Manchmal muss der Admin genau ein einziges Objekt, oder nur wenige ganz bestimmte Objekte von der Synchronisation vom lokalen AD in das Microsoft 365 Azure AD ausschließen.
Das geht überraschend einfach, mann kann exclude-Regeln einfach im „Synchronization Rule Editor“ hinzufügen.
Schritt für Schritt Anleitung um ein Objekt nicht mehr zu synchroniseren
- Zeitplan für die Synchronisation abschalten, damit keine automatischen Aufgaben die Änderungen durcheinander bringen:
Set-ADSyncScheduler -SyncCycleEnabled $False
Der Status des ADSyncSchedulers lässt sich jeder überprüfen mittels:
Get-ADSyncScheduler | Format-List SyncCycleEnabled
2. „Synchronization Rules Editor“ starten (als Administrator)
3. In der „View and manage …“ Liste die „Direction“ auf „Inbound“ stellen und eine freie Nummer unterhalb der bestehenden „Precedence“ Regeln finden (und merken). In der Regel ist das irgendetwas <100.
4. Oben rechts „Add New rule“
5. Den „Create inbound synchronization rule“ Assistenten nun ausfüllen:
- Name: Ein beschreibender Name, z.B. „In from AD – Bernd auslassen“
- Connected System: Der lokale AD Forest
- Connected System Object Type: user
- Metaverse Object Type: Person
- Link Type: join
- Precedence: Die gemerkte Nummer von oben (z.B. „90“)
- „Tag“, „Enable Password Sync“ oder „Disabled“ nicht verändern
- Next > …
6. „Add group“ > dann > „Add clause“
7. Als „Attribut“ ein zu filterned Attribut wählen, zum Beispiel den „name“ oder ein anderes Attribut. Bei größeren Mengen an Objekten nutzen wir hier gerne die „Extended Attributes“, die normalerweise solange ungenutzt und leer sind. Der Operator ist im Beispiel „equal“, der „Value“ der zu matchende Inhalt.
8. „Next >“, an den nun angezeigten „Add join Rules“ nichts ändern > „Next >“
9. Bei den „Add join rules“ eine Transformation hinzufügen:
- „Add transformation“ >
- FlowType: Constant
- Target Attribute: cloudFiltered
- Source: True
- Apply Once: leer lassen
- Merge Type: Update
- Unten auf „Add“
10. „Synchronization Rules Editor“ schliessen, „Synchronization Service“ öffnen
11. „Connectors“ > Actions > Run > Full Synchronization > OK
12. „Operations“ Den Zyklus abwarten, Full dauert immer einen Moment …
13. Den Synchronization Schedule wieder einschalten:
Set-ADSyncScheduler -SyncCycleEnabled $True
14. Und einmal die Initial-Synchronisation laufen lassen:
Start-ADSyncSyncCycle -PolicyType Initial
Vielen Dank, hat super geklappt =)