Azure AD Connect-synkronisering: Konfigurera filtrering

Med hjälp av filtrering kan du styra vilka objekt som Azure Active Directory (Azure AD) från din lokala katalog. Standardkonfigurationen tar alla objekt i alla domäner i de konfigurerade skogarna. I allmänhet är detta den rekommenderade konfigurationen. Användare som Microsoft 365 arbetsbelastningar, till exempel Exchange Online och Skype för företag, drar nytta av en fullständig global adresslista så att de kan skicka e-post och ringa alla. Med standardkonfigurationen skulle de ha samma upplevelse som de skulle ha med en lokal implementering av Exchange eller Lync.

I vissa fall måste du dock göra vissa ändringar i standardkonfigurationen. Här är några exempel:

• Du planerar att använda katalogtopologin för flera Azure AD-kataloger. Sedan måste du använda ett filter för att styra vilka objekt som synkroniseras till en viss Azure AD-katalog.
• Du kör ett pilottest för Azure eller Microsoft 365 och du vill bara ha en delmängd av användarna i Azure AD. I det lilla pilottestet är det inte viktigt att ha en fullständig global adresslista för att demonstrera funktionerna.
• Du har många tjänstkonton och andra icke-personliga konton som du inte vill ha i Azure AD.
• Av efterlevnadsskäl tar du inte bort några användarkonton lokalt. Du inaktiverar dem bara. Men i Azure AD vill du bara att aktiva konton ska finnas.

Den här artikeln beskriver hur du konfigurerar de olika filtreringsmetoderna.

Grundläggande information och viktiga kommentarer

I Azure AD Anslut kan du aktivera filtrering när som helst. Om du börjar med en standardkonfiguration av katalogsynkronisering och sedan konfigurerar filtrering synkroniseras inte längre de objekt som filtreras bort till Azure AD. På grund av den här ändringen tas alla objekt i Azure AD som tidigare synkroniserades men sedan filtrerades bort i Azure AD.

Innan du börjar göra ändringar i filtreringen måste du inaktivera den schemalagda aktiviteten så att du inte av misstag exporterar ändringar som du ännu inte har verifierat är korrekta.

Eftersom filtrering kan ta bort många objekt samtidigt vill du se till att dina nya filter är korrekta innan du börjar exportera ändringar till Azure AD. När du har slutfört konfigurationsstegen rekommenderar vi starkt att du följer verifieringsstegen innan du exporterar och gör ändringar i Azure AD.

För att skydda dig från att ta bort många objekt av misstag ärfunktionen "förhindra oavsiktliga borttagningar"på som standard. Om du tar bort många objekt på grund av filtrering (500 som standard) måste du följa stegen i den här artikeln så att borttagningarna kan gå vidare till Azure AD.

Om du använder en version före november 2015 (1.0.9125), gör en ändring i en filterkonfiguration och använder synkronisering av lösenordshashar, måste du utlösa en fullständig synkronisering av alla lösenord när du har slutfört konfigurationen. Anvisningar om hur du utlöser en fullständig lösenordssynkronisering finns i Utlösa en fullständig synkronisering av alla lösenord. Om du använder version 1.0.9125 eller senare beräknar den vanliga fullständiga synkroniseringsåtgärden även om lösenord ska synkroniseras och om det här extra steget inte längre krävs.

Om användarobjekt oavsiktligt togs bort i Azure AD på grund av ett filtreringsfel kan du återskapa användarobjekten i Azure AD genom att ta bort dina filtreringskonfigurationer. Sedan kan du synkronisera katalogerna igen. Den här åtgärden återställer användarna från papperskorgen i Azure AD. Du kan dock inte ta bort andra objekttyper. Om du till exempel av misstag tar bort en säkerhetsgrupp och den användes för att ACL:er för en resurs, kan gruppen och dess ACL:er inte återställas.

Azure AD Anslut tar bara bort objekt som den har en gång anses finnas i omfånget. Om det finns objekt i Azure AD som har skapats av en annan synkroniseringsmotor och dessa objekt inte ingår i omfånget tas de inte bort om du lägger till filtrering. Om du till exempel börjar med en DirSync-server som skapade en fullständig kopia av hela katalogen i Azure AD och installerar en ny Azure AD Anslut-synkroniseringsserver parallellt med filtrering aktiverat från början, tar Azure AD Anslut inte bort de extra objekt som skapas av DirSync.

