Esporta (0) Stampa
Espandi tutto

Configurazione del filtro per la sincronizzazione della directory

Pubblicato: settembre 2012

Aggiornamento: novembre 2014

Si applica a: Azure, Office 365, Windows Intune

È possibile abilitare in qualsiasi momento il filtro per la sincronizzazione di Active Directory in Azure Active Directory. Se sono già state eseguite le configurazioni predefinite della sincronizzazione della directory e successivamente è stato configurato il filtro, gli oggetti esclusi non verranno più sincronizzati con il cloud. Di conseguenza, tutti gli oggetti nel cloud sincronizzati in precedenza ma poi esclusi dalla sincronizzazione, verranno eliminati dal processo di sincronizzazione della directory.
Se gli oggetti sono stati eliminati inavvertitamente a causa di un errore di filtro, è possibile ricrearli nel cloud rimuovendo le configurazioni di filtro e quindi sincronizzando di nuovo le directory.

ImportantImportante
Microsoft non supporta la modifica o l'utilizzo dello Strumento di sincronizzazione della directory per azioni diverse da quelle formalmente documentate. Le azioni descritte più avanti in questo articolo sono supportate. 

Le azioni non supportate includono quanto segue:

  • Apertura del motore di sincronizzazione FIM sottostante per la modifica della configurazione del connettore

  • Controllo manuale della frequenza e/o dell'ordinamento dei profili di esecuzione della sincronizzazione o modifica degli attributi sincronizzati con il cloud 

Una qualsiasi di queste azioni può dare come risultato uno stato non coerente o non supportato dello Strumento di sincronizzazione della directory. Microsoft pertanto non può fornire il supporto tecnico per tali distribuzioni o utilizzi dello strumento.

Le configurazioni di filtro applicate all'istanza di sincronizzazione della directory non vengono salvate quando si effettua l'installazione o l'aggiornamento a una versione più recente. Se si intende effettuare l'aggiornamento a una versione più recente della sincronizzazione della directory, è necessario riapplicare le configurazioni di filtro dopo l'aggiornamento, ma prima di eseguire il primo ciclo di sincronizzazione.

noteNota
In questo articolo viene utilizzato il termine SourceAD come nome dell'agente di gestione di Servizi di dominio Active Directory.
A seconda della versione dello Strumento di sincronizzazione della directory installata nell'ambiente in uso, il nome di questo agente di gestione può anche essere Active Directory Connector.

Allo Strumento di sincronizzazione della directory è possibile applicare i tre tipi di configurazione di filtro descritti di seguito:

  • Basato su unità organizzativa: è possibile utilizzare questo tipo di filtro per gestire le proprietà dell'agente di gestione SourceAD nello Strumento di sincronizzazione della directory. Questo tipo di filtro consente di selezionare le unità organizzative che possono eseguire la sincronizzazione con il cloud.

  • Basato su dominio: è possibile utilizzare questo tipo di filtro per gestire le proprietà dell'agente di gestione SourceAD nello Strumento di sincronizzazione della directory. Questo tipo di filtro consente di selezionare i domini che possono eseguire la sincronizzazione con il cloud.

  • Basato su attributi utente: è possibile utilizzare questo metodo per specificare filtri basati su attributi per gli oggetti utente e di conseguenza controllare gli oggetti che non devono essere sincronizzati con il cloud.

  1. Eseguire l'accesso al computer che esegue la sincronizzazione della directory utilizzando un account membro del gruppo di sicurezza locale MIISAdmins.

  2. Per aprire Identity Manager fare doppio clic sul file miisclient.exe disponibile nella cartella seguente:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. In Identity Manager fare clic su Management Agents, quindi fare doppio clic su Active Directory Connector.

  4. Fare clic su Configure Directory Partitions, quindi su Containers.

  5. Quando richiesto, immettere le credenziali di dominio per la foresta di Active Directory locale.

    noteNota
    Verrà visualizzata la finestra di dialogo delle credenziali con l'account MSOL_AD_Sync. Per tale account viene utilizzata una password generata in modo casuale che, pertanto, non è nota agli amministratori. Quando si esegue questa operazione di filtro, è necessario utilizzare un account che dispone dell'accesso alla foresta di Active Directory. L'account utilizzato in questo caso deve essere quello di un amministratore dell'organizzazione. Tale account può infatti visualizzare l'intera foresta ed eseguire l'operazione di filtro in qualsiasi dominio della foresta. Se invece si utilizza l'account di un amministratore di dominio, l'ambito visualizzabile dallo Strumento di sincronizzazione della directory risulterà limitato. Tale account potrebbe inoltre non essere utilizzabile quando è necessario espandere il filtro in altri domini.

