Mapování filtrů a atributů – ID Microsoft Entra do služby Active Directory
Výchozí mapování atributů můžete přizpůsobit podle potřeb vaší firmy. Můžete tedy změnit nebo odstranit existující mapování atributů nebo vytvořit nová mapování atributů.
Následující dokument vás provede oborem atributů microsoft Entra Cloud Sync pro zřizování z Microsoft Entra ID do Active Directory. Pokud hledáte informace o mapování atributů z AD na Microsoft Entra ID, přečtěte si téma Mapování atributů – Active Directory na Microsoft Entra ID.
Schéma pro konfiguraci Microsoft Entra ID do služby Active Directory
V současné době není schéma AD zjistitelné a existuje pevná sada mapování. Následující tabulka obsahuje výchozí mapování a schéma pro id Microsoft Entra na konfigurace služby Active Directory.
| Cílový atribut | Zdrojový atribut | Typ mapování | Notes |
|---|---|---|---|
| adminDescription | Append("Group_";[objectId]) | Výraz | NEJDE AKTUALIZOVAT V uživatelském rozhraní – NEAKTUALIZOVAT , používá se k filtrování AD do cloudové synchronizace Není vidět v uživatelském rozhraní |
| Kn | Append(Append(Left(Trim([displayName]);51);"_"),Mid([objectId],25;12)) | Expression | |
| description | Left(Trim([description]);448) | Výraz | |
| displayName | displayName | Direct | |
| isSecurityGroup | True | Konstanta | NEJDE AKTUALIZOVAT V UŽIVATELSKÉM ROZHRANÍ – NEAKTUALIZOVAT NEZOBRAZUJE V UŽIVATELSKÉM ROZHRANÍ |
| člen | členové | Direct | NEJDE AKTUALIZOVAT V UŽIVATELSKÉM ROZHRANÍ – NEAKTUALIZOVAT NEZOBRAZUJE V UŽIVATELSKÉM ROZHRANÍ |
| msDS-ExternalDirectoryObjectId | Append("Group_";[objectId]) | Výraz | NELZE AKTUALIZOVAT V uživatelském rozhraní – NEAKTUALIZOVAT použité pro připojování – porovnávání v AD Není viditelné v uživatelském rozhraní |
| ObjectGUID | NEJDE AKTUALIZOVAT V UŽIVATELSKÉM ROZHRANÍ – NEAKTUALIZOVAT JEN pro čtení – ukotvení v AD není viditelné v uživatelském rozhraní |
||
| parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Konstanta | Výchozí nastavení v uživatelském rozhraní |
| UniversalScope | True | Konstanta | NEJDE AKTUALIZOVAT V UŽIVATELSKÉM ROZHRANÍ – NEAKTUALIZOVAT NEZOBRAZUJE V UŽIVATELSKÉM ROZHRANÍ |
Mějte na paměti, že na portálu nejsou viditelná všechna výše uvedená mapování. Další informace o tom, jak přidat mapování atributů, naleznete v tématu mapování atributů.
vlastní mapování sAmAccountName
Atribut sAMAccount není ve výchozím nastavení synchronizovaný z Microsoft Entra ID do Active Directory. Z tohoto důvodu se při vytvoření nové skupiny ve službě Active Directory zobrazí náhodně vygenerovaný název.
Pokud chcete vlastní jedinečnou hodnotu pro sAMAccountName, můžete vytvořit vlastní mapování na sAMAccountName pomocí výrazu. Můžete například udělat něco takového: Join("_", [displayName], "Contoso_Group")
Tím se vezme hodnota displayName a přidá se do ní "Contoso_Group". Takže nový sAMAccountName by byl něco jako, Marketing_Contoso_Group
Důležité
Pokud se rozhodnete vytvořit mapování vlastních atributů pro sAMAccountName, musíte zajistit, aby byl jedinečný v rámci služby Active Directory.
Vymezení rozsahu cílového kontejneru filtru
Výchozí cílový kontejner je OU=User,DC=<domain selected at configuration start>DC=com. Můžete ho změnit tak, aby byl vaším vlastním kontejnerem.
Pomocí výrazu mapování atributů s funkcí Switch() je možné nakonfigurovat také více cílových kontejnerů. Pokud je u tohoto výrazu hodnota displayName Marketing nebo Sales, vytvoří se skupina v odpovídající organizační jednotky. Pokud neexistuje shoda, vytvoří se skupina ve výchozím organizačním objektu.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Další příklad je uvedený níže. Představte si, že máte následující tři skupiny a mají následující hodnoty atributů displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
K filtrování a zřizování skupin můžete použít následující příkaz switch:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Tento příkaz ve výchozím nastavení zřídí všechny skupiny pro kontejner OU=Groups,DC=contoso,DC=com ve službě Active Directory. Pokud ale skupina začíná NA, zřídí skupinu na OU=NorthAmerica,DC=contoso,DC=com. Podobně pokud skupina začíná SA na OU=SouthAmerica,DC=contoso,DC=com a EU na OU=Europe,DC=contoso,DC=com.