Filtreringskonfigurationen behålls när du installerar eller uppgraderar till en nyare version av Azure AD Anslut. Det är alltid bästa praxis att kontrollera att konfigurationen inte oavsiktligt har ändrats efter en uppgradering till en nyare version innan du kör den första synkroniseringscykeln.

Om du har fler än en skog måste du tillämpa de filtreringskonfigurationer som beskrivs i det här avsnittet på varje skog (förutsatt att du vill ha samma konfiguration för alla).

Inaktivera den schemalagda aktiviteten

Om du vill inaktivera den inbyggda schemaläggaren som utlöser en synkroniseringscykel var 30:e minut följer du dessa steg:

1. Gå till en PowerShell-prompt.
2. Kör Set-ADSyncScheduler -SyncCycleEnabled $False för att inaktivera schemaläggaren.
3. Gör de ändringar som beskrivs i den här artikeln.
4. Kör Set-ADSyncScheduler -SyncCycleEnabled $True för att aktivera schemaläggaren igen.

Om du använder en Azure AD Anslut version före 1.1.105.0
Följ dessa steg om du vill inaktivera den schemalagda aktivitet som utlöser en synkroniseringscykel var tredje timme:

1. Starta Schemaläggaren startmenyn.
2. Direkt under Schemaläggaren, hittar du uppgiften med Azure AD Sync Scheduler, högerklickar och väljer Inaktivera.
   
3. Nu kan du göra konfigurationsändringar och köra synkroniseringsmotorn manuellt från Synchronization Service Manager konsolen.

När du har slutfört alla filtreringsändringar ska du inte glömma att komma tillbaka och aktivera uppgiften igen.

Filtreringsalternativ

Du kan använda följande filtreringskonfigurationstyper för katalogsynkroniseringsverktyget:

• Gruppbaserad:Filtrering baserat på en enda grupp kan bara konfigureras vid den första installationen med hjälp av installationsguiden.
• Domänbaserad:Med det här alternativet kan du välja vilka domäner som ska synkroniseras med Azure AD. Du kan också lägga till och ta bort domäner från konfigurationen av synkroniseringsmotorn när du gör ändringar i din lokala infrastruktur när du har installerat Azure AD Anslut sync.
• Organisationsenhetsbaserad : Med dethär alternativet kan du välja vilka organisationsenheter som ska synkroniseras med Azure AD. Det här alternativet är för alla objekttyper i valda OUs.
• Attributbaserad:Med det här alternativet kan du filtrera objekt baserat på attributvärden på objekten. Du kan också ha olika filter för olika objekttyper.

Du kan använda flera filtreringsalternativ på samma gång. Du kan till exempel använda OU-baserad filtrering för att endast inkludera objekt i en organisationsenhet. Samtidigt kan du använda attributbaserad filtrering för att filtrera objekten ytterligare. När du använder flera filtreringsmetoder använder filtren ett logiskt "AND" mellan filtren.

Domänbaserad filtrering

Det här avsnittet innehåller anvisningar för hur du konfigurerar domänfiltret. Om du har lagt till eller tagit bort domäner i skogen när du har installerat Azure AD Anslut måste du också uppdatera filtreringskonfigurationen.

Det bästa sättet att ändra domänbaserad filtrering är genom att köra installationsguiden och ändra domän- och OU-filtrering. Installationsguiden automatiserar alla uppgifter som dokumenteras i det här avsnittet.

Du bör bara följa de här stegen om du av någon anledning inte kan köra installationsguiden.

Konfiguration av domänbaserad filtrering består av följande steg:

1. Välj de domäner som du vill inkludera i synkroniseringen.
2. Justera körningsprofilerna för varje domän som lagts till och tagits bort.
3. Tillämpa och verifiera ändringar.

Välj de domäner som ska synkroniseras

Det finns två sätt att välja de domäner som ska synkroniseras: - Använda synkroniseringstjänsten - Använda Azure AD Anslut guiden.

