Синхронизация Azure AD Connect: Настройка фильтрацииAzure AD Connect sync: Configure filtering

Возможность фильтрации позволяет управлять тем, какие объекты локального каталога будут синхронизированы с Azure Active Directory (Azure AD).By using filtering, you can control which objects appear in Azure Active Directory (Azure AD) from your on-premises directory. При конфигурации по умолчанию это все объекты во всех доменах настроенных лесов.The default configuration takes all objects in all domains in the configured forests. Эта конфигурация является рекомендуемой в большинстве случаев.In general, this is the recommended configuration. Пользователи системы Office 365, будь-то Exchange Online или Skype для бизнеса, могут использовать глобальный список адресов для отправки сообщений электронной почты и осуществления звонков по всем адресам.Users using Office 365 workloads, such as Exchange Online and Skype for Business, benefit from a complete Global Address List so they can send email and call everyone. Использование конфигурации по умолчанию позволяет им работать так же, как и с локальным экземпляром Exchange или Lync.With the default configuration, they would have the same experience that they would have with an on-premises implementation of Exchange or Lync.

Тем не менее в некоторых случаях в конфигурацию по умолчанию все же нужно внести некоторые изменения.In some cases however, you're required make some changes to the default configuration. Далее приводятся некоторые примеры.Here are some examples:

  • Если необходимо использовать топологию с несколькими каталогами Azure AD.You plan to use the multi-Azure AD directory topology. В таком случае необходимо применить фильтр, чтобы выбрать, какие объекты следует синхронизировать с определенным каталогом Azure AD.Then you need to apply a filter to control which objects are synchronized to a particular Azure AD directory.
  • Используется пилотная программа Azure или Office 365, и нужно синхронизировать с Azure AD только определенных пользователей.You run a pilot for Azure or Office 365 and you only want a subset of users in Azure AD. Если программа небольшого размера, всеми преимуществами можно воспользоваться и без глобального списка адресов.In the small pilot, it's not important to have a complete Global Address List to demonstrate the functionality.
  • Если не нужно синхронизировать с Azure AD много учетных записей служб и других рабочих учетных записей.You have many service accounts and other nonpersonal accounts that you don't want in Azure AD.
  • В целях обеспечения соответствия нельзя локально удалять учетные записи пользователей,For compliance reasons, you don't delete any user accounts on-premises. но можно их отключить.You only disable them. Однако с Azure AD необходимо синхронизировать только активные учетные записи.But in Azure AD, you only want active accounts to be present.

В этой статье описано, как настроить различные методы фильтрации.This article covers how to configure the different filtering methods.

Важно!

Мы поддерживаем изменение или использование служб синхронизации Azure AD Connect только в контексте официально задокументированных действий.Microsoft doesn't support modifying or operating Azure AD Connect sync outside of the actions that are formally documented. Любые иные действия могут привести к несогласованному или неподдерживаемому состоянию служб синхронизации Azure AD Connect. Для таких развертываний Майкрософт не предоставляет техническую поддержку.Any of these actions might result in an inconsistent or unsupported state of Azure AD Connect sync. As a result, Microsoft can't provide technical support for such deployments.

Основные сведения и важные примечанияBasics and important notes

В службах синхронизации Azure AD Connect фильтрацию можно включить в любое время.In Azure AD Connect sync, you can enable filtering at any time. Если вы сначала настроили синхронизацию каталогов с параметрами по умолчанию, а затем настроили фильтрацию, отфильтрованные объекты больше не будут синхронизироваться с Azure AD.If you start with a default configuration of directory synchronization and then configure filtering, the objects that are filtered out are no longer synchronized to Azure AD. В результате этого изменения все объекты в Azure AD, которые ранее были синхронизированы, а затем отфильтрованы, будут удалены из Azure AD.Because of this change, any objects in Azure AD that were previously synchronized but were then filtered are deleted in Azure AD.

Прежде чем внести изменения в параметры фильтрации, отключите запланированные задачи, чтобы случайно не выполнить экспорт неправильно измененных данных.Before you start making changes to filtering, make sure that you disable the scheduled task so you don't accidentally export changes that you haven't yet verified to be correct.

Поскольку в результате фильтрации можно одновременно удалить множество объектов, прежде чем экспортировать измененные данные в Azure AD, следует убедиться в правильности настроенных фильтров.Because filtering can remove many objects at the same time, you want to make sure that your new filters are correct before you start exporting any changes to Azure AD. После выполнения необходимых шагов по настройке, прежде чем выполнить экспорт и внести изменения в Azure AD, настоятельно рекомендуется выполнить шаги для проверки.After you've completed the configuration steps, we strongly recommend that you follow the verification steps before you export and make changes to Azure AD.

Функция предотвращения случайного удаления включена по умолчанию, что позволяет предотвратить случайное удаление множества объектов.To protect you from deleting many objects by accident, the feature "prevent accidental deletes" is on by default. При удалении объектов с использованием фильтрации (по умолчанию — 500) необходимо выполнить шаги, описанные в этой статье, чтобы удаление распространилось на Azure AD.If you delete many objects due to filtering (500 by default), you need to follow the steps in this article to allow the deletes to go through to Azure AD.

Если вы используете сборку, выпущенную до ноября 2015 года (1.0.9125), при внесении изменений в конфигурацию фильтра, когда используется синхронизация хэша паролей, необходимо активировать полную синхронизацию всех паролей после завершения настройки.If you use a build before November 2015 (1.0.9125), make a change to a filter configuration, and use password hash synchronization, then you need to trigger a full sync of all passwords after you've completed the configuration. Описание шагов по запуску полной синхронизации паролей см. в разделе Запуск полной синхронизации всех паролей.For steps on how to trigger a password full sync, see Trigger a full sync of all passwords. Если вы используете сборку 1.0.9125 или более поздней версии, при выборе стандартного действия полной синхронизации можно задать, какие пароли следует синхронизировать, что лишает необходимости в дополнительном шаге.If you're on build 1.0.9125 or later, then the regular full synchronization action also calculates whether passwords should be synchronized and if this extra step is no longer required.

