitar o agendador novamente.Now it's time to enable the scheduler again.

  1. Inicie o Agendador de Tarefas no menu Iniciar.Start Task Scheduler from the Start menu.
  2. Diretamente na Biblioteca do Agendador de Tarefas, localize a tarefa chamada Agendador de Sincronização do Azure AD, clique com o botão direito do mouse e selecione Habilitar.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Filtragem baseada em grupoGroup-based filtering

Você pode configurar a filtragem baseada em grupo quando instalar o Azure AD Connect pela primeira vez usando a instalação personalizada.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Ela é destinada uma implantação piloto para sincronizar um pequeno conjunto de objetos.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. Se você desabilitar a filtragem baseada em grupo, ela não poderá ser habilitada novamente.When you disable group-based filtering, it can't be enabled again. Não há suporte para o uso da filtragem baseada em grupo em uma configuração personalizada.It's not supported to use group-based filtering in a custom configuration. Esse recurso só pode ser configurado com o assistente de instalação.It's only supported to configure this feature by using the installation wizard. Depois de concluir o piloto, você deve usar uma das outras opções de filtragem descritas neste tópico.When you've completed your pilot, then use one of the other filtering options in this topic. Ao usar a filtragem baseada em UO em conjunto com a filtragem baseada em grupos, as UOs em que o grupo e seus membros estão localizados devem ser incluídas.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

Durante a sincronização de várias florestas do AD, você pode configurar a filtragem baseada em grupo com a especificação de um grupo diferente para cada conector do AD.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Se você deseja sincronizar um usuário em uma floresta do AD e o mesmo usuário tiver um ou mais objetos correspondentes em outras florestas do AD, você deverá garantir que o objeto de usuário e todos os seus objetos correspondentes estejam dentro do escopo filtragem baseada no grupo.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Por exemplo:For examples:

  • Você tem um usuário em uma floresta que possui um objeto FSP (Entidade de Segurança Externa) correspondente em outra floresta.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. Ambos os objetos deverão estar dentro do escopo de filtragem baseada no grupo.Both objects must be within group-based filtering scope. Caso contrário, o usuário não será sincronizado com o Azure Active Directory.Otherwise, the user will not be synchronized to Azure AD.

  • Você tem um usuário em uma floresta que tenha uma conta de recurso correspondente (por exemplo, caixa de correio vinculada) em outra floresta.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. Além disso, você configurou o Azure AD Connect para vincular o usuário com a conta do recurso.Further, you have configured Azure AD Connect to link the user with the resource account. Ambos os objetos deverão estar dentro do escopo de filtragem baseada no grupo.Both objects must be within group-based filtering scope. Caso contrário, o usuário não será sincronizado com o Azure Active Directory.Otherwise, the user will not be synchronized to Azure AD.

  • Você tem um usuário em uma floresta que possui um contato correspondente em outra floresta.You have a user in one forest that has a corresponding mail contact in another forest. Além disso, você configurou o Azure AD Connect para vincular o usuário com o contato de correio.Further, you have configured Azure AD Connect to link the user with the mail contact. Ambos os objetos deverão estar dentro do escopo de filtragem baseada no grupo.Both objects must be within group-based filtering scope. Caso contrário, o usuário não será sincronizado com o Azure Active Directory.Otherwise, the user will not be synchronized to Azure AD.

Próximas etapasNext steps