Microsoft Entra Connect 同步:設定篩選

  • 發行項

藉由使用篩選,您可以控制哪些物件出現在內部部署目錄中的 Microsoft Entra ID 中。 預設組態會採用所設定樹系中所有網域中的所有物件。 一般而言,這是建議的設定。 使用 Microsoft 365 工作負載的使用者,例如 Exchange Online 和 商務用 Skype,受益于完整的全域通訊清單,讓他們可以傳送電子郵件並呼叫所有人。 使用預設組態時,其體驗會與 Exchange 或 Lync 的內部部署實作相同。

不過,在某些情況下,您必須對預設組態進行一些變更。 以下列出一些範例:

  • 您執行 Azure 或 Microsoft 365 的試驗,而且您只想要 Microsoft Entra 識別碼中的一部分使用者。 在小型試驗中,擁有完整的全域通訊清單來示範此功能並不重要。
  • 您在 Microsoft Entra ID 中有許多服務帳戶和其他不想要的非個人帳戶。
  • 基於合規性考慮,您不會刪除內部部署的任何使用者帳戶。 您只停用它們。 但在 Microsoft Entra ID 中,您只想讓作用中的帳戶存在。

本文說明如何設定不同的篩選方法。

重要

Microsoft 不支援在正式記載的動作之外修改或操作 Microsoft Entra 連線 Sync。 上述任何動作都可能導致 Microsoft Entra 連線 Sync 狀態不一致或不受支援。因此,Microsoft 無法提供這類部署的技術支援。

基本概念和重要注意事項

在 Microsoft Entra 連線 Sync 中,您可以隨時啟用篩選。 如果您從目錄同步處理的預設組態開始,然後設定篩選,篩選出的物件就不會再同步處理至 Microsoft Entra ID。 由於這項變更,Microsoft Entra ID 中先前已同步處理但隨後篩選的任何物件會在 Microsoft Entra ID 中刪除。

開始對篩選進行變更之前,請確定您 停用內建排程器 ,以免意外匯出尚未驗證為正確的變更。

因為篩選可以同時移除許多物件,因此您想要在開始將任何變更匯出至 Microsoft Entra ID 之前,先確定您的新篩選正確無誤。 完成設定步驟之後,強烈建議您先遵循 驗證步驟 ,再匯出並變更 Microsoft Entra ID。

為了防止意外刪除許多物件,預設會開啟「 防止意外刪除 」功能。 如果您因為篩選而刪除許多物件(預設為 500 個),您必須遵循本文中的步驟,以允許刪除專案進入 Microsoft Entra ID。

如果您在 2015 年 11 月之前使用組建( 1.0.9125 ),請變更篩選組態,並使用密碼雜湊同步處理,則您必須在完成設定之後觸發所有密碼的完整同步處理。 如需如何觸發密碼完整同步的步驟,請參閱 觸發所有密碼 的完整同步處理。 如果您使用的是組建 1.0.9125 或更新版本,則一般 完整同步 處理動作也會計算是否應該同步處理密碼,如果不再需要這個額外的步驟,

如果 因為篩選錯誤而意外刪除 Microsoft Entra ID 中的使用者 物件,您可以移除篩選組態,以在 Microsoft Entra ID 中重新建立使用者物件。 然後,您可以再次同步處理目錄。 此動作會從 Microsoft Entra ID 中的回收站還原使用者。 不過,您無法取消刪除其他物件類型。 例如,如果您不小心刪除了安全性群組,而且它用於 ACL 資源,則無法復原群組及其 ACL。

Microsoft Entra 連線只會刪除它曾經被視為在範圍內的物件。 如果 Microsoft Entra 識別碼中有由另一個同步引擎所建立的物件,而且這些物件不在範圍內,則新增篩選並不會移除它們。 例如,如果您從在 Microsoft Entra ID 中建立完整目錄複本的 DirSync 伺服器開始,而且您會安裝新的 Microsoft Entra 連線 Sync 伺服器,並從頭開始啟用篩選,Microsoft Entra 連線不會移除 DirSync 所建立的額外物件。

當您安裝或升級至較新版本的 Microsoft Entra 連線時,會保留篩選組態。 在升級至較新版本之後,在執行第一個同步處理週期之前,確認組態並未不小心變更為最佳做法。