Если объекты-пользователи случайно удалены в Azure AD в результате ошибки фильтрации, их можно воссоздать в этой службе, удалив настройки фильтрации.If user objects were inadvertently deleted in Azure AD because of a filtering error, you can recreate the user objects in Azure AD by removing your filtering configurations. Затем можно снова синхронизировать каталоги.Then you can synchronize your directories again. Это действие позволяет восстановить пользователей из корзины в Azure AD.This action restores the users from the recycle bin in Azure AD. Однако удаление объектов других типов отменить нельзя.However, you can't undelete other object types. Например, если вы случайно удалите группу безопасности, использованную в списках управления доступом к ресурсам, нельзя будет восстановить ни группу, ни соответствующие списки.For example, if you accidentally delete a security group and it was used to ACL a resource, the group and its ACLs can't be recovered.

Azure AD Connect удаляет только те объекты, которые соответствуют фильтру.Azure AD Connect only deletes objects that it has once considered to be in scope. Объекты Azure AD, созданные в результате работы другого модуля синхронизации и не соответствующие фильтру, удалены не будут.If there are objects in Azure AD that were created by another sync engine and these objects aren't in scope, adding filtering doesn't remove them. Например, если изначально вы использовали сервер DirSync, который создал полную копию всего каталога в Azure AD, а затем установили новый сервер синхронизации Azure AD Connect и в начале его работы была включена фильтрация, то Azure AD Connect не удалит объекты, созданные DirSync.For example, if you start with a DirSync server that created a complete copy of your entire directory in Azure AD, and you install a new Azure AD Connect sync server in parallel with filtering enabled from the beginning, Azure AD Connect doesn't remove the extra objects that are created by DirSync.

При установке Azure AD Connect или обновлении до новой версии сохраняются все имеющиеся конфигурации.The filtering configuration is retained when you install or upgrade to a newer version of Azure AD Connect. Перед выполнением первого цикла синхронизации мы настоятельно рекомендуем убедиться, что ваша конфигурация не была случайно изменена после обновления до новой версии.It's always a best practice to verify that the configuration wasn't inadvertently changed after an upgrade to a newer version before running the first synchronization cycle.

При наличии нескольких лесов параметры фильтрации, описанные в этой статье, нужно применить к каждому из них (если у всех лесов должна быть одинаковая конфигурация).If you have more than one forest, then you must apply the filtering configurations that are described in this topic to every forest (assuming that you want the same configuration for all of them).

Отключение запланированной задачиDisable the scheduled task

Чтобы отключить встроенный планировщик, запускающий цикл синхронизации каждые 30 минут, выполните следующие действия.To disable the built-in scheduler that triggers a synchronization cycle every 30 minutes, follow these steps:

  1. Перейдите к командной строке PowerShell.Go to a PowerShell prompt.
  2. Запустите Set-ADSyncScheduler -SyncCycleEnabled $False , чтобы отключить планировщик.Run Set-ADSyncScheduler -SyncCycleEnabled $False to disable the scheduler.
  3. Внесите изменения, описанные в этой статье.Make the changes that are documented in this article.
  4. Запустите Set-ADSyncScheduler -SyncCycleEnabled $True , чтобы снова включить планировщик.Run Set-ADSyncScheduler -SyncCycleEnabled $True to enable the scheduler again.

При использовании сборки Azure AD Connect до версии 1.1.105.0If you use an Azure AD Connect build before 1.1.105.0
Чтобы отключить запланированную задачу по запуску цикла синхронизации каждые три часа, сделайте следующее:To disable the scheduled task that triggers a synchronization cycle every three hours, follow these steps:

  1. В меню Пуск запустите планировщик задач.Start Task Scheduler from the Start menu.
  2. Прямо в каталоге Библиотека планировщика заданий найдите задачу с именем Azure AD Sync Scheduler (Планировщик синхронизации Azure AD Sync), щелкните ее правой кнопкой мыши и выберите пункт Отключить.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Disable.
    планировщик задачTask Scheduler
  3. Теперь можно внести изменения в конфигурацию и запустить модуль синхронизации вручную из консоли Synchronization Service Manager.You can now make configuration changes and run the sync engine manually from the Synchronization Service Manager console.

После внесения всех изменений в параметры фильтрации вернитесь обратно и снова выполните команду Включить для этой задачи.After you've completed all your filtering changes, don't forget to come back and Enable the task again.

Параметры фильтрацииFiltering options

В средстве синхронизации каталога можно настроить использование следующих типов конфигурации фильтрации:You can apply the following filtering configuration types to the directory synchronization tool:

  • По группам. Фильтрацию по одной группе можно настроить только при изначальной установке с помощью соответствующего мастера.Group-based: Filtering based on a single group can only be configured on initial installation by using the installation wizard.
  • По доменам. Этот параметр позволяет выбрать, какие домены следует синхронизировать в Azure AD.Domain-based: By using this option, you can select which domains synchronize to Azure AD. Также можно добавлять и удалять домены из модуля синхронизации при внесении изменений в локальную инфраструктуру после установки службы синхронизации Azure AD Connect.You can also add and remove domains from the sync engine configuration when you make changes to your on-premises infrastructure after you install Azure AD Connect sync.
  • На основе подразделения. Этот параметр позволяет выбрать, какие подразделения следует синхронизировать в Azure AD.Organizational unit (OU)–based: By using this option, you can select which OUs synchronize to Azure AD. Действие этого параметра распространяется на все типы объектов в выбранных подразделениях.This option is for all object types in selected OUs.
  • По атрибутам. Этот параметр позволяет фильтровать объекты по значениям атрибутов.Attribute-based: By using this option, you can filter objects based on attribute values on the objects. Кроме того, для объектов различных типов можно использовать разные фильтры.You can also have different filters for different object types.

Можно также одновременно использовать несколько параметров фильтрации.You can use multiple filtering options at the same time. Например, можно использовать фильтрацию по подразделению, чтобы включить объекты в одном подразделении,For example, you can use OU-based filtering to only include objects in one OU. и одновременно фильтрацию по атрибуту, чтобы сузить круг результатов.At the same time, you can use attribute-based filtering to filter the objects further. При использовании нескольких методов фильтрации между фильтрами ставится логический оператор AND.When you use multiple filtering methods, the filters use a logical "AND" between the filters.

