Bereichsfilter und Attributzuordnung – Microsoft Entra ID zu Active Directory
Sie können die Standardattributzuordnungen den Anforderungen Ihres Unternehmens entsprechend anpassen. Dies bedeutet, dass Sie vorhandene Attributzuordnungen ändern oder löschen und neue Attributzuordnungen erstellen können.
Das folgende Dokument führt Sie durch die attributbasierte Bereichsdefinition mit Microsoft Entra-Cloudsynchronisierung für die Bereitstellung aus Microsoft Entra ID in Active Directory. Informationen zur Attributzuordnung von AD zu Microsoft Entra ID finden Sie unter Attributzuordnung – Active Directory zu Microsoft Entra ID.
Schema der Microsoft Entra-ID für Active Directory-Konfigurationen
Derzeit ist das AD-Schema nicht auffindbar, und es gibt eine feste Anzahl an Zuordnungen. Die folgende Tabelle enthält die Standardzuordnungen und das Schema für die Konfiguration der Microsoft Entra ID zum AD.
| Zielattribut | Quellattribut | Zuordnungstyp | Hinweise |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | Ausdruck | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Wird verwendet, um die Synchronisierung von AD in die Cloud zu filtern Wird nicht auf der Benutzeroberfläche angezeigt |
| cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Ausdruck | |
| Beschreibung | Left(Trim([description]),448) | Ausdruck | |
| displayName | displayName | Direkt | |
| isSecurityGroup | True | Dauerhaft | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Wird nicht auf der Benutzeroberfläche angezeigt |
| member | Member | Direkt | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Wird nicht auf der Benutzeroberfläche angezeigt |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Ausdruck | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Wird zum Verknüpfen und Abgleichen in AD verwendet Wird nicht auf der Benutzeroberfläche angezeigt |
| ObjectGUID | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Schreibgeschützter Anker in AD Wird nicht auf der Benutzeroberfläche angezeigt |
||
| parentDistinguishedName | OU=Users,DC=<Domäne, die zu Beginn der Konfiguration ausgewählt wurde>,DC=com | Konstante | Standard in der Benutzeroberfläche |
| UniversalScope | True | Dauerhaft | AKTUALISIERUNG AUF DER BENUTZEROBERFLÄCHE NICHT MÖGLICH – NICHT AKTUALISIEREN Wird nicht auf der Benutzeroberfläche angezeigt |
Beachten Sie, dass nicht alle oben genannten Zuordnungen im Portal angezeigt werden. Weitere Informationen zum Hinzufügen einer Attributzuordnung finden Sie unter Attributzuordnung.
benutzerdefinierte sAmAccountName-Zuordnung
Das sAMAccount-Attribut wird standardmäßig nicht von Microsoft Entra ID mit Active Directory synchronisiert. Aus diesem Grund erhält sie, wenn die neue Gruppe in Active Directory erstellt wird, einen zufällig generierten Namen.
Wenn Sie ihren eigenen eindeutigen Wert für sAMAccountName verwenden möchten, können Sie mithilfe eines Ausdrucks eine benutzerdefinierte Zuordnung zu sAMAccountName erstellen. So könnten Sie beispielsweise Folgendes tun: Join("_", [displayName], "Contoso_Group")
Dadurch wird dem Wert „displayName“ „Contoso_Group“ hinzugefügt. Der neue sAMAccountName würde also ungefähr so lauten: Marketing_Contoso_Group.
Wichtig
Wenn Sie eine benutzerdefinierte Attributzuordnung für sAMAccountName erstellen, müssen Sie sicherstellen, dass sie in Active Directory eindeutig ist.
Zielcontainer für Bereichsfilter
Der Standardzielcontainer ist „OU=User,DC=<zu Konfigurationsbeginn ausgewählte Domäne>,DC=com“. Sie können diesen in Ihren eigenen benutzerdefinierten Container ändern.
Mehrere Zielcontainer können auch mithilfe eines Attributzuordnungsausdrucks mit der Switch()-Funktion konfiguriert werden. Die Gruppe wird in der entsprechenden Organisationseinheit erstellt, wenn bei diesem Ausdruck der displayName-Wert „Marketing“ oder „Vertrieb“ lautet. Wenn es keine Übereinstimmung gibt, wird die Gruppe in der Standardorganisationseinheit erstellt.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Ein weiteres Beispiel hierfür sehen Sie weiter unten. Stellen Sie sich vor, Sie verfügen über die folgenden drei Gruppen mit den folgenden displayName-Attributwerten:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Sie können die folgende Switch-Anweisung verwenden, um die Gruppen zu filtern und bereitzustellen:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Diese Anweisung stellt standardmäßig alle Gruppen im Container „OU=Groups,DC=contoso,DC=com“ in Active Directory bereit. Wenn die Gruppe jedoch mit „NA“ beginnt, wird die Gruppe in „OU=NorthAmerica,DC=contoso,DC=com“ bereitgestellt. Ebenso gilt: Wenn die Gruppe mit SA beginnt, erfolgt die Bereitstellung in „OU=SouthAmerica,DC=contoso,DC=com“, und wenn sie mit „EU“ beginnt, erfolgt die Bereitstellung in „OU=Europe,DC=contoso,DC=com“.
Weitere Informationen finden Sie unter Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.
Attributbereichsfilterung
Die attributbasierte