Další informace naleznete v tématu Referenční informace k zápisu výrazů pro mapování atributů v Microsoft Entra ID.
Filtrování oboru atributů
Podporuje se filtrování oborů na základě atributů. Můžete určit rozsah skupin na základě určitých atributů. Mějte však na paměti, že oddíl mapování atributů pro konfiguraci Microsoft Entra ID na Active Directory se mírně liší od tradiční části mapování atributů.
Podporované klauzule
Filtr oborů se skládá z jedné nebo více klauzulí. Klauzule určují, které skupiny mají povoleno předávat filtr oborů vyhodnocením atributů jednotlivých skupin. Můžete mít například jednu klauzuli, která vyžaduje, aby se atribut displayName skupiny rovnal "Marketing", takže jsou zřízeny pouze skupiny Marketing.
Výchozí seskupení zabezpečení
Výchozí seskupení zabezpečení se použije nad každou vytvořenou klauzulí a používá logiku AND. Obsahuje následující podmínky:
- securityEnabled IS True AND
- dirSyncEnabled JE NEPRAVDA A
- mailEnabled JE FALSE
Výchozí seskupení zabezpečení se použije jako první a při práci s jednou klauzulí použije logiku AND. Klauzule se pak bude řídit logikou popsanou níže.
Jedna klauzule definuje jednu podmínku pro jednu hodnotu atributu. Pokud se v jednom filtru oborů vytvoří více klauzulí, vyhodnotí se společně pomocí logiky AND. Logika AND znamená, že všechny klauzule musí být vyhodnoceny jako true, aby se uživatel zřídil.
Nakonec lze pro skupinu vytvořit několik filtrů oborů. Pokud existuje více filtrů oborů, vyhodnotí se společně pomocí logiky OR. Logika OR znamená, že pokud se některá z klauzulí v některém z nakonfigurovaných filtrů oborů vyhodnotí jako true, skupina se zřídí.
Podporované operátory
Podporují se následující operátory:
| Operátor | Popis |
|---|---|
| & | |
| ENDS_WITH | |
| ROVNÁ SE | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut přesně odpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena). |
| GREATER_THAN | Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší než hodnota. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...]. |
| GREATER_THAN_OR_EQUALS | Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut větší nebo roven hodnotě. Hodnota zadaná ve filtru oborů musí být celé číslo a atribut uživatele musí být celé číslo [0,1,2,...]. |
| ZAHRNUJE | |
| JE NEPRAVDA | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu false. |
| IS_MEMBER_OF | |
| není NULL. | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut není prázdný. |
| JE NULL | Klauzule vrátí hodnotu true, pokud je vyhodnocený atribut prázdný. |
| JE PRAVDA | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut obsahuje logickou hodnotu true. |
| !&L | |
| NEROVNÁ SE | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá hodnotě vstupního řetězce (rozlišují se malá a velká písmena). |
| NEODPOVÍDÁ REGULÁRNÍMU VÝRAZU | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut neodpovídá vzoru regulárního výrazu. Vrátí hodnotu false, pokud je atribut null / prázdný. |
| PŘÍTOMNÝ | |
| SHODA REGULÁRNÍCH VÝRAZŮ | Klauzule vrátí hodnotu true, pokud vyhodnocený atribut odpovídá vzoru regulárního výrazu. Příklad: ([1-9][0-9]) odpovídá libovolnému číslu v rozsahu 10 až 99 (rozlišují se malá a velká písmena). |
| VALID CERT MATCH |
Filtrování pomocí regulárních výrazů
Pokročilejší filtr může použít REGULEX POZVYHLEDAT. To umožňuje prohledávat atribut jako řetězec pro podřetězce tohoto atributu. Řekněme například, že máte několik skupin a všechny mají následující popisy:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Teď chcete ve službě Active Directory zřídit jenom skupiny Prodej, Marketing a Operations. K dosažení tohoto cíle můžete použít REGEX POZVYHLEDAT.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Tato funkce REGEX MATCH vyhledá popisy pro některá z následujících slov, která jsme zadali, a zřídí pouze tyto skupiny.
Vytvoření filtru založeného na atributech
K vytvoření filtru založeného na atributech použijte následující kroky:
- Klikněte na Přidat filtr atributů.
- Do pole Název zadejte název filtru.
- V rozevíracím seznamu v části Cílový atribut vyberte cílový atribut.
- V části Operátor vyberte operátor.
- V části Hodnota zadejte hodnotu.
- Klikněte na Uložit.
Další informace naleznete v tématu mapování atributů a odkaz pro zápis výrazů pro mapování atributů v Microsoft Entra ID.