Фильтрация по доменамDomain-based filtering

В этом разделе описана процедура настройки фильтра по доменам.This section provides you with the steps to configure your domain filter. Если вы установили Azure AD Connect, а затем добавили или удалили в лесу домены, вам также необходимо обновить конфигурацию фильтрации.If you added or removed domains in your forest after you installed Azure AD Connect, you also have to update the filtering configuration.

Для изменения фильтрации по доменам лучше всего запустить мастер установки и изменить фильтрацию домена и подразделения.The preferred way to change domain-based filtering is by running the installation wizard and changing domain and OU filtering. Мастер установки автоматизирует все описанные здесь задачи.The installation wizard automates all the tasks that are documented in this topic.

Выполнять эти действия вручную следует только в том случае, если мастер установки не удается запустить по какой-либо причине.You should only follow these steps if you're unable to run the installation wizard for some reason.

Настройка фильтрации по доменам предусматривает следующие шаги:Domain-based filtering configuration consists of these steps:

  1. Выберите домены, которые следует задействовать при синхронизации.Select the domains that you want to include in the synchronization.
  2. Настройте профили выполнения для каждого добавленного и удаленного домена.For each added and removed domain, adjust the run profiles.
  3. Примените и проверьте изменения.Apply and verify changes.

Выбор доменов для синхронизацииSelect the domains to be synchronized

Существует два способа для выбора доменов для синхронизации:There are two ways to select the domains to be synchronized: - С помощью службы синхронизацииUsing the Synchronization Service - С помощью мастера Azure AD Connect.Using the Azure AD Connect wizard.

Выбор доменов для синхронизации с помощью службы синхронизацииSelect the domains to be synchronized using the Synchronization Service

Настройка фильтрации по доменамTo set the domain filter, do the following steps:

  1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Запустите службу синхронизации из меню Пуск.Start Synchronization Service from the Start menu.
  3. Щелкните Соединители и в списке соединителей выберите элемент типа Доменные службы Active Directory.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. В разделе Действия выберите Свойства.In Actions, select Properties.
    Свойства соединителяConnector properties
  4. Щелкните Настроить разделы каталога.Click Configure Directory Partitions.
  5. В списке Select directory partitions (Выберите разделы каталога) выберите необходимые домены или отмените выбор.In the Select directory partitions list, select and unselect domains as needed. Должны быть выбраны только те разделы, которые следует синхронизировать.Verify that only the partitions that you want to synchronize are selected.
    СекцииPartitions
    Если вы изменили локальную инфраструктуру Active Directory и добавили или удалили домены в лесу, нажмите кнопку Обновить, чтобы получить обновленный список.If you've changed your on-premises Active Directory infrastructure and added or removed domains from the forest, then click the Refresh button to get an updated list. Во время обновления будет предложено ввести учетные данные.When you refresh, you're asked for credentials. Укажите учетные данные, с помощью которых можно получить доступ для чтения к Windows Server Active Directory.Provide any credentials with read access to Windows Server Active Directory. Убедитесь, что в этом диалоговом окне вы не используете предварительно заполненные данные пользователя.It doesn't have to be the user that is prepopulated in the dialog box.
    Требуется обновлениеRefresh needed
  6. Выполнив все действия, закройте диалоговое окно Свойства, нажав кнопку ОК.When you're done, close the Properties dialog by clicking OK. Если вы удалили домены из леса, появится всплывающее сообщение о том, что домен удален и конфигурация будет очищена.If you removed domains from the forest, a message pop-up says that a domain was removed and that configuration will be cleaned up.
  7. Продолжайте работу, чтобы настроить профили выполнения.Continue to adjust the run profiles.

Выбор доменов для синхронизации с помощью мастера Azure AD ConnectSelect the domains to be synchronized using the Azure AD Connect wizard

Настройка фильтрации по доменамTo set the domain filter, do the following steps:

  1. Запустите мастер Azure AD ConnectStart the Azure AD Connect wizard
  2. Нажмите Настроить.Click Configure.
  3. Выберите Настройка параметров синхронизации и нажмите кнопку Далее.Select Customize Synchronization Options and click Next.
  4. Введите учетные данные Azure AD.Enter your Azure AD credentials
  5. На подключенные каталоги откройте Далее.On the Connected Directories screen click Next.
  6. На доменов и Подразделений фильтрации страницы щелкните обновить.On the Domain and OU filtering page click Refresh. Теперь отображаются новые домены неблагоприятные и удаленные домены исчезнет.New domains ill now appear and deleted domains will disappear. СекцииPartitions

Обновление профилей выполненияUpdate the run profiles

После обновления фильтра доменов нужно также изменить профили выполнения.If you've updated your domain filter, you also need to update the run profiles.

