Sincronizzare una nuova OU con Azure AD Connect (Entra ID): guida completa e troubleshooting

Se sposti utenti in una OU appena creata e “spariscono” da Entra ID/Microsoft 365, quasi sempre Azure AD Connect non sta sincronizzando quella OU. In questa guida ti mostro come includerla nel filtro di sincronizzazione, forzare un ciclo completo e verificare che tutto torni online.

Panoramica del problema

Sintomi: dopo aver spostato account utente nella nuova OU dell’Active Directory on‑premises, tali account risultano eliminati o rimossi in Entra ID/Microsoft 365. Riportandoli nelle OU “vecchie”, riappaiono correttamente.

Causa principale: la nuova OU non è inclusa nel Domain/OU filtering di Azure AD Connect. Gli oggetti che escono dall’ambito di sincronizzazione vengono considerati “deleted” e vanno nel cestino cloud (soft‑delete).

Soluzione rapida (procedura consigliata)

1. Apri Azure AD Connect sul server che effettua la sincronizzazione.
2. Seleziona Configure → Customize Synchronization Options e autentica:
   • con un account Entra ID con ruolo adeguato (es. Global Administrator o Hybrid Identity Administrator);
   • con credenziali AD DS con permessi sufficienti a leggere la struttura delle OU.
3. Nella pagina Domain/OU filtering, spunta la nuova OU da sincronizzare (e verifica che restino selezionate le OU già necessarie).
4. Completa il wizard con Next → Configure → Finish.
5. Apri PowerShell sul server di Azure AD Connect ed esegui un ciclo iniziale: Import-Module ADSync Start-ADSyncSyncCycle -PolicyType Initial

Dopo il ciclo “Initial”, gli utenti nella nuova OU rientreranno nell’ambito di sincronizzazione e torneranno visibili in Entra ID/M365.

Perché succede: come funziona il filtro OU

Durante il setup (o una riconfigurazione) puoi scegliere se sincronizzare tutti i domini/OU oppure solo alcune OU. In molti ambienti di produzione si selezionano OU specifiche per limitare l’ambito di sincronizzazione e ridurre il carico. Quando crei nuove OU, queste non vengono incluse automaticamente se stai usando la modalità “OU selezionate”: devi quindi aggiungerle manualmente al filtro.

Procedura guidata dettagliata

Di seguito i passaggi con note operative e controlli da eseguire mentre aggiorni la configurazione.

Passo	Azione	Cosa verificare
Accesso	Apri Azure AD Connect sul server di sincronizzazione.	Conferma che stai lavorando sul server attivo (non sul server in staging mode, se presente).
Wizard	Configure → Customize Synchronization Options.	Autenticazione con account autorizzati sia lato Entra ID sia lato AD DS.
Filtro OU	Pagina Domain/OU filtering: seleziona la nuova OU e lascia marcate le OU già in uso.	Accertati che non vengano deselezionate per errore OU critiche (es. OU dei gruppi o dei servizi).
Conferma	Next → Configure → Finish.	Salva uno screenshot come evidenza di change management.
Sync	PowerShell: Start-ADSyncSyncCycle -PolicyType Initial.	Attendi il completamento del ciclo e controlla che lo stato del scheduler non indichi errori.

Verifica post‑configurazione

• Portal Entra ID: gli utenti precedentemente soft‑deleted tornano nello stato “attivo” dopo l’esportazione.
• Miisclient (Synchronization Service Manager): Full Import → Full Synchronization sull’AD Connector, quindi Export sul connettore di Azure AD senza errori bloccanti.
• Group membership: verifica che i gruppi sincronizzati mantengano le appartenenze previste.
• Licenze: se usi l’assegnazione di licenze dinamica o per gruppo, controlla che gli utenti ricevano le licenze attese.

Automazione e PowerShell: cosa puoi e non puoi fare

Importante: la selezione delle OU non è esposta da cmdlet ufficiali; non esiste un comando supportato per aggiungere o rimuovere OU via script. La modifica del filtro OU si esegue dal wizard di Azure AD Connect. Se hai più server (es. staging e produzione), ripeti il wizard su ciascun server o usa una procedura di installazione coerente (es. Export Settings/Import Settings durante setup).

Comandi utili del modulo ADSync

# Avvia un ciclo completo (import/sync/export)
Start-ADSyncSyncCycle -PolicyType Initial

Avvia un delta (più rapido, quando hai già incluso la OU)

Start-ADSyncSyncCycle -PolicyType Delta

Verifica pianificazione del Sync

Get-ADSyncScheduler

(Opzionale) Disabilita/abilita il ciclo schedulato temporaneamente

Set-ADSyncScheduler -SyncCycleEnabled \$false
Set-ADSyncScheduler -SyncCycleEnabled \$true 

Risoluzione problemi: se gli utenti non ricompaiono

Controlla il filtro OU e le regole di sincronizzazione

• Domain/OU filtering: conferma che la nuova OU sia spuntata e che non siano deselezionati i domini o le OU superiori.
• Synchronization Rules Editor: verifica che non esistano regole personalizzate che escludono quella OU o filtrano gli utenti in base a attributi (es. userAccountControl, msExchHideFromAddressLists, extensionAttributeX).