如果您有多個樹系,則必須將本主題中所述的篩選組態套用至每個樹系(假設您想要所有樹系的相同組態)。

停用同步處理排程器

若要停用每 30 分鐘觸發同步處理週期的內建排程器,請遵循下列步驟:

  1. 開啟 Windows Powershell、匯入 ADSync 模組,並使用下列命令停用排程器
import-module ADSync
Set-ADSyncScheduler -SyncCycleEnabled $False
  1. 進行本文所記載的變更。 然後使用下列命令重新啟用排程器
Set-ADSyncScheduler -SyncCycleEnabled $True

篩選選項

您可以將下列篩選組態類型套用至目錄同步處理工具:

  • 群組型 :使用安裝精靈只能在初始安裝上設定以單一群組為基礎的篩選。
  • 網域型 :使用此選項,您可以選取哪些網域同步處理至 Microsoft Entra ID。 當您在安裝 Microsoft Entra 連線 Sync 之後變更內部部署基礎結構時,您也可以從同步處理引擎組態新增和移除網域。
  • 組織單位(OU)型 :使用此選項,您可以選取哪些 OU 同步處理至 Microsoft Entra ID。 此選項適用于所選 OU 中的所有物件類型。
  • 屬性型 :使用此選項,您可以根據物件的屬性值來篩選物件。 您也可以針對不同的物件類型有不同的篩選。

您可以同時使用多個篩選選項。 例如,您可以使用 OU 型篩選,只包含一個 OU 中的物件。 同時,您可以使用屬性型篩選進一步篩選物件。 當您使用多個篩選方法時,篩選準則會在篩選之間使用邏輯 「AND」。

網域型篩選

本節提供您設定網域篩選的步驟。 如果您在安裝 Microsoft Entra 連線之後新增或移除樹系中的網域,您也必須更新篩選組態。

若要變更網域型篩選,請執行安裝精靈: 網域和 OU 篩選 。 安裝精靈會將本主題中記載的所有工作自動化。

以組織單位為基礎的篩選

若要變更 OU 型篩選,請執行安裝精靈: 網域和 OU 篩選 。 安裝精靈會將本主題中記載的所有工作自動化。

重要

如果您明確選取要同步處理的 OU,Microsoft Entra 連線會在網域同步範圍的包含清單中新增該 OU 的 DistinguishedName。 不過,如果您稍後在 Active Directory 中重新命名該 OU,則會變更 OU 的 DistinguishedName,因此,Microsoft Entra 連線將不再考慮同步範圍中的 OU。 這不會造成立即問題,但在完整匯入步驟中,Microsoft Entra 連線會重新評估同步範圍並刪除任何超出同步範圍的物件(亦即已過時),這可能會導致 Microsoft Entra ID 中非預期的物件大量刪除。 若要避免此問題,請在重新命名 OU 之後,執行 Microsoft Entra 連線 Wizard,然後重新選取要重新包含在同步範圍中的 OU。

屬性型篩選

請確定您使用 2015 年 11 月 ( 1.0.9125 ) 或更新版本的組建,這些步驟才能運作。

重要

Microsoft 建議不要修改 Microsoft Entra 所 建立的預設規則連線 。 如果您想要修改規則,請複製規則,然後停用原始規則。 對複製的規則進行任何變更。 請注意,透過這樣做(停用原始規則),您將錯過透過該規則啟用的任何錯誤修正或功能。

屬性型篩選是篩選物件最具彈性的方式。 您可以使用宣告式布 建的強大功能 ,控制物件同步處理至 Microsoft Entra ID 時幾乎所有層面。

您可以將 Active Directory 的輸入 篩選套用 至 Metaverse,以及 從 Metaverse 輸出篩選至 Microsoft Entra ID。 建議您套用輸入篩選,因為這是最容易維護的。 只有在評估進行之前,需要聯結多個樹系中的物件時,才應該使用輸出篩選。

輸入篩選

輸入篩選會使用預設組態,其中移至 Microsoft Entra ID 的物件必須具有 metaverse 屬性 cloudFiltered 未設定為要同步處理的值。 如果此屬性的值設定為 True ,則不會同步處理物件。 根據設計,它不應該設定為 False 。 為了確保其他規則能夠貢獻值,此屬性只應該具有 True Null (缺席)。