  1. В списке Соединители выберите соединитель, настроенный на предыдущем шаге.In the Connectors list, make sure that the Connector that you changed in the previous step is selected. В разделе Действия выберите Configure Run Profiles (Настроить профили выполнения).In Actions, select Configure Run Profiles.
    Профили выполнения соединителя 1Connector run profiles 1
  2. Найдите и определите следующие профили:Find and identify the following profiles:
    • полный импорт;Full Import
    • полная синхронизация;Full Synchronization
    • импорт изменений;Delta Import
    • синхронизация изменений;Delta Synchronization
    • ЭкспортироватьExport
  3. Для каждого профиля настройте добавленные и удаленные домены.For each profile, adjust the added and removed domains.
    1. Выполните следующие действия для каждого из пяти профилей всех добавленных доменов:For each of the five profiles, do the following steps for each added domain:
      1. Выберите профиль выполнения и щелкните Новый шаг.Select the run profile and click New Step.
      2. На странице Configure Step (Настройка шага) в раскрывающемся меню Тип выберите тип шага с тем же именем, что и у настраиваемого профиля.On the Configure Step page, in the Type drop-down menu, select the step type with the same name as the profile that you're configuring. Затем нажмите кнопку Далее.Then click Next.
        Профили выполнения соединителя 2Connector run profiles 2
      3. На странице Connector Configuration (Настройка соединителя) в раскрывающемся списке Раздел выберите имя домена, добавленного в фильтр доменов.On the Connector Configuration page, in the Partition drop-down menu, select the name of the domain that you've added to your domain filter.
        Профили выполнения соединителя 3Connector run profiles 3
      4. Чтобы закрыть диалоговое окно Configure Run Profile (Настройка профиля выполнения), нажмите кнопку Готово.To close the Configure Run Profile dialog, click Finish.
    2. Выполните следующие действия для каждого из пяти профилей всех удаленных доменов:For each of the five profiles, do the following steps for each removed domain:
      1. Выберите профиль выполнения.Select the run profile.
      2. Если для атрибута Раздел в поле Значение указан GUID, то выберите шаг выполнения и нажмите кнопку Удалить шаг.If the Value of the Partition attribute is a GUID, select the run step and click Delete Step.
        Профили выполнения соединителя 4Connector run profiles 4
    3. Проверьте внесенные изменения.Verify your change. Каждый домен, который нужно синхронизировать, должен быть указан в качестве шага в каждом профиле выполнения.Each domain that you want to synchronize should be listed as a step in each run profile.
  4. Чтобы закрыть диалоговое окно Configure Run Profiles (Настройка профилей выполнения), нажмите кнопку ОК.To close the Configure Run Profiles dialog, click OK.
  5. Чтобы завершить настройку, необходимо выполнить полный импорт и разностную синхронизацию. Вернитесь к чтению раздела Применение и проверка изменений.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Фильтрация по подразделениямOrganizational unit–based filtering

Для изменения фильтрации по подразделениям лучше всего запустить мастер установки и изменить фильтрацию по доменам и подразделениям.The preferred way to change OU-based filtering is by running the installation wizard and changing domain and OU filtering. Мастер установки автоматизирует все описанные здесь задачи.The installation wizard automates all the tasks that are documented in this topic.

Выполнять эти действия вручную следует только в том случае, если мастер установки не удается запустить по какой-либо причине.You should only follow these steps if you're unable to run the installation wizard for some reason.

Чтобы настроить фильтрацию по подразделениям, сделайте следующее:To configure organizational unit–based filtering, do the following steps:

  1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. Запустите службу синхронизации из меню Пуск.Start Synchronization Service from the Start menu.
  3. Щелкните Соединители и в списке соединителей выберите элемент типа Доменные службы Active Directory.Select Connectors, and in the Connectors list, select the Connector with the type Active Directory Domain Services. В разделе Действия выберите Свойства.In Actions, select Properties.
    Свойства соединителяConnector properties
  4. Щелкните Configure Directory Partitions (Настроить разделы каталога), выберите домен, который нужно настроить, а затем щелкните Контейнеры.Click Configure Directory Partitions, select the domain that you want to configure, and then click Containers.
  5. Когда отобразится запрос, укажите учетные данные, с помощью которых можно получить доступ для чтения к локальному экземпляру Active Directory.When you're prompted, provide any credentials with read access to your on-premises Active Directory. Убедитесь, что в этом диалоговом окне вы не используете предварительно заполненные данные пользователя.It doesn't have to be the user that is prepopulated in the dialog box.
  6. В диалоговом окне Select Containers (Выбор контейнеров) удалите подразделения, которые не нужно синхронизировать с облачным каталогом, и нажмите кнопку ОК.In the Select Containers dialog box, clear the OUs that you don’t want to synchronize with the cloud directory, and then click OK.
    Подразделения в диалоговом окне Select Containers (Выбор контейнеров)OUs in the Select Containers dialog box
    • Чтобы синхронизация компьютеров Windows 10 с Azure AD прошла успешно, должен быть установлен флажок для контейнера Компьютеры .The Computers container should be selected for your Windows 10 computers to be successfully synchronized to Azure AD. Если компьютеры, присоединенные к домену, находятся в других подразделениях, выберите соответствующие подразделения.If your domain-joined computers are located in other OUs, make sure those are selected.
    • При наличии нескольких доверенных лесов должен быть установлен флажок для контейнера ForeignSecurityPrincipals .The ForeignSecurityPrincipals container should be selected if you have multiple forests with trusts. Этот контейнер позволяет разрешить членство в группе безопасности между лесами.This container allows cross-forest security group membership to be resolved.
    • Если включена функция обратной записи устройств, должен быть установлен флажок для подразделения RegisteredDevices.The RegisteredDevices OU should be selected if you enabled the device writeback feature. Если используется другая функция обратной записи, такая как обратная запись группы, выберите соответствующие расположения.If you use another writeback feature, such as group writeback, make sure these locations are selected.
    • Выберите все подразделения, к которым принадлежат объекты контейнеров «Пользователи», iNetOrgPersons, «Группы», «Контакты» и «Компьютеры».Select any other OU where Users, iNetOrgPersons, Groups, Contacts, and Computers are located. На рисунке показано, что все они находятся в подразделении ManagedObjects.In the picture, all these OUs are located in the ManagedObjects OU.
    • При использовании фильтрации на основе группы подразделение, где находится группа, должно быть включено.If you use group-based filtering, then the OU where the group is located must be included.
    • Обратите внимание, что можно настроить, следует ли синхронизировать новые подразделения, добавленные после завершения настройки фильтрации.Note that you can configure whether new OUs that are added after the filtering configuration finishes are synchronized or not synchronized. подробности приведены в следующем разделе.See the next section for details.
  7. Выполнив все действия, закройте диалоговое окно Свойства, нажав кнопку ОК.When you're done, close the Properties dialog by clicking OK.
  8. Чтобы завершить настройку, необходимо выполнить полный импорт и разностную синхронизацию. Вернитесь к чтению раздела Применение и проверка изменений.To complete the configuration, you need to run a Full import and a Delta sync. Continue reading the section Apply and verify changes.

Синхронизация новых подразделенийSynchronize new OUs

Новые подразделения, созданные после настройки фильтрации, синхронизируются по умолчанию.New OUs that are created after filtering has been configured are synchronized by default. Это состояние обозначается установленным флажком.This state is indicated by a selected check box. С некоторых подразделений можно снять флажки.You can also unselect some sub-OUs. Для этого щелкайте поле, пока оно не станет белым и не будет содержать синий флажок (состояние по умолчанию).To get this behavior, click the box until it becomes white with a blue check mark (its default state). Затем снимите флажки для подразделений, которые не нужно синхронизировать.Then unselect any sub-OUs that you don't want to synchronize.