Soglia di eliminazione accidentale (Accidental Deletion Threshold)

Se Azure AD Connect rileva molte eliminazioni in un singolo export, può bloccare l’operazione per prevenire cancellazioni massive inattese. In questo caso:

# Controlla lo stato del scheduler
Get-ADSyncScheduler

Verifica la soglia configurata

Get-ADSyncExportDeletionThreshold

(Eccezione) Disabilita temporaneamente la protezione per un connettore specifico

Sostituisci il nome del connettore con quello del tuo tenant Azure AD

Disable-ADSyncExportDeletionThreshold -ConnectorName "tenant.onmicrosoft.com - AAD"

(Consigliato) Reimposta/abilita dopo l'export

Enable-ADSyncExportDeletionThreshold -ConnectorName "tenant.onmicrosoft.com - AAD"

Imposta una soglia più adatta al tuo ambiente (usa con cautela)

Set-ADSyncExportDeletionThreshold -DeletionThreshold 500 

Nota operativa: usa la disabilitazione solo per sbloccare una modifica attesa e validata; riabilita subito la protezione terminata l’operazione.

Log e diagnostica

• Event Viewer → Applications and Services Logs → Directory Synchronization/Synchronization‑Service: errori “export‑error”, “stopped‑extension‑dll‑exception”, “permission‑issue” indicano problemi da investigare.
• Percorso log: C:\ProgramData\AADConnect contiene file utili per tracciare import/sync/export.
• Miisclient: in Operations apri i run più recenti e controlla adds/updates/deletes per l’AD Connector e per l’AAD Connector, filtrando la OU interessata.

UPN, suffix e domini verificati

Se il suffisso UPN degli utenti non corrisponde a un dominio verificato nel tenant, l’export può fallire o creare incongruenze. Esempio: utenti con UPN nome@contoso.local dovrebbero usare un suffisso routabile e verificato (es. nome@contoso.com). Aggiorna il suffisso UPN on‑prem e ripeti il sync.

Attributi chiave e identità

• ImmutableId (sourceAnchor): spostare utenti tra OU non cambia l’oggetto, quindi l’ancora rimane la stessa; se vedi hard‑match falliti, verifica che non esistano duplicati o oggetti cloud “orfani”.
• ProxyAddresses: controlla conflitti (duplicati) su SMTP/alias, soprattutto dopo spostamenti massivi.

Cloud Recycle Bin: ripristino degli utenti soft‑deleted

Se gli account sono finiti nel cestino cloud, li puoi ripristinare dalla sezione “Utenti eliminati” del portale Entra ID. Il ripristino ricollega l’oggetto al suo controparte on‑prem quando l’utente torna nell’ambito di sincronizzazione. Esegui poi un Delta:

Start-ADSyncSyncCycle -PolicyType Delta

Buone pratiche operative

• Pianifica le nuove OU: prima di spostare utenti, aggiungi la OU nel filtro e fai un Initial a finestre ridotte.
• Blocchi piccoli: sposta utenti a lotti (es. 50–100) e verifica in portale/miisclient gli effetti prima di procedere.
• Monitoraggio: usa Azure AD Connect Health (se abilitato) o report di sincronizzazione per intercettare anomalie.
• IDFix prima di migrazioni massive: corregge UPN, proxyAddresses, duplicati e formati non validi.
• Documentazione: conserva screenshot del Domain/OU filtering e, se possibile, esporta le impostazioni dell’installazione (Export Settings) come evidenza ripetibile.
• Evita modifiche notturne “alla cieca”: mantieni sempre un canale di rollback (re‑selezione della OU, ripristino utenti, ri‑abilitazione soglia).
• Naming e struttura OU: progetta OU funzionali (utenti, servizi, disabilitati) e separa chiaramente oggetti esclusi dalla sincronizzazione.
• Staging: se usi un server in staging mode, allinea le stesse OU anche lì per non creare divergenze al momento dello switch.

Alternative e scenari particolari

Hai scelto “Sincronizza tutte le OU”

Se al setup avevi lasciato l’opzione “tutte le OU”, una nuova OU dovrebbe essere inclusa automaticamente. Se non accade, verifica:

• che il dominio sia incluso nel filtro;
• che non ci siano regole di scoping o filtri a livello di attributi che escludono quell’OU.

Azure AD Connect Cloud Sync

Se non usi il tradizionale “Azure AD Connect” ma la variante Cloud Sync (agent‑based), l’inclusione della OU si configura nell’agente cloud (Sync scope) e non nel wizard di AAD Connect. La logica però resta la stessa: se la OU non è nel scope, gli utenti escono dall’ambito.