Välj de domäner som ska synkroniseras med synkroniseringstjänsten

Ange domänfiltret genom att göra följande:

1. Logga in på den server som kör Azure AD Anslut synkronisera med ett konto som är medlem i säkerhetsgruppen ADSyncAdmins.
2. Starta synkroniseringstjänsten från Start-menyn.
3. Välj Anslutningsappar och i listan Anslutningsappar väljer du anslutningsappen med typen Active Directory Domain Services. I Åtgärder väljer du Egenskaper.
   
4. Klicka på Konfigurera katalogpartitioner.
5. I listan Välj katalogpartitioner väljer och avmarkerar du domäner efter behov. Kontrollera att endast de partitioner som du vill synkronisera är markerade.
   
   Om du har ändrat din lokal Active Directory och lagt till eller tagit bort domäner från skogen klickar du på knappen Uppdatera för att få en uppdaterad lista. När du uppdaterar tillfrågas du om autentiseringsuppgifter. Ange autentiseringsuppgifter med läsbehörighet till Windows Server Active Directory. Det behöver inte vara den användare som är förindelad i dialogrutan.
   
6. När du är klar stänger du dialogrutan Egenskaper genom att klicka på OK. Om du har tagit bort domäner från skogen visas ett meddelande om att en domän har tagits bort och att konfigurationen rensas.
7. Fortsätt att justera körningsprofilerna.

Välj de domäner som ska synkroniseras med hjälp av Azure AD Anslut guiden

Ange domänfiltret genom att göra följande:

1. Starta Azure AD Anslut guiden
2. Klicka på Konfigurera.
3. Välj Anpassa synkroniseringsalternativ och klicka på Nästa.
4. Ange dina autentiseringsuppgifter för Azure AD
5. På skärmen Anslutna kataloger klickar du på Nästa.
6. På filtreringssidan Domän och organisationsenhet klickar du på Uppdatera. Nya domäner visas nu och borttagna domäner försvinner.

Uppdatera körningsprofilerna

Om du har uppdaterat domänfiltret måste du också uppdatera körningsprofilerna.

1. I listan Anslutningsappar kontrollerar du att den koppling som du ändrade i föregående steg är markerad. I Åtgärder väljer du Konfigurera körningsprofiler.
   
2. Hitta och identifiera följande profiler:
   • Fullständig import
   • Fullständig synkronisering
   • Deltaimport
   • Deltasynkronisering
   • Exportera
3. Justera de tillagda och borttagna domänerna för varje profil.
   1. För var och en av de fem profilerna gör du följande för varje domän som har lagts till:
      1. Välj körningsprofilen och klicka på Nytt steg.
      2. På sidan Konfigurera steg går du till listrutan Typ och väljer stegtypen med samma namn som den profil som du konfigurerar. Klicka på Nästa.
         
      3. På sidan Konfiguration av anslutningsapp går du till listrutan Partition och väljer namnet på den domän som du har lagt till i domänfiltret.
         
      4. Stäng dialogrutan Konfigurera körningsprofil genom att klicka på Slutför.
   2. För var och en av de fem profilerna gör du följande för varje borttagen domän:
      1. Välj körningsprofilen.
      2. Om värdet för partitionsattributet är ett GUID väljer du körningssteget och klickar på Ta bort steg.
         
   3. Kontrollera ändringen. Varje domän som du vill synkronisera ska visas som ett steg i varje körningsprofil.
4. Stäng dialogrutan Konfigurera körningsprofiler genom att klicka på OK.
5. För att slutföra konfigurationen måste du köra en fullständig import och en Delta-synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringarna.

Organisationsenhetsbaserad filtrering

Det bästa sättet att ändra OU-baserad filtrering är genom att köra installationsguiden och ändra domän- och OU-filtrering. Installationsguiden automatiserar alla uppgifter som dokumenteras i det här avsnittet.

Du bör bara följa de här stegen om du av någon anledning inte kan köra installationsguiden.

Konfigurera organisationsenhetsbaserad filtrering genom att göra följande:

1. Logga in på den server som kör Azure AD Anslut synkronisera med ett konto som är medlem i säkerhetsgruppen ADSyncAdmins.
2. Starta synkroniseringstjänsten från Start-menyn.
3. Välj Anslutningsappar och i listan Anslutningsappar väljer du anslutningsappen med typen Active Directory Domain Services. I Åtgärder väljer du Egenskaper.
   