Если синхронизируются все отделы, поле будет белым с синим флажком.If all sub-OUs are synchronized, then the box is white with a blue check mark.
Подразделение со всеми установленными флажками

Если некоторые отделы не были выбраны, то поля будут серыми с белым флажком.If some sub-OUs have been unselected, then the box is gray with a white check mark.
Подразделение, где не выбраны некоторые отделы

С этой конфигурацией новое подразделение, созданное в ManagedObjects, синхронизируется.With this configuration, a new OU that was created under ManagedObjects is synchronized.

Мастер установки Azure AD Connect всегда создает такую конфигурацию.The Azure AD Connect installation wizard always creates this configuration.

Как не синхронизировать новые подразделенияDon't synchronize new OUs

В модуле синхронизации можно настроить так, чтобы он не синхронизировал новые подразделения после завершения настройки фильтрации.You can configure the sync engine to not synchronize new OUs after the filtering configuration has finished. При таком состоянии в пользовательском интерфейсе поле будет полностью серое и без флажка.This state is indicated in the UI by the box appearing solid gray with no check mark. Для этого щелкайте поле, пока оно не станет белым без флажка.To get this behavior, click the box until it becomes white with no check mark. Затем выберите подразделения, которые требуется синхронизировать.Then select the sub-OUs that you want to synchronize.

Подразделение, где снят корневой флажок

С этой конфигурацией синхронизируется новое подразделение, созданное в ManagedObjects.With this configuration, a new OU that was created under ManagedObjects isn't synchronized.

Фильтрация по атрибутамAttribute-based filtering

Прежде чем выполнить следующие действия, убедитесь, что вы используете сборку, выпущенную в ноябре 2015 г. (1.0.9125), или более поздней версии.Make sure that you're using the November 2015 (1.0.9125) or later build for these steps to work.

Важно!

Корпорация Майкрософт не рекомендует изменять правила по умолчанию, созданные с помощью Azure AD Connect.Microsoft recommends to not modify the default rules created by Azure AD Connect. Если вы хотите изменить правило, клонируйте его и отключите исходное правило.If you want to modify the rule, then clone it, and disable the original rule. Внесите любые изменения в клонированное правило.Make any changes to the cloned rule. Обратите внимание, что при этом (отключении исходного правила) вы пропустите все исправления ошибок или функции, включенные с помощью этого правила.Please note that by doing so (disabling original rule) you will miss any bug fixes or features enabled through that rule.

Фильтрация на основе атрибутов — самый гибкий способ отфильтровать объекты.Attribute-based filtering is the most flexible way to filter objects. Чтобы контролировать все аспекты, касающиеся времени синхронизации объектов с Azure AD, можно использовать функцию декларативной подготовки.You can use the power of declarative provisioning to control almost every aspect of when an object is synchronized to Azure AD.

Фильтрацию можно применять ко входящим объектам из Active Directory в метавселенной и к исходящим объектам из метавселенной в Azure AD.You can apply inbound filtering from Active Directory to the metaverse, and outbound filtering from the metaverse to Azure AD. Мы рекомендуем использовать самый простой метод фильтрации — по входящим объектам.We recommend that you apply inbound filtering because that is the easiest to maintain. Фильтрацию по исходящим объектам следует использовать, только если это необходимо для присоединения объектов из нескольких лесов, чтобы выполнить оценку.You should only use outbound filtering if it's required to join objects from more than one forest before the evaluation can take place.

Фильтрация входящих объектовInbound filtering

Для фильтрации по входящим объектам используется конфигурация по умолчанию: для атрибута метавселенной cloudFiltered синхронизируемых объектов, которые передаются в Azure AD, не задано значение.Inbound filtering uses the default configuration, where objects going to Azure AD must have the metaverse attribute cloudFiltered not set to a value to be synchronized. Если для атрибута задано значение True, то объект не синхронизируется.If this attribute's value is set to True, then the object isn't synchronized. Для этого параметра не следует устанавливать значение False.It shouldn't be set to False, by design. Чтобы можно было передавать значение с помощью других правил, у этого атрибута должно быть значение True или NULL (значение отсутствует).To make sure other rules have the ability to contribute a value, this attribute is only supposed to have the values True or NULL (absent).

Для фильтрации по входящим объектам мы будем использовать область, чтобы определить, какие объекты следует или не следует синхронизировать.In inbound filtering, you use the power of scope to determine which objects to synchronize or not synchronize. Эта процедура предназначена для внесения изменений в соответствии с требованиями вашей организации.This is where you make adjustments to fit your own organization's requirements. Модуль области использует группу и предложение, чтобы определить, распространяется ли правило синхронизации на область.The scope module has a group and a clause to determine when a sync rule is in scope. В группе может содержаться одно или несколько предложений.A group contains one or many clauses. Если предложений несколько, в качестве их разделителя используется логический оператор AND, а при наличии нескольких групп — оператор OR.There is a logical "AND" between multiple clauses, and a logical "OR" between multiple groups.

Вот пример.Let us look at an example:
ОбластьScope
Его следует рассматривать так: (department = IT) OR (department = Sales AND c = US) .This should be read as (department = IT) OR (department = Sales AND c = US).

В следующих образцах кода и шагах в качестве примера используется объект-пользователь, но их можно использовать для объектов любого типа.In the following samples and steps, you use the user object as an example, but you can use this for all object types.

В следующих примерах значение приоритета начинается с 50.In the following samples, the precedence value starts with 50. Это может быть любое число меньше 100, которое еще не используется.This can be any number not used, but should be lower than 100.

Отрицательная фильтрация (выбор объектов, которые не следует синхронизировать)Negative filtering: "do not sync these"

В примере ниже отфильтруем (но не синхронизируем) всех пользователей для атрибута extensionAttribute15 с заданным значением NoSync.In the following example, you filter out (not synchronize) all users where extensionAttribute15 has the value NoSync.