Checklist pronta all’uso

Attività	Stato	Note
Individua la OU appena creata e il suo DN (es. OU=NuoviUtenti,DC=contoso,DC=com)	□	Annota il DN per ricerche e filtri.
Aggiungi la OU nel Domain/OU filtering del wizard	□	Verifica che le OU precedenti restino selezionate.
Esegui Start-ADSyncSyncCycle -PolicyType Initial	□	Controlla lo stato in miisclient.
Controlla utenti in Entra ID (attivi)	□	Campionamento su 5–10 utenti spostati.
Verifica gruppi e licenze	□	Soprattutto per gruppi dinamici e assegnazioni automatiche.
Rivedi la Deletion Threshold (se scattata)	□	Riabilita la protezione dopo l’export.
Documenta e archivia evidenze	□	Screenshot e note di change.

FAQ

Posso includere la OU via PowerShell?
No. L’inclusione/esclusione delle OU non è supportata tramite cmdlet ufficiali: va modificata dal wizard di Azure AD Connect.

Serve un “Initial” o basta un “Delta”?
Dopo aver modificato il filtro OU, esegui un -PolicyType Initial per importare e applicare correttamente l’ambito. In seguito, i normali cicli Delta sono sufficienti.

Gli utenti sono stati eliminati in cloud: li ho persi?
No: se la cancellazione è stata causata dall’esclusione dal filtro e gli oggetti sono nel soft‑delete, puoi ripristinarli dal portale dopo aver re‑incluso la OU e aver eseguito il ciclo di sincronizzazione.

Ho più server (prod + staging): devo ripetere?
Sì. Ogni server di Azure AD Connect mantiene la propria configurazione. Allinea il filtro OU su tutti i server coinvolti.

La mia OU contiene anche oggetti che non voglio sincronizzare (es. account di servizio)
Valuta filtri a livello di attributi o una struttura OU più granulare (es. separare gli account di servizio in una OU esclusa).

Appendice: comandi e verifiche rapide

Elenco utenti in una OU (on‑prem)

Import-Module ActiveDirectory
Get-ADUser -SearchBase "OU=NuoviUtenti,DC=contoso,DC=com" -Filter * `
  -Properties mail,UserPrincipalName,Enabled | 
  Select-Object Name, SamAccountName, UserPrincipalName, mail, Enabled

Controllare lo stato del ciclo

Get-ADSyncScheduler | Select-Object NextSyncCycleStartTime, SyncCycleInProgress, SchedulerSuspended

Forzare un delta dopo modifiche leggere

Start-ADSyncSyncCycle -PolicyType Delta

Aprire il Synchronization Service Manager

"C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe"

Esempio pratico: dalla creazione della OU al ripristino degli utenti

1. Crei OU=FilialeMilano e sposti 200 utenti da OU=Utenti a OU=FilialeMilano.
2. Con filtro “OU selezionate” non includi la nuova OU: al successivo export, Azure AD Connect contrassegna i 200 utenti come deleted in cloud.
3. Ti accorgi del problema perché i team di supporto segnalano impossibilità di login su M365.
4. Rimedi: apri il wizard, selezioni OU=FilialeMilano, esegui Start-ADSyncSyncCycle -PolicyType Initial.
5. Verifichi in miisclient che l’AAD Connector esporti “add/update” per quegli utenti e che il portale li mostri nuovamente “attivi”.

Errori comuni da evitare

• Deselezionare per errore una OU già sincronizzata mentre se ne aggiunge una nuova.
• Scordare lo staging: cambiare la configurazione solo su un server quando ne esistono due.
• Ignorare la Deletion Threshold: disabilitarla e dimenticare di riabilitarla.
• UPN non routabili: lasciare @dominio.local come UPN e aspettarsi un provisioning cloud regolare.
• Non monitorare run import/sync/export: gli errori restano silenti fino a segnalazioni degli utenti.

Template di comunicazione/Change Management

Quando introduci una nuova OU, invia una breve comunicazione interna per prevenire incidenti:

Oggetto: Aggiornamento filtro OU di Azure AD Connect
Finestra: 18:00–19:00
Impatto: nessuno atteso; monitoreremo sincronizzazione e licenze.
Operazioni: inclusione OU=FilialeMilano nel filtro, ciclo “Initial”, verifica campione utenti.
Rollback: re‑selezione filtri originali + ripristino utenti dal cestino cloud.

Conclusioni

Il comportamento “sparizione/ricomparsa” degli utenti spostati in una nuova OU è un effetto diretto del filtro di sincronizzazione di Azure AD Connect. Includendo la OU nel Domain/OU filtering e avviando un ciclo Initial risolvi il problema in modo pulito e tracciabile. Con le buone pratiche suggerite (monitoraggio, IDFix, staging allineato, soglia di eliminazione prudente), eviti incidenti e mantieni la sincronizzazione igienica tra AD on‑prem ed Entra ID.

---

Riepilogo operativo

1. Apri il wizard di Azure AD Connect.
2. Includi la nuova OU nel Domain/OU filtering.
3. Esegui Start-ADSyncSyncCycle -PolicyType Initial.
4. Verifica export senza errori e stato utenti “attivo”.

Fatto questo, la nuova OU rientrerà stabilmente nell’ambito di sincronizzazione e gli utenti resteranno visibili in Microsoft Entra ID/Microsoft 365.