4. Klicka på Konfigurera katalogpartitioner, välj den domän som du vill konfigurera och klicka sedan på Containrar.
5. När du uppmanas till det anger du autentiseringsuppgifter med läsbehörighet till din lokal Active Directory. Det behöver inte vara den användare som är förindelad i dialogrutan.
6. I dialogrutan Välj containrar avmarkerar du de OUs som du inte vill synkronisera med molnkatalogen och klickar sedan på OK.
   
   • Containern Datorer bör väljas för Windows 10 datorer ska synkroniseras med Azure AD. Om dina domänbaserade datorer finns i andra enheter kontrollerar du att de är markerade.
   • Du ska markera containern ForeignSecurityPrincipals om du har flera skogar med förtroenden. Med den här containern kan säkerhetsgruppmedlemskap i flera skogar lösas.
   • Organisationsenheten RegisteredDevices bör väljas om du har aktiverat funktionen för tillbakaskrivning av enheter. Om du använder en annan tillbakaskrivningsfunktion, till exempel tillbakaskrivning av grupp, kontrollerar du att dessa platser är markerade.
   • Välj en annan organisationsenhet där Användare, iNetOrgPersons, Grupper, Kontakter och Datorer finns. På bilden finns alla dessa organisationsobjekt i organisationsenheten ManagedObjects.
   • Om du använder gruppbaserad filtrering måste organisationsenheten där gruppen finns inkluderas.
   • Observera att du kan konfigurera om nya OUs som läggs till efter att filtreringskonfigurationen har avslutats synkroniseras eller inte synkroniseras. Mer information finns i nästa avsnitt.
7. När du är klar stänger du dialogrutan Egenskaper genom att klicka på OK.
8. För att slutföra konfigurationen måste du köra en fullständig import och en Delta-synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringarna.

Synkronisera nya OUs

Nya OUs som skapas efter att filtrering har konfigurerats synkroniseras som standard. Det här tillståndet anges med en markerad kryssruta. Du kan också avmarkera vissa underordnade OUs. För att få det här beteendet klickar du på rutan tills den blir vit med en blå bockmarkering (dess standardtillstånd). Avmarkera sedan eventuella underordnade OUs som du inte vill synkronisera.

Om alla underordnade OUs synkroniseras är rutan vit med en blå bockmarkering.

Om vissa underordnade OUs har avmarkerats är rutan grå med en vit bockmarkering.

Med den här konfigurationen synkroniseras en ny organisationsenhet som skapades under ManagedObjects.

Installationsguiden för Azure AD Anslut skapar alltid den här konfigurationen.

Synkronisera inte nya OUs

Du kan konfigurera synkroniseringsmotorn så att den inte synkroniserar nya processorer när filtreringskonfigurationen har slutförts. Det här tillståndet anges i användargränssnittet genom att rutan visas i helgrått utan bockmarkering. För att få det här beteendet klickar du på rutan tills den blir vit utan bockmarkering. Välj sedan de under-O:er som du vill synkronisera.

Med den här konfigurationen synkroniseras inte en ny organisationsenhet som skapades under ManagedObjects.

Attributbaserad filtrering

Kontrollera att du använder versionen från november 2015 (1.0.9125)eller senare för att de här stegen ska fungera.

Attributbaserad filtrering är det mest flexibla sättet att filtrera objekt. Du kan använda kraften i deklarativ etablering för att styra nästan alla aspekter av när ett objekt synkroniseras till Azure AD.

Du kan tillämpa inkommande filtrering från Active Directory på metaversum och utgående filtrering från metaversum till Azure AD. Vi rekommenderar att du använder inkommande filtrering eftersom det är enklast att underhålla. Du bör bara använda utgående filtrering om det krävs för att koppla objekt från mer än en skog innan utvärderingen kan äga rum.

Inkommande filtrering

Inkommande filtrering använder standardkonfigurationen, där objekt som går till Azure AD måste ha metaversumattributet cloudFiltered inte inställt på ett värde som ska synkroniseras. Om det här attributets värde är inställt på Sant synkroniseras inte objektet. Det bör inte vara inställt på Falskt, som design. För att se till att andra regler har möjlighet att bidra med ett värde ska det här attributet bara ha värdena True eller NULL (saknas).