  1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. В меню Пуск запустите редактор правил синхронизации.Start Synchronization Rules Editor from the Start menu.
  3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).Make sure Inbound is selected, and click Add New Rule.
  4. Задайте для правила описательное имя, например In from AD – User DoNotSyncFilter.Give the rule a descriptive name, such as "In from AD – User DoNotSyncFilter". Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. В поле Тип связи выберите Join (Присоединение).In Link Type, select Join. В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 50), и нажмите кнопку Далее.In Precedence, type a value that isn't currently used by another synchronization rule (for example 50), and then click Next.
    Описание входящего объекта 1Inbound 1 description
  5. В поле Scoping filter (Фильтр области действия) выберите Добавить группу и щелкните Добавить предложение.In Scoping filter, click Add Group, and click Add Clause. В поле Атрибут выберите ExtensionAttribute15.In Attribute, select ExtensionAttribute15. В качестве оператора выберите EQUAL и в поле Значение введите NoSyn.Make sure that Operator is set to EQUAL, and type the value NoSync in the Value box. Нажмите кнопку Далее.Click Next.
    Область входящего объекта 2Inbound 2 scope
  6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.Leave the Join rules empty, and then click Next.
  7. Щелкните Add Transformation (Добавить преобразование), для параметра FlowType (Тип потока) выберите значение Константа, а для параметра Целевой атрибут — значение cloudFiltered.Click Add Transformation, select the FlowType as Constant, and select cloudFiltered as the Target Attribute. В текстовом поле Источник введите значение True.In the Source text box, type True. Щелкните Добавить , чтобы сохранить правило.Click Add to save the rule.
    Преобразование входящего объекта 3Inbound 3 transformation
  8. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Вернитесь к чтению раздела Применение и проверка изменений.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Положительная фильтрация (выбор объектов, которые нужно синхронизировать)Positive filtering: "only sync these"

Настройка положительной фильтрации может оказаться более сложной задачей, так как нужно учесть объекты, для которых необходимость синхронизации не очевидна, например конференц-залы.Expressing positive filtering can be more challenging because you also have to consider objects that aren't obvious to be synchronized, such as conference rooms. Необходимо также переопределить фильтр по умолчанию в стандартном правиле In from AD - User Join.You are also going to override the default filter in the out-of-box rule In from AD - User Join. При создании пользовательского фильтра убедитесь, что он не включает в себя критически важные системные объекты, конфликтующие объекты репликации, специальные почтовые ящики и учетные записи служб для Azure AD Connect.When you create your custom filter, make sure to not include critical system objects, replication conflict objects, special mailboxes, and the service accounts for Azure AD Connect.

Использование параметра положительной фильтрации требует настройки двух правил синхронизации.The positive filtering option requires two sync rules. В одном правиле (но их может быть несколько) следует учесть правильную область объектов, которые нужно синхронизировать,You need one rule (or several) with the correct scope of objects to synchronize. а другое правило должно быть универсальным, чтобы отсеять все объекты, не соответствующие объектам, подлежащим синхронизации.You also need a second catch-all sync rule that filters out all objects that haven't yet been identified as an object that should be synchronized.

В примере ниже синхронизируем только объекты-пользователи, у которых для атрибута department задано значение Sales.In the following example, you only synchronize user objects where the department attribute has the value Sales.

  1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. В меню Пуск запустите редактор правил синхронизации.Start Synchronization Rules Editor from the Start menu.
  3. Выберите параметр Входящие и щелкните Add New Rule (Добавить новое правило).Make sure Inbound is selected, and click Add New Rule.
  4. Задайте для правила описательное имя, например In from AD – User Sales sync.Give the rule a descriptive name, such as "In from AD – User Sales sync". Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. В поле Тип связи выберите Join (Присоединение).In Link Type, select Join. В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 51), и нажмите кнопку Далее.In Precedence, type a value that isn't currently used by another synchronization rule (for example 51), and then click Next.
    Описание входящего объекта 4Inbound 4 description
  5. В поле Scoping filter (Фильтр области действия) выберите Добавить группу и щелкните Добавить предложение.In Scoping filter, click Add Group, and click Add Clause. В разделе Атрибут выберите department.In Attribute, select department. В качестве оператора выберите EQUAL, а в поле Значение введите Sales.Make sure that Operator is set to EQUAL, and type the value Sales in the Value box. Нажмите кнопку Далее.Click Next.
    Область входящего объекта 5Inbound 5 scope
  6. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.Leave the Join rules empty, and then click Next.
  7. Щелкните Add Transformation (Добавить преобразование), для параметра FlowType (Тип потока) выберите значение Константа, а для параметра Целевой атрибут — значение sourceObjectType.Click Add Transformation, select Constant as the FlowType, and select the cloudFiltered as the Target Attribute. В поле Источник введите значение False.In the Source box, type False. Щелкните Добавить , чтобы сохранить правило.Click Add to save the rule.
    Преобразование входящего объекта 6Inbound 6 transformation
    Это особый случай, когда явно требуется задать для параметра cloudFiltered значение False.This is a special case where you explicitly set cloudFiltered to False.
  8. Теперь универсальное правило синхронизации создано.We now have to create the catch-all sync rule. Задайте для правила описательное имя, напримерIn from AD — User Catch-all filter.Give the rule a descriptive name, such as "In from AD – User Catch-all filter". Выберите правильный лес, значение Пользователь для параметра CS object type (Тип объекта CS) и Person (Человек) для параметра MV object type (Тип объекта MV).Select the correct forest, select User as the CS object type, and select Person as the MV object type. В поле Тип связи выберите Join (Присоединение).In Link Type, select Join. В поле Приоритет введите значение, которое не используется в другом правиле синхронизации (например, 99).In Precedence, type a value that isn't currently used by another Synchronization Rule (for example 99). Выбрано значение приоритета выше (с низшим приоритетом), чем у предыдущего правила синхронизации,You've selected a precedence value that is higher (lower precedence) than the previous sync rule. но мы оставили интервал между этими значениями, чтобы в дальнейшем можно было добавить дополнительные правила фильтрации для синхронизации, если нужно будет дополнительно синхронизировать отделы.But you've also left some room so that you can add more filtering sync rules later when you want to start synchronizing additional departments. Нажмите кнопку Далее.Click Next.
    Описание входящего объекта 7Inbound 7 description
  9. Оставьте поле Scoping filter (Фильтр области) пустым и нажмите кнопку Далее.Leave Scoping filter empty, and click Next. Если поле фильтра пустое, правило применяется ко всем объектам.An empty filter indicates that the rule is to be applied to all objects.
  10. Оставьте правила объединения (Join rules) пустыми и нажмите кнопку Далее.Leave the Join rules empty, and then click Next.
  11. Щелкните Add Transformation (Добавить преобразование), выберите значение Константа в качестве параметра FlowType (Тип потока) и cloudFiltered для параметра Целевой атрибут.Click Add Transformation, select Constant as the FlowType, and select cloudFiltered as the Target Attribute. В поле Источник введите значение True.In the Source box, type True. Щелкните Добавить , чтобы сохранить правило.Click Add to save the rule.
    Преобразование входящего объекта 3Inbound 3 transformation
  12. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Вернитесь к чтению раздела Применение и проверка изменений.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

