Utiliser des règles d'exclusion avec GCDS

Vous pouvez contrôler les données que Google Cloud Directory Sync (GCDS) peut examiner et mettre à jour. À l'aide de règles d'exclusion, vous pouvez exclure de la synchronisation certaines données telles que des comptes utilisateur, des profils, des groupes, des unités organisationnelles ou des ressources d'agenda. Si une entité est exclue à l'aide d'une règle d'exclusion, GCDS effectue la synchronisation comme si cette entité n'existait pas.

Remarques concernant les données LDAP

S'il y a des éléments de votre serveur d'annuaire LDAP que vous ne souhaitez pas ajouter à votre compte Google, créez une règle de recherche LDAP pour ne pas renvoyer ces entités. Pour en savoir plus, consultez Optimiser vos règles de recherche.

Si cela n'est pas possible, utilisez une règle d'exclusion LDAP. Vous pouvez également utiliser une règle d'exclusion Google pour les entités de votre compte Google qui n'existent pas dans votre domaine LDAP, mais qui doivent rester dans votre compte Google.

Contrôler ce que GCDS synchronise avec les règles d'exclusion

Tout ouvrir   |   Tout fermer

Ajouter ou supprimer une règle d'exclusion, ou modifier son niveau de priorité

Ajouter une règle d'exclusion

  1. Dans l'onglet "Exclusion Rules" (Règles d'exclusion), cliquez sur Add Exclusion Rule (Ajouter une règle d'exclusion).
  2. Renseignez les options suivantes :
    • Type : dans le menu, spécifiez le type de données à exclure.
    • Match type (Type de correspondance) : spécifiez le type de règle à utiliser pour le filtre. Dans le menu, sélectionnez l'une des options suivantes :
      • Exact match (Correspondance exacte) : les données doivent correspondre exactement à la règle.
      • Substring match (Correspondance de sous-chaîne) : les données doivent contenir le texte de la règle en tant que sous-chaîne.
      • Regular expression (Expression régulière) : les données doivent correspondre à l'expression régulière spécifiée.
    • Exclusion rule (Règle d'exclusion) : saisissez la chaîne à rechercher ou l'expression régulière de la règle d'exclusion.
  3. Cliquez sur OK.

Changer le niveau de priorité d'une règle d'exclusion

Les règles d'exclusion s'appliquent dans l'ordre dans lequel elles apparaissent dans le tableau. Pour modifier cet ordre, procédez comme suit :

  1. Dans l'onglet Exclusion Rules (Règles d'exclusion), cliquez sur la règle d'exclusion souhaitée.
  2. Cliquez sur la flèche vers le haut ou vers le bas pour augmenter ou diminuer le niveau de priorité.

Supprimer une règle d'exclusion

  1. Dans l'onglet Exclusion Rules (Règles d'exclusion), cliquez sur la règle d'exclusion souhaitée.
  2. Cliquez sur X.
Utiliser des règles pour vos données LDAP

Si des données de votre serveur d'annuaire LDAP correspondent à vos règles de recherche mais ne doivent pas être ajoutées à un domaine Google, utilisez une règle d'exclusion LDAP de manière à exclure ces données de la synchronisation.

Unités organisationnelles

Objectif de la règle d'exclusion Certaines unités organisationnelles de votre serveur LDAP correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'elles soient ajoutées à un domaine Google.
Type d'exclusion "Org Unit DN" (nom distinctif de l'unité organisationnelle)

Basez la règle d'exclusion sur le nom distinctif de l'unité organisationnelle à exclure.