  6. Nella finestra di dialogo Select Containers deselezionare le unità organizzative che non si desidera sincronizzare con la directory cloud e quindi fare clic su OK. Fare clic su OK nella pagina SourceAD Properties.

  7. Eseguire una sincronizzazione completa. A tale scopo, nella scheda Management Agent fare clic con il pulsante destro del mouse su Active Directory Connector, scegliere Run, quindi fare clic su Full Import Full Sync e infine su OK.

  1. Eseguire l'accesso al computer che esegue la sincronizzazione della directory utilizzando un account membro del gruppo di sicurezza locale MIISAdmins.

  2. Per aprire Identity Manager fare doppio clic sul file miisclient.exe disponibile nella cartella seguente:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. In Identity Manager fare clic su Management Agents, quindi fare doppio clic su Active Directory Connector.

  4. Fare clic su Configure Directory Partitions, quindi selezionare i domini che si desidera sincronizzare. Per escludere un dominio dal processo di sincronizzazione, deselezionare la casella di controllo corrispondente.

  5. Fare clic su OK.

  6. Se è stato rimosso un dominio dall'ambito di Active Directory Connector, è necessario aggiornare i relativi profili di esecuzione:

    1. Fare clic con il pulsante destro del mouse su Active Directory Connector e quindi scegliere Configure Run Profiles.

    2. Nei dettagli dell'istruzione relativa al profilo di esecuzione Full Import selezionare l'istruzione per il dominio appena deselezionato, quindi fare clic su Delete Step.

    3. Fare clic su OK.

      noteNota
      Quando si aggiunge un dominio, è necessario aggiungere un'istruzione relativa al profilo di esecuzione per il dominio.

  7. Eseguire una sincronizzazione completa. A tale scopo, nella scheda Management Agent fare clic con il pulsante destro del mouse su Active Directory Connector, scegliere Run, quindi fare clic su Full Import Full Sync e infine su OK.

La procedura di filtro basato su attributi utente può essere applicata solo a oggetti utente. Contatti e gruppi utilizzano regole di filtro complesse che esulano dall'ambito di questo articolo.
Per escludere utenti specifici, è necessario aggiornare gli oggetti utente nell'organizzazione locale che non si desidera sincronizzare con il cloud. È possibile filtrare in base a qualsiasi attributo degli oggetti utente.
È ad esempio possibile aggiungere la stringa "NoSync" all'attributo utente extensionAttribute15 per ogni utente dell'organizzazione locale che non si desidera sincronizzare con il cloud. In questo esempio, dopo aver configurato l'utente locale, si crea in Identity Manager una regola di filtro per escludere gli utenti "NoSync" dal processo di sincronizzazione.
Nella seguente procedura viene descritto come configurare il filtro utente utilizzando la stringa "NoSync" per extensionAttrtibute15.

  1. In Utenti e computer di Active Directory scegliere Funzionalità avanzate dal menu Visualizza, quindi aprire la pagina delle proprietà dell'utente.

  2. Nella scheda Editor attributi impostare extensionAttribute15 su NoSync.

  1. Eseguire l'accesso al computer che esegue la sincronizzazione della directory utilizzando un account membro del gruppo di sicurezza locale MIISAdmins.

  2. Per aprire Identity Manager fare doppio clic sul file miisclient.exe disponibile nella cartella seguente:

    • %ProgramFiles%\Windows Azure Active Directory Sync\SYNCBUS\Synchronization Service\UIShell

  3. In Identity Manager fare clic su Management Agents, quindi fare doppio clic su Active Directory Connector.

  4. Fare clic su Configure Connector Filter, quindi effettuare le seguenti operazioni:

    1. Selezionare user nella griglia Data Source Object Type, quindi fare clic su New.

    2. In Filter for user selezionare extensionAttribute15 per l'attributo Data Source, selezionare Equals per Operator, quindi digitare NoSync nel campo Value.

    3. Fare clic su Add Condition, quindi su OK.

  5. Nella pagina delle proprietà SourceAD fare clic su OK.

  6. Eseguire una sincronizzazione completa. A tale scopo, nella scheda Management Agent fare clic con il pulsante destro del mouse su Active Directory Connector, scegliere Run, quindi fare clic su Full Import Full Sync e infine su OK.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2014 Microsoft