Observera att Azure AD Anslut har utformats för att rensa de objekt som den ansvarar för att etablera i Azure AD. Om systemet inte har etablerat objektet i Azure AD tidigare, men det hämtar Azure AD-objektet under ett importsteg, förutsätter det korrekt att det här objektet har skapats i Azure AD av något annat system. Azure AD Anslut rensar inte dessa typer av Azure AD-objekt, även om metaversumattributet cloudFiltered är inställt på Sant.

I inkommande filtrering använder du omfånget för att avgöra vilka objekt som ska synkroniseras eller inte synkroniseras. Det är här du gör justeringar för att passa din egen organisations krav. Omfångsmodulen har en grupp och en -sats för att avgöra när en synkroniseringsregel finns i omfånget. En grupp innehåller en eller flera satser. Det finns ett logiskt "AND" mellan flera satser och ett logiskt "OR" mellan flera grupper.

Låt oss titta på ett exempel:

Detta bör läsas som (department = IT) OR (department = Sales AND c = US).

I följande exempel och steg använder du användarobjektet som exempel, men du kan använda det för alla objekttyper.

I följande exempel börjar prioritetsvärdet med 50. Det kan vara ett tal som inte används, men bör vara lägre än 100.

Negativ filtrering: "synkronisera inte dessa"

I följande exempel filtrerar du ut (inte synkroniserar) alla användare där extensionAttribute15 har värdet NoSync.

1. Logga in på den server som kör Azure AD Anslut synkronisera med ett konto som är medlem i säkerhetsgruppen ADSyncAdmins.
2. Starta Redigeraren för synkroniseringsregler från Start-menyn.
3. Kontrollera att Inkommande är markerat och klicka på Lägg till ny regel.
4. Ge regeln ett beskrivande namn, till exempel "In from AD – User DoNotSyncFilter". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet anger du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 50) och klickar sedan på Nästa.
   
5. I Omfångsfilter klickar du på Lägg till grupp och sedan på Lägg till sats. I Attribut väljer du ExtensionAttribute15. Kontrollera att Operator är inställt på EQUAL och skriv värdet NoSync i rutan Värde. Klicka på Nästa.
   
6. Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
7. Klicka på Lägg till transformering, välj FlowType som Konstant och välj cloudFiltered som målattribut. I textrutan Källa skriver du True. Klicka på Lägg till för att spara regeln.
   
8. För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringarna.

Positiv filtrering: "synkronisera endast dessa"

Det kan vara svårare att uttrycka positiv filtrering eftersom du även måste överväga objekt som inte är uppenbara att synkronisera, till exempel konferensrum. Du kommer också att åsidosätta standardfiltret i den förinställda regeln i från AD – Användarkoppling. När du skapar ett anpassat filter ska du se till att inte inkludera kritiska systemobjekt, replikeringskonfliktobjekt, särskilda postlådor och tjänstkonton för Azure AD Anslut.

Alternativet för positiv filtrering kräver två synkroniseringsregler. Du behöver en regel (eller flera) med rätt objektomfång för att synkronisera. Du behöver också en andra synkroniseringsregel som filtrerar bort alla objekt som ännu inte har identifierats som ett objekt som ska synkroniseras.

I följande exempel synkroniserar du bara användarobjekt där avdelningsattributet har värdet Sales.

1. Logga in på den server som kör Azure AD Anslut synkronisera med ett konto som är medlem i säkerhetsgruppen ADSyncAdmins.
2. Starta Redigeraren för synkroniseringsregler från Start-menyn.
3. Kontrollera att Inkommande är markerat och klicka på Lägg till ny regel.
4. Ge regeln ett beskrivande namn, till exempel "In from AD – User Sales sync". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet anger du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 51) och klickar sedan på Nästa.
   
5. I Omfångsfilter klickar du på Lägg till grupp och sedan på Lägg till sats. I Attribut väljer du avdelning. Kontrollera att Operator är inställt på EQUAL och skriv värdet Sales i rutan Värde. Klicka på Nästa.
   
6. Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
7. Klicka på Lägg till transformering, välj Konstant som FlowType och välj cloudFiltered som målattribut. I rutan Källa skriver du False. Klicka på Lägg till för att spara regeln.
   
   Det här är ett specialfall där du uttryckligen anger cloudFiltered till False.
8. Nu måste vi skapa synkroniseringsregeln catch-all. Ge regeln ett beskrivande namn, till exempel "In from AD – User Catch-all filter". Välj rätt skog, välj Användare som CS-objekttyp och välj Person som MV-objekttyp. I Länktyp väljer du Anslut. I Prioritet anger du ett värde som för närvarande inte används av en annan synkroniseringsregel (till exempel 99). Du har valt ett prioritetsvärde som är högre (lägre prioritet) än den tidigare synkroniseringsregeln. Men du har också lämnat lite utrymme så att du kan lägga till fler synkroniseringsregler för filtrering senare när du vill börja synkronisera ytterligare avdelningar. Klicka på Nästa.
   
9. Lämna Omfångsfilter tomt och klicka på Nästa. Ett tomt filter anger att regeln ska tillämpas på alla objekt.
10. Lämna kopplingsreglerna tomma och klicka sedan på Nästa.
11. Klicka på Lägg till transformering, välj Konstant som FlowType och välj cloudFiltered som målattribut. I rutan Källa skriver du True. Klicka på Lägg till för att spara regeln.
    
12. För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt att läsa avsnittet Tillämpa och verifiera ändringarna.

Om du behöver kan du skapa fler regler av den första typen där du inkluderar fler objekt i synkroniseringen.

Utgående filtrering

I vissa fall är det nödvändigt att endast filtrera efter att objekten har anslutits i metaversum. Du kan till exempel behöva titta på e-postattributet från resursskogen och attributet userPrincipalName från kontoskogen för att avgöra om ett objekt ska synkroniseras. I dessa fall skapar du filtreringen på regeln för utgående trafik.

I det här exemplet ändrar du filtreringen så att endast användare som har både e-post och userPrincipalName som slutar @contoso.com på synkroniseras:

1. Logga in på den server som kör Azure AD Anslut synkronisera med ett konto som är medlem i säkerhetsgruppen ADSyncAdmins.
2. Starta Redigeraren för synkroniseringsregler från Start-menyn.
3. Under Regeltyp klickar du på Utgående.
4. Beroende på vilken version av Anslut du använder hittar du antingen regeln Out to Azure AD – User Join or Out to Azure AD – User Join SOAInAD (Ut till Azure AD – Användarkoppling eller Ut till Azure AD – Användarkoppling SOAInAD) och klickar på Redigera.
5. I popup-menyn svarar du Ja för att skapa en kopia av regeln.
6. På sidan Beskrivning ändrar du Prioritet till ett oanvänt värde, till exempel 50.
7. Klicka på Omfångsfilter i det vänstra navigeringsfönstret och klicka sedan på Lägg till sats. I Attribut väljer du e-post . I Operator väljer du ENDSWITH. I Värde skriver du @ contoso.com och klickar sedan på Lägg till sats. I Attribut väljer du userPrincipalName. I Operator väljer du ENDSWITH. I Värde skriver @ du contoso.com.
8. Klicka på Spara.
9. För att slutföra konfigurationen måste du köra en fullständig synkronisering. Fortsätt läsa avsnittet Tillämpa och verifiera ändringarna.

Tillämpa och verifiera ändringar

När du har gjort dina konfigurationsändringar måste du tillämpa dem på de objekt som redan finns i systemet. Det kan också vara så att de objekt som för närvarande inte finns i synkroniseringsmotorn ska bearbetas (och synkroniseringsmotorn måste läsa källsystemet igen för att verifiera innehållet).

Om du har ändrat konfigurationen med hjälp av domän- eller organisationsenhetsfiltrering måste du göra en fullständig import följt av deltasynkronisering.

Om du har ändrat konfigurationen med hjälp av attributfiltrering måste du göra en fullständig synkronisering.

Gör följande:

1. Starta synkroniseringstjänsten från Start-menyn.
2. Välj Kopplingar. I listan Anslutningsappar väljer du den anslutning där du gjorde en konfigurationsändring tidigare. I Åtgärder väljer du Kör.
   