Exemple Plusieurs unités organisationnelles ne sont plus utilisées, car deux bureaux ont été réunis. Le nom distinctif de toutes les unités organisationnelles abandonnées comprend les caractères "stpaul".
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
  • Rule (Règle) : stpaul

Comptes utilisateur

Objectif de la règle d'exclusion Des comptes utilisateur de votre serveur d'annuaire LDAP correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google.
Type d'exclusion Spécifiez les données LDAP à exclure.
  • Primary Address (Adresse principale) : exclut les adresses principales correspondant à cette règle.
  • Alias Address (Alias d'adresse e-mail) : exclut les alias qui correspondent à cette règle.
Si vous souhaitez exclure à la fois l'adresse principale et les alias d'adresses e-mail, créez deux règles d'exclusion.
Exemple Ajoutez une règle distincte pour chaque utilisateur s'étant désinscrit du domaine Google et dont le compte ne doit pas être synchronisé. Première règle :
  • Exclusion type (Type d'exclusion) : "Primary address" (Adresse principale)
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
  • Rule (Règle) : atif

Deuxième règle :

  • Exclusion type (Type d'exclusion) : "Primary address" (Adresse principale)
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
  • Rule (Règle) : svetlana

Groupes

Objectif de la règle d'exclusion Certaines entrées de votre serveur LDAP correspondent à une règle de liste de diffusion, mais vous ne souhaitez pas utiliser de liste de diffusion sur un domaine Google.
Type d'exclusion Spécifiez les données LDAP à exclure.
  • Group Name (Nom du groupe) : exclut tout groupe dont le nom correspond à la règle.
  • Group Address (Adresse du groupe) : exclut tout groupe dont l'adresse e-mail correspond à la règle.
  • Member Address (Adresse de membre) : exclut de tout groupe les comptes utilisateur dont l'adresse e-mail principale correspond à la règle.
Exemple Des listes de diffusion ne sont plus utilisées, car deux bureaux adjacents ont été réunis. L'adresse des listes abandonnées comprend les caractères "stpaul".
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
  • Rule (Règle) : stpaul

Profil utilisateur

Objectif de la règle d'exclusion Votre serveur LDAP contient des informations de profil utilisateur que vous ne souhaitez pas synchroniser avec un domaine Google.
Exemple Les imprimantes sont répertoriées en tant que comptes utilisateur LDAP et correspondent à la requête LDAP. Le nom de toutes les imprimantes comprend le mot "imprimante". La règle effectue donc une recherche sur cette sous-chaîne.
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
  • Rule (Règle) : imprimante

Contacts partagés

Objectif de la règle d'exclusion Vous avez des contacts sur votre serveur d'annuaire LDAP qui correspondent à vos règles de recherche, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google.
Exemple Environ 500 comptes utilisateur test sont répertoriés sur le serveur LDAP, mais sont uniquement destinés à des tests internes. Le nom des comptes utilisateur test suit toujours le même format : test-interneX, où X correspond à un nombre. Tous les comptes utilisateur appartiennent au même domaine.
  • Match type (Type de correspondance) : "Regular Expression" (Expression régulière)
  • Rule (Règle) : test-interne[0-9]*@example.com

Ressources d'agenda

Objectif de la règle d'exclusion Certains éléments de votre serveur LDAP correspondent à vos règles de recherche de ressources d'agenda, mais vous ne souhaitez pas qu'ils soient ajoutés à un domaine Google en tant que ressources d'agenda.
Types d'exclusion Spécifiez les données LDAP à exclure.
  • Calendar Resource Id (ID de la ressource d'agenda) : les ressources d'agenda dont l'attribut d'ID spécifié dans "LDAP Calendar Resources Attributes" (Attributs des ressources d'agenda LDAP) correspond au format sont exclues par GCDS.
  • Calendar Resource Display Name (Nom à afficher de la ressource d'agenda) : les ressources d'agenda dont l'attribut de nom à afficher spécifié dans "LDAP Calendar Resources Attributes" (Attributs des ressources d'agenda LDAP) correspond au format sont exclues par GCDS.

Pour exclure des ID de ressource et des noms à afficher, créez deux règles d'exclusion.

