blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Einrichten von Azure AD Sync Filterung mit Hilfe von AD Attributen

von ·

Standardmäßig werden nach der Installation des Azure AD Connectors alle AD Objekte ins Azure AD synchronisiert. Dieses Verhalten ist jedoch nicht immer wünschenswert. Daher gibt es mehrere Möglichkeiten, die Synchronisation einzuschränken. Eine davon ist die Konfiguration von Filter Regeln in der Sychronization Rules Editor Anwendung.

Im folgenden Beispiel möchte ich nur die Benutzer synchroniseren, die im On-premise AD das ExtensionAttribute1 mit dem Wert AADSync befüllt haben. Alle anderen Benutzer sollen nicht ins Azure AD synchronisiert werden.

Dazu benötigt es zwei Regeln. Eine Regel für die Filterung der entsprechenden Benutzer und eine Regel für die restlichen Benutzer. Die zwei Regeln steuern letztlich nur das Attribut cloudFiltered = true/false.

  • cloudFiltered = true -> Objekt wird nicht in die Cloud synchronisiert
  • cloudFiltered = false -> Objekt wird in die Cloud synchronisiert
Filter Regel

Synchronization Rules Editor -> Direction: Inbound -> Add new rule

Description

Name:                         In from AD - User Sync By ExtensionAttribute1
Description:                  Sync Users with ExtensionAttribute1 = AADSync
Connected System:             <On-premise Domain Name>
Connected System Object Type: user
Metaverse Object Type:        person
Link Type:                    Join
Precedence:                   <niedriger als die Catch-All Regel>
Tag:                          
Enable Password Sync:         <unchecked>
Disabled:                     <unchecked>

Scoping filter

Add group -> Add clause:

Attribute:                    ExtensionAttribute1
Operator:                     EQUAL
Value:                        AADSync

Transformations

Add transformation:

FlowType:                     Constant
Target Attribute:             cloudFiltered
Source:                       false
Apply Once:                   <unchecked>
Merge Tpye:                   Update
Catch-All Regel

Synchronization Rules Editor -> Direction: Inbound -> Add new rule

Description

Name:                         In from AD - User Catch-All Filter
Description:                  Filter Rule for remaining Users
Connected System:             <On-premise Domain Name>
Connected System Object Type: user
Metaverse Object Type:        person
Link Type:                    Join
Precedence:                   <höher als die Filter Regel>
Tag:                          
Enable Password Sync:         <unchecked>
Disabled:                     <unchecked>

Transformations

Add transformation:

FlowType:                     Constant
Target Attribute:             cloudFiltered
Source:                       true
Apply Once:                   <unchecked>
Merge Type:                   Update
AD Objekttypen

Analog dazu lassen sich auch Filter-Regeln für die anderen AD Objekttypen konfigurieren. Dazu sind lediglich die Werte für Connected System Object Type und Metaverse Object Type anzupassen.

Connected System Object Type Metaverse Object Type
userperson
contactperson
groupgroup
computerdevice

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.