3. I Körningsprofiler väljer du den åtgärd som nämndes i föregående avsnitt. Om du behöver köra två åtgärder kör du den andra när den första har slutförts. (Kolumnen Tillstånd är Inaktiv för den valda anslutningsappen.)

Efter synkroniseringen mellandelades alla ändringar för att exporteras. Innan du faktiskt gör ändringarna i Azure AD bör du kontrollera att alla dessa ändringar är korrekta.

1. Starta en kommandotolk och gå till %ProgramFiles%\Microsoft Azure AD Sync\bin .
2. Kör csexport "Name of Connector" %temp%\export.xml /f:x.
   Namnet på anslutningsappen finns i Synkroniseringstjänst. Det har ett namn som liknar "contoso.com – Azure AD" för Azure AD.
3. Kör CSExportAnalyzer %temp%\export.xml > %temp%\export.csv.
4. Nu har du en fil i %temp% med namnet export.csv som kan undersökas i Microsoft Excel. Den här filen innehåller alla ändringar som ska exporteras.
5. Gör nödvändiga ändringar i data eller konfiguration och kör de här stegen igen (Importera, Synkronisera och Verifiera) tills de ändringar som håller på att exporteras är de du förväntar dig.

När du är nöjd exporterar du ändringarna till Azure AD.

1. Välj Kopplingar. I listan Anslutningsappar väljer du Azure AD-anslutningsappen. I Åtgärder väljer du Kör.
2. I Körningsprofiler väljer du Exportera.
3. Om dina konfigurationsändringar tar bort många objekt visas ett fel i exporten när talet är större än det konfigurerade tröskelvärdet (som standard 500). Om du ser det här felet måste du tillfälligt inaktivera funktionen"förhindra oavsiktligaborttagningar".

Nu är det dags att aktivera schemaläggaren igen.

1. Starta Schemaläggaren startmenyn.
2. Direkt under Schemaläggaren Library(Bibliotek) hittar du uppgiften Azure AD Sync Scheduler, högerklickar och väljer Aktivera.

Gruppbaserad filtrering

Du kan konfigurera gruppbaserad filtrering första gången du installerar Azure AD-Anslut med hjälp av anpassad installation. Den är avsedd för en pilotdistribution där du bara vill att en liten uppsättning objekt ska synkroniseras. När du inaktiverar gruppbaserad filtrering kan den inte aktiveras igen. Det går inte att använda gruppbaserad filtrering i en anpassad konfiguration. Du kan bara konfigurera den här funktionen med hjälp av installationsguiden. När du har slutfört pilottestet använder du något av de andra filtreringsalternativen i det här avsnittet. När du använder OU-baserad filtrering tillsammans med gruppbaserad filtrering måste de organisationsenhet(er) där gruppen och dess medlemmar finns inkluderas.

När du synkroniserar flera AD-skogar kan du konfigurera gruppbaserad filtrering genom att ange en annan grupp för varje AD-anslutningsprogram. Om du vill synkronisera en användare i en AD-skog och samma användare har ett eller flera motsvarande objekt i andra AD-skogar måste du se till att användarobjektet och alla dess motsvarande objekt finns i gruppbaserat filtreringsomfång. För exempel:

• Du har en användare i en skog som har ett motsvarande FSP-objekt (Foreign Security Principal) i en annan skog. Båda objekten måste finnas inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren till Azure AD.

• Du har en användare i en skog som har ett motsvarande resurskonto (t.ex. länkad postlåda) i en annan skog. Dessutom har du konfigurerat Azure AD Anslut att länka användaren till resurskontot. Båda objekten måste finnas inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren till Azure AD.

• Du har en användare i en skog som har en motsvarande e-postkontakt i en annan skog. Dessutom har du konfigurerat Azure AD-Anslut att länka användaren till e-postkontakten. Båda objekten måste finnas inom gruppbaserat filtreringsomfång. Annars synkroniseras inte användaren till Azure AD.

Nästa steg

• Läs mer om konfiguration Anslut Azure AD-synkronisering.
• Läs mer om hur du integrerar dina lokala identiteter med Azure AD.