Exemple Les imprimantes sont répertoriées en tant que ressources LDAP et correspondent à la requête LDAP. Le nom de toutes les imprimantes comprend le mot "imprimante".
  • Exclusion type (Type d'exclusion) : ID de ressource d'agenda
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
  • Rule (Règle) : imprimante
Utiliser des règles pour les données Google

Il est possible que certaines entités de votre compte Google, telles que des utilisateurs ou des groupes, n'existent pas dans votre domaine LDAP, mais que vous souhaitiez les conserver dans votre compte Google. Utilisez une règle d'exclusion de domaine Google pour que, lors de la synchronisation, les entités Google restent :

  1. Cliquez sur l'onglet Google Domain configuration (Configuration du domaine Google).
  2. Dans l'onglet "Exclusion Rules" (Règles d'exclusion), cliquez sur Add Exclusion Rule (Ajouter une règle d'exclusion).
  3. Sous Type, sélectionnez dans la liste l'un des éléments suivants :
    • Organization Complete Path (Chemin complet d'unité organisationnelle) pour exclure des organisations et leurs utilisateurs
    • User Email Address (Adresse e-mail du compte utilisateur) pour exclure des utilisateurs
    • Alias Email Address (Adresse e-mail de l'alias) pour exclure des alias utilisateur
    • Group Email Address (Adresse e-mail de groupe) pour exclure des groupes
    • Group Member Email Address (Adresse e-mail du membre du groupe) pour exclure des membres de groupes
    • User Profile Primary Sync Key (Clé de synchronisation principale de profil utilisateur) pour exclure des profils utilisateur par clé de synchronisation
    • Shared Contact Primary Sync Key (Clé de synchronisation principale de contact partagé) pour exclure les contacts partagés par clé de synchronisation
    • Calendar Resource ID (ID de ressource d'agenda) pour exclure des ressources par ID
    • Calendar Resource Display Name (Nom à afficher de la ressource d'agenda) pour exclure par nom
    • Calendar Resource Type (Type de ressource d'agenda) pour exclure par catégorie
  4. Pour Match Type (Type de correspondance), sélectionnez :
    • Exact Match (Correspondance exacte) pour établir une correspondance avec un mot clé précis
    • Substring Match (Correspondance de sous-chaîne) pour établir une correspondance partielle avec un mot clé
    • Regular Expression (Expression régulière) pour établir une correspondance avec le mot clé à l'aide d'une expression régulière
  5. Cliquez sur OK.
Conserver des attributs différents dans vos données Google

Si vous souhaitez que les entités de vos domaines Google et LDAP ne soient pas mises à jour dans votre compte Google, utilisez deux règles d'exclusion :

  • Une règle d'exclusion de domaine Google permettant d'exclure les entités du compte Google
  • Une règle d'exclusion de domaine LDAP excluant les entités du domaine LDAP

Lorsque vous effectuez une synchronisation, les entités ne sont pas synchronisées et restent inchangées dans le compte Google.

Par exemple, vous devrez peut-être conserver dans votre compte Google un attribut utilisateur, tel qu'une unité organisationnelle, qui soit différent de l'attribut utilisateur du domaine LDAP. L'utilisation de deux règles d'exclusion vous permet de vous assurer que les attributs ne changent pas lors d'une synchronisation. Pour en savoir plus, consultez l'article Conserver des attributs utilisateur différents lors de la synchronisation.

Exemples de règles d'exclusion

Règle d'exclusion LDAP pour un compte utilisateur

Dans cet exemple, les imprimantes sont répertoriées en tant que comptes utilisateur LDAP et correspondent à la requête LDAP. Vous devez toutefois vous assurer que les imprimantes ne sont pas identifiées en tant que comptes utilisateur Google. Toutes les imprimantes comportent le mot "imprimante" dans le nom du répertoire LDAP. La règle effectue donc une recherche sur cette sous-chaîne.

  • Type : adresse principale
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne)
  • Règle d'exclusion : imprimante
Règle d'exclusion LDAP pour une ressource d'agenda

Certaines salles de conférence sont transformées en bureaux. Vous voulez vous assurer qu'elles ne sont pas importées en tant que ressources d'agenda. Ajoutez une règle pour chaque salle de conférence.