При необходимости можно создать дополнительные правила первого типа в примере, к которому мы добавляли объекты для синхронизации.If you need to, you can create more rules of the first type where you include more objects in the synchronization.

Фильтрация исходящих объектовOutbound filtering

В некоторых случаях фильтрацию необходимо выполнять только после объединения объектов в метавселенной.In some cases, it's necessary to do the filtering only after the objects have joined in the metaverse. Например, определение объектов для синхронизации может выполняться на основе атрибута mail из леса ресурсов и атрибута userPrincipalName из леса учетных записей.For example, it might be necessary to look at the mail attribute from the resource forest, and the userPrincipalName attribute from the account forest, to determine if an object should be synchronized. В таких случаях нужно создать фильтр на основе исходящего правила.In these cases, you create the filtering on the outbound rule.

В примере ниже мы изменим фильтрацию так, чтобы синхронизировались только пользователи, значения атрибутов mail и userPrincipalName которых заканчиваются на @contoso.com.In this example, you change the filtering so that only users that have both their mail and userPrincipalName ending in @contoso.com are synchronized:

  1. Войдите на сервер, на котором запущена служба синхронизации Azure AD Connect, используя данные учетной записи участника группы безопасности ADSyncAdmins .Sign in to the server that is running Azure AD Connect sync by using an account that is a member of the ADSyncAdmins security group.
  2. В меню Пуск запустите редактор правил синхронизации.Start Synchronization Rules Editor from the Start menu.
  3. В разделе Rules Type (Тип правил) выберите Outbound (Исходящие).Under Rules Type, click Outbound.
  4. В зависимости от используемой версии Connect, найдите правило Out to AAD — User Join или Out to AAD — User Join SOAInAD и нажмите кнопку Изменить.Depending on the version of Connect you use, either find the rule named Out to AAD – User Join or Out to AAD - User Join SOAInAD, and click Edit.
  5. Во всплывающем окне нажмите кнопку Да , чтобы создать копию правила.In the pop-up, answer Yes to create a copy of the rule.
  6. На странице Описание измените приоритет, установив неиспользуемое значение, например 50.On the Description page, change Precedence to an unused value, such as 50.
  7. В области навигации слева щелкните Scoping filter (Фильтр области), а затем щелкните Добавить предложение.Click Scoping filter on the left-hand navigation, and then click Add clause. В разделе Атрибут выберите mail.In Attribute, select mail. В разделе Оператор выберите ENDSWITH.In Operator, select ENDSWITH. В значение, тип @contoso.com, а затем нажмите кнопку добавить предложение.In Value, type @contoso.com, and then click Add clause. В разделе Атрибут выберите userPrincipalName.In Attribute, select userPrincipalName. В разделе Оператор выберите ENDSWITH.In Operator, select ENDSWITH. В значение, тип @contoso.com.In Value, type @contoso.com.
  8. Выберите команду Сохранить.Click Save.
  9. Чтобы завершить настройку, необходимо выполнить полную синхронизацию. Вернитесь к чтению раздела Применение и проверка изменений.To complete the configuration, you need to run a Full sync. Continue reading the section Apply and verify changes.

Примените и проверьте измененияApply and verify changes

После внесения изменений в конфигурацию их необходимо применить к объектам, которые уже есть в системе.After you've made your configuration changes, you must apply them to the objects that are already present in the system. Кроме того, могут быть объекты, которые отсутствуют в модуле синхронизации, но их нужно обработать. Для этого модулю синхронизации нужно еще раз выполнить чтение из исходной системы, чтобы проверить ее содержимое.It might also be that the objects that aren't currently in the sync engine should be processed (and the sync engine needs to read the source system again to verify its content).

Если для изменения конфигурации вы использовали фильтрацию по доменам или подразделениям, необходимо выполнить полный импорт, а затем синхронизацию изменений.If you changed the configuration by using domain or organizational-unit filtering, then you need to do a Full import, followed by Delta synchronization.

Если для изменения конфигурации использовалась фильтрация по атрибутам, необходимо выполнить полную синхронизацию.If you changed the configuration by using attribute filtering, then you need to do a Full synchronization.

Сделайте следующее:Do the following steps:

  1. Запустите службу синхронизации из меню Пуск.Start Synchronization Service from the Start menu.
  2. Выберите Соединители.Select Connectors. В списке соединителей выберите элемент, конфигурация которого ранее была изменена.In the Connectors list, select the Connector where you made a configuration change earlier. В разделе Действия выберите Запуск.In Actions, select Run.
    Выполнение соединителяConnector run
  3. В разделе Run profiles (Профили выполнения) выберите операцию, о которой шла речь в предыдущем разделе.In Run profiles, select the operation that was mentioned in the previous section. Если необходимо выполнить два действия, запустите второе после завершения первогоIf you need to run two actions, run the second after the first one has finished. (в столбце Состояние выбранного соединителя должно быть указано Неактивно).(The State column is Idle for the selected connector.)