請注意,Microsoft Entra Connect 是用於清除在 Microsoft Entra ID 中負責佈建的物件。 如果系統先前未在 Microsoft Entra ID 中佈建物件,但在匯入步驟期間取得 Microsoft Entra 物件,則會正確假設此物件是在其他系統的 Microsoft Entra ID 中建立。 即使 Metaverse 屬性 cloudFiltered 設定為 True,Microsoft Entra 連線也不會清除這些類型的 Microsoft Entra 物件。

在輸入篩選中,您可以使用範圍 的強大功能 來判斷要同步處理或未同步處理的物件。 這是您調整以符合您組織需求的地方。 範圍模組具有 群組 子句 ,可判斷同步處理規則何時在範圍內。 群組包含一或多個子句。 多個子句之間有邏輯 「AND」,以及多個群組之間的邏輯 「OR」。

讓我們看看範例:
A screenshot showing an example of adding scoping filters.
這應該讀為 (部門 = IT) OR (部門 = Sales AND c = US)

在下列範例和步驟中,您會使用 user 物件作為範例,但您可以針對所有物件類型使用此物件。

在下列範例中,優先順序值會以 50 開頭。 這可以是任何未使用的數位,但應低於 100。

負面篩選:「不要同步處理這些」

在下列範例中,您會篩選掉 extensionAttribute15 具有 NoSync 值的 所有使用者 (未同步處理)。

  1. 使用 ADSync 成員的 帳戶登入執行 Microsoft Entra 連線 Sync 的伺服器管理員 安全性群組。
  2. 從 [開始] 功能表啟動 同步處理規則編輯器
  3. 確定 已選取 [輸入 ],然後按一下 [ 新增規則 ]。
  4. 為規則指定描述性名稱,例如「 In from AD – User DoNotSyncFilter 」。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型 ,然後選取 [ 人員 ] 作為 MV 物件類型 。 在 [ 連結類型] 中,選取 [ 聯結 ]。 在 [優先順序] 中 ,輸入另一個同步處理規則目前未使用的值(例如 50),然後按 [下一步 ]。
    Inbound 1 description
  5. 在 [範圍篩選 ] 中 ,按一下 [ 新增群組 ],然後按一下 [ 新增子句 ]。 在 [ 屬性 ] 中,選取 [ExtensionAttribute15 ]。 請確定 [運算子 ] 設定為 EQUAL ,然後在 [值] 方塊中 輸入 NoSync 。 按一下 [下一步] 。
    Inbound 2 scope
  6. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步 ]。
  7. 按一下 [新增轉換 ],選取 [FlowType ] 作為 [常數 ],然後選取 [cloudFiltered ] 作為 [目標屬性 ]。 在 [ 來源 ] 文字方塊中,輸入 True 。 按一下 [ 新增 ] 以儲存規則。
    Inbound 3 transformation
  8. 若要完成設定,您必須執行 完整同步 處理。繼續閱讀 [套用] 區段 並確認變更

正向篩選:「只同步處理這些」

表示正面篩選可能會更具挑戰性,因為您也必須考慮不明顯同步處理的物件,例如會議室。 您也將覆寫現用規則 的 [從 AD - 使用者加入 ] 中的預設篩選。 當您建立自訂篩選時,請務必不包含重要的系統物件、複寫衝突物件、特殊信箱,以及 Microsoft Entra 連線的服務帳戶。

正篩選選項需要兩個同步處理規則。 您需要一個規則(或數個)具有要同步處理之物件的正確範圍。 您也需要第二個 catch-all 同步處理規則,以篩選出尚未識別為應同步處理之物件的所有物件。