Première règle :

  • Type : nom à afficher de la ressource d'agenda
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
  • Règle d'exclusion : SalledeConference-MontBlanc

Deuxième règle :

  • Type : nom à afficher de la ressource d'agenda
  • Match type (Type de correspondance) : "Substring Match" (Correspondance de sous-chaîne) ou "Exact Match" (Correspondance exacte)
  • Règle d'exclusion : SalledeConference-GrandesPlaines
Règle d'exclusion LDAP pour un groupe

Le serveur LDAP compte environ 500 listes de diffusion de test, consacrées uniquement à des tests de charge internes. Tous les comptes utilisateur test appartiennent au même domaine, et le nom de chaque compte suit le même schéma, à savoir test-interneX, où X correspond à un chiffre.

  • Type : Adresse du groupe
  • Match type (Type de correspondance) : "Regular Expression" (Expression régulière)
  • Exclusion Rule (Règle d'exclusion) : test-interne[0-9]*@example.com
Règle d'exclusion d'utilisateurs Google

Si un utilisateur ne figure pas dans votre serveur d'annuaire LDAP, GCDS le supprime de votre liste d'utilisateurs Google et de Google Groupes. Pour les comptes utilisateur et les groupes qui n'existent pas dans votre annuaire LDAP, utilisez une règle d'exclusion afin que les utilisateurs et les groupes restent dans votre compte Google Workspace ou Cloud Identity. Les comptes administrateur Google sont exclus par défaut. Vous n'avez donc pas besoin de créer de règle d'exclusion pour ces comptes.

Option 1 : utiliser une unité organisationnelle pour fidéliser les utilisateurs

Déplacez les comptes utilisateur vers une unité organisationnelle dédiée et créez une règle d'exclusion pour elle dans les paramètres Google domain configuration (Configuration du domaine Google) du gestionnaire de configuration.

  • Type : Organization Complete Path (Chemin complet de l'unité organisationnelle)
  • Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
  • Exclusion Rule (Règle d'exclusion) : / OUPath/MyExcludeOU

Option 2 : utiliser une adresse e-mail

Créez une règle d'exclusion correspondant à une adresse e-mail dans les paramètres Google domain configuration (Configuration du domaine Google) du gestionnaire de configuration.

  • Type : adresse e-mail d'utilisateur ou adresse de groupe
  • Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
  • Exclusion Rule (Règle d'exclusion) : utilisateur@example.com

Option 3 : exclure toutes les autres organisations

Si vous souhaitez synchroniser vos utilisateurs LDAP dans une unité organisationnelle racine et ses sous-organisations listées ci-dessous, vous devez exclure toutes les autres unités organisationnelles racines. L'expression régulière suivante exclut toutes les unités organisationnelles racines autres que celles commençant par MyIncludedOU. N'incluez pas de barre oblique au début si vous utilisez des expressions régulières.

  • Type : Organization Complete Path (Chemin complet de l'unité organisationnelle)
  • Match type (Type de correspondance) : "Regular Expression" (Expression régulière)
  • Exclusion Rule (Règle d'exclusion) : ^((?!MyIncludedOU).)*$

Option 4 : clé de synchronisation principale du profil utilisateur

Cette clé vous permet d'indiquer l'adresse e-mail d'un utilisateur, d'un groupe ou d'un membre à exclure d'une synchronisation. Exclure une adresse de membre ne la supprime pas du groupe dans le domaine Google.

  • Type : "User profile primary sync key" (Clé de synchronisation principale du profil utilisateur)
  • Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
  • Règle d'exclusion : jsmith@solarmora.com
Règle d'exclusion du profil utilisateur

Dans cet exemple, vous pouvez spécifier les profils utilisateur à exclure d'une synchronisation.

  • Type : "Sync Key" (Clé de synchronisation)
  • Match type (Type de correspondance) : "Exact Match" (Correspondance exacte)
  • Règle d'exclusion : jsmith@solarmora.com

    Remarque : Si vous choisissez de remplacer le nom de domaine des adresses e-mail LDAP (d'utilisateurs et de groupes) par @solarmora.com, ne spécifiez pas ce nom de domaine dans la règle d'exclusion. Indiquez jsmith au lieu de jsmith@solarmora.com.

Articles associés


Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.

Recherche
Effacer la recherche
Fermer le champ de recherche
Applications Google
Menu principal
Rechercher dans le centre d'aide
true
73010
false