После запуска синхронизации будут экспортированы все изменения.After the synchronization, all changes are staged to be exported. Прежде чем применить изменения напрямую в Azure AD, следует проверить их правильность.Before you actually make the changes in Azure AD, you want to verify that all these changes are correct.

  1. Откройте командную строку и перейдите в каталог %Program Files%\Microsoft Azure AD Sync\bin.Start a command prompt, and go to %Program Files%\Microsoft Azure AD Sync\bin.
  2. Запустите csexport "Name of Connector" %temp%\export.xml /f:x.Run csexport "Name of Connector" %temp%\export.xml /f:x.
    Имя соединителя можно найти в службе синхронизации.The name of the Connector is in Synchronization Service. Это будет имя наподобие "contoso.com — AAD" для Azure AD.It has a name similar to "contoso.com – AAD" for Azure AD.
  3. Запустите CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.Run CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
  4. Теперь у вас в папке %temp% есть файл export.csv, который можно просмотреть в Microsoft Excel.You now have a file in %temp% named export.csv that can be examined in Microsoft Excel. Этот файл содержит все изменения, которые будут экспортированы.This file contains all the changes that are about to be exported.
  5. Внесите необходимые изменения в данные и конфигурацию, а затем выполните описанные выше действия (импорт, синхронизация и проверка) повторно, чтобы привести изменения, которые предстоит экспортировать, в нужный вид.Make the necessary changes to the data or configuration, and run these steps again (Import, Synchronize, and Verify) until the changes that are about to be exported are what you expect.

После выполнения этих действий экспортируйте изменения в Azure AD.When you're satisfied, export the changes to Azure AD.

  1. Выберите Соединители.Select Connectors. В списке соединителей выберите соединитель Azure AD.In the Connectors list, select the Azure AD Connector. В разделе Действия выберите Запуск.In Actions, select Run.
  2. В разделе Run profiles (Профили выполнения) выберите Экспорт.In Run profiles, select Export.
  3. Если в результате изменения конфигурации будет удалено слишком много объектов, вы увидите ошибку во время экспорта, если их количество превышает пороговое значение (по умолчанию — 500).If your configuration changes delete many objects, then you see an error in the export when the number is more than the configured threshold (by default 500). В случае возникновения ошибки необходимо временно отключить функцию предотвращения случайного удаления.If you see this error, then you need to temporarily disable the "prevent accidental deletes" feature.

Теперь можно снова включить планировщик.Now it's time to enable the scheduler again.

  1. В меню Пуск запустите планировщик задач.Start Task Scheduler from the Start menu.
  2. Прямо в каталоге Библиотека планировщика заданий найдите задачу с именем Azure AD Sync Scheduler (Планировщик синхронизации Azure AD Sync), щелкните ее правой кнопкой мыши и выберите пункт Включить.Directly under Task Scheduler Library, find the task named Azure AD Sync Scheduler, right-click, and select Enable.

Фильтрация на основе группыGroup-based filtering

Фильтрацию на основе группы можно настроить при первоначальной установке Azure AD Connect, если выбран вариант выборочной установки.You can configure group-based filtering the first time that you install Azure AD Connect by using custom installation. Она предназначена для пилотного развертывания, в котором должно синхронизироваться только небольшое количество объектов.It's intended for a pilot deployment where you want only a small set of objects to be synchronized. После отключения фильтрацию на основе группы невозможно будет включить заново.When you disable group-based filtering, it can't be enabled again. Не поддерживается использование фильтрации на основе группы в настраиваемой конфигурации.It's not supported to use group-based filtering in a custom configuration. Эту функцию можно настроить только с помощью мастера установки.It's only supported to configure this feature by using the installation wizard. После завершения пилотного проекта следует использовать какой-либо другой метод фильтрации, описанный в этой статье.When you've completed your pilot, then use one of the other filtering options in this topic. Если вы используете фильтрацию по подразделениям в сочетании с фильтрацией по группам, следует включить подразделения, содержащие группы и их участников.When using OU-based filtering in conjunction with group-based filtering, the OU(s) where the group and its members are located must be included.

При синхронизации нескольких лесов AD можно настроить фильтрацию по группам, указав отдельные группы для каждого соединителя AD.When synchronizing multiple AD forests, you can configure group-based filtering by specifying a different group for each AD connector. Если нужно синхронизировать пользователя в одном лесу AD и у этого пользователя есть несколько соответствующих объектов в других лесах AD, необходимо убедиться, что на объект пользователя и все соответствующие объекты распространяется фильтрация на основе групп.If you wish to synchronize a user in one AD forest and the same user has one or more corresponding objects in other AD forests, you must ensure that the user object and all its corresponding objects are within group-based filtering scope. Примеры приведены ниже.For examples:

  • У пользователя в одном лесу имеется соответствующий объект FSP (внешний субъект безопасности) в другом лесу.You have a user in one forest that has a corresponding FSP (Foreign Security Principal) object in another forest. На оба объекта должна распространяться фильтрация на основе групп.Both objects must be within group-based filtering scope. В противном случае пользователь не будет синхронизирован с Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • У пользователя в одном лесу имеется соответствующая учетная запись ресурса (например, связанный почтовый ящик) в другом лесу.You have a user in one forest that has a corresponding resource account (e.g., linked mailbox) in another forest. Кроме того, вы настроили Azure AD Connect, чтобы связать данного пользователя с этой учетной записью ресурса.Further, you have configured Azure AD Connect to link the user with the resource account. На оба объекта должна распространяться фильтрация на основе групп.Both objects must be within group-based filtering scope. В противном случае пользователь не будет синхронизирован с Azure AD.Otherwise, the user will not be synchronized to Azure AD.

  • У пользователя в одном лесу имеется соответствующий почтовый контакт в другом лесу.You have a user in one forest that has a corresponding mail contact in another forest. Кроме того, вы настроили Azure AD Connect, чтобы связать данного пользователя с эти почтовым контактом.Further, you have configured Azure AD Connect to link the user with the mail contact. На оба объекта должна распространяться фильтрация на основе групп.Both objects must be within group-based filtering scope. В противном случае пользователь не будет синхронизирован с Azure AD.Otherwise, the user will not be synchronized to Azure AD.

Дальнейшие действияNext steps