在下列範例中,您只會同步處理部門屬性具有 Sales 的使用者物件。

  1. 使用 ADSync 成員的 帳戶登入執行 Microsoft Entra 連線 Sync 的伺服器管理員 安全性群組。
  2. 從 [開始] 功能表啟動 同步處理規則編輯器
  3. 確定 已選取 [輸入 ],然後按一下 [ 新增規則 ]。
  4. 為規則提供描述性名稱,例如「 從 AD – 使用者銷售同步 處理」。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型 ,然後選取 [ 人員 ] 作為 MV 物件類型 。 在 [ 連結類型] 中,選取 [ 聯結 ]。 在 [優先順序] 中 ,輸入其他同步處理規則目前未使用的值(例如 51),然後按 [ 下一步 ]。
    Inbound 4 description
  5. 在 [範圍篩選 ] 中 ,按一下 [ 新增群組 ],然後按一下 [ 新增子句 ]。 在 [ 屬性] 中,選取 [部門 ]。 請確定 [運算子] 設定為 EQUAL ,然後在 [值] 方塊中 輸入 Sales 。 按一下 [下一步] 。
    Inbound 5 scope
  6. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步 ]。
  7. 按一下 [新增轉換 ],選取 [常數 ] 作為 FlowType ,然後選取 cloudFiltered 作為 目標屬性 。 在 [ 來源] 方塊中,輸入 False 。 按一下 [ 新增 ] 以儲存規則。
    Inbound 6 transformation
    這是您明確將 cloudFiltered 設定為 False 的特殊案例。
  8. 我們現在必須建立全攔截同步處理規則。 為規則提供描述性名稱,例如「 從 AD – 使用者攔截全部篩選 」。 選取正確的樹系,選取 [使用者 ] 作為 CS 物件類型 ,然後選取 [ 人員 ] 作為 MV 物件類型 。 在 [ 連結類型] 中,選取 [ 聯結 ]。 在 [優先順序 ] 中 ,輸入另一個同步處理規則目前未使用的值(例如 99)。 您已選取優先順序值,其優先順序高於先前的同步處理規則。 但您也離開了一些空間,以便稍後當您想要開始同步處理其他部門時,您可以新增更多篩選同步處理規則。 按一下 [下一步] 。
    Inbound 7 description
  9. 將範圍篩選保留 空白,然後按 [下一步 ]。 空白篩選準則表示規則要套用至所有物件。
  10. 將 [ 聯結 規則] 保留空白,然後按 [ 下一步 ]。
  11. 按一下 [新增轉換 ],選取 [常數 ] 作為 FlowType ,然後選取 [cloudFiltered ] 作為 [目標屬性 ]。 在 [ 來源] 方塊中,輸入 True 。 按一下 [ 新增 ] 以儲存規則。
    Inbound 3 transformation
  12. 若要完成設定,您必須執行 完整同步 處理。繼續閱讀 [套用] 區段 並確認變更

如果您需要,您可以在同步處理中包含更多物件的第一個類型建立更多規則。

輸出篩選

在某些情況下,只有在 Metaverse 中聯結物件之後,才需要執行篩選。 例如,可能需要查看來自資源樹系的郵件屬性,以及帳戶樹系中的 userPrincipalName 屬性,以判斷是否應該同步處理物件。 在這些情況下,您會在輸出規則上建立篩選。

在此範例中,您會變更篩選,以便只會同步處理其郵件和 userPrincipalName 結尾 @contoso.com 的使用者:

  1. 使用 ADSync 成員的 帳戶登入執行 Microsoft Entra 連線 Sync 的伺服器管理員 安全性群組。
  2. 從 [開始] 功能表啟動 同步處理規則編輯器
  3. 在 [規則類型 ] 底下 ,按一下 [ 輸出 ]。
  4. 根據您使用的連線版本,尋找名為 Out to Microsoft Entra ID – User Join Out to Microsoft Entra ID - User Join SOAInAD 的規則,然後按一下 [ 編輯 ]。
  5. 在快顯視窗中,回答 [是 ] 以建立規則的複本。
  6. 在 [ 描述] 頁面上,將 [優先順序 ] 變更 為未使用的值,例如 50。
  7. 按一下 左側導覽上的 [範圍篩選 ],然後按一下 [ 新增子句 ]。 在 [ 屬性 ] 中,選取 [郵件 ]。 在 [運算子] 中,選取 [ ENDSWITH ]。 在 [ 值] 中,輸入 @contoso.com ,然後按一下 [ 新增子句 ]。 在 [ 屬性 ] 中,選取 userPrincipalName 。 在 [運算子] 中,選取 [ ENDSWITH ]。 在 [值] 中 ,輸入 @contoso.com
  8. 按一下 [檔案] 。
  9. 若要完成設定,您必須執行 完整同步 處理。繼續閱讀 [套用] 區段 並確認變更

套用和驗證變更

進行設定變更之後,您必須將它們套用至系統中已存在的物件。 也可能是應該處理目前不在同步處理引擎中的物件(而且同步處理引擎必須再次讀取來源系統,以確認其內容)。

如果您使用網域或組織單位篩選來變更設定 ,則需要執行 完整匯 入,後面接著 Delta 同步處理

如果您使用屬性 篩選來變更組態 ,則必須執行 完整同步處理

執行下列步驟:

  1. 從 [開始] 功能表啟動 同步處理服務
  2. 選取連接器。 在 [連線ors] 清單中,選取您稍早進行設定變更的連線器。 在 [動作] ,選取 [ 執行 ]。
    Connector run
  3. 在 [ 執行設定檔 ] 中,選取上一節中提及的作業。 如果您需要執行兩個動作,請在第一個動作完成後執行第二個動作。 (The 狀態 資料行為 所選連接器的 [閒置 ]。

同步處理之後,所有變更都會暫存為匯出。 在實際進行 Microsoft Entra 識別碼的變更之前,您想要確認所有變更都正確無誤。

  1. 啟動命令提示字元,然後移至 %ProgramFiles%\Microsoft Azure AD Sync\bin
  2. 執行 csexport "Name of Connector" %temp%\export.xml /f:x
    連線or 的名稱位於同步處理服務中。 其名稱類似于 Microsoft Entra ID 的 「contoso.com – Microsoft Entra ID」。
  3. 執行 CSExportAnalyzer %temp%\export.xml > %temp%\export.csv
  4. 您現在有名為 export.csv 的 %temp% 檔案,可在 Microsoft Excel 中檢查。 此檔案包含即將匯出的所有變更。
  5. 對資料或組態進行必要的變更,然後再次執行這些步驟(匯入、同步處理和驗證),直到即將匯出的變更是您預期的變更為止。

當您滿意時,請將變更匯出至 Microsoft Entra ID。

  1. 選取連接器。 在 [連線ors] 清單中,選取 [Microsoft Entra 連線or]。 在 [動作] ,選取 [ 執行 ]。
  2. 在 [執行設定檔] ,選取 [ 匯出 ]。
  3. 如果您的組態變更會刪除許多物件,則當數位超過設定的臨界值時,您會在匯出中看到錯誤(預設為 500)。 如果您看到此錯誤,則必須暫時停用「 防止意外刪除 」功能。

現在是時候再次啟用排程器了。

  1. 從 [開始] 功能表啟動 工作排程器
  2. 直接在 [工作排程器程式庫] 底下 ,尋找名為 Azure AD 同步 排程器 的工作,然後按一下滑鼠右鍵,然後選取 [ 啟用 ]。

以群組為基礎的篩選

您可以在第一次使用 自訂安裝 來安裝 Microsoft Entra 連線時,設定以群組為基礎的篩選。 它適用于試驗部署,而您想要只同步處理一組小型物件。 當您停用群組型篩選時,無法再次啟用。 不支援 在自訂群組態中使用群組型篩選。 僅支援使用安裝精靈來設定這項功能。 當您完成試驗時,請使用本主題中的其他其中一個篩選選項。 搭配群組型篩選使用 OU 型篩選時,必須包含群組及其成員所在的 OU(s)。

同步處理多個 AD 樹系時,您可以為每個 AD 連接器指定不同的群組,以設定群組型篩選。 如果您想要同步處理一個 AD 樹系中的使用者,且相同使用者在其他 AD 樹系中有一或多個對應的物件,您必須確定使用者物件及其所有對應的物件都在群組型篩選範圍內。 如需範例:

  • 您有一個樹系中的使用者,該樹系在另一個樹系中具有對應的 FSP (Foreign Security Principal) 物件。 這兩個物件都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至 Microsoft Entra ID。

  • 您有一個樹系中的使用者,該樹系在另一個樹系中有對應的資源帳戶(例如連結信箱)。 此外,您已設定 Microsoft Entra 連線,以將使用者與資源帳戶連結。 這兩個物件都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至 Microsoft Entra ID。

  • 您有一個樹系中的使用者,該樹系在另一個樹系中有對應的郵件連絡人。 此外,您已設定 Microsoft Entra 連線,以連結使用者與郵件連絡人。 這兩個物件都必須在群組型篩選範圍內。 否則,使用者將不會同步處理至 Microsoft Entra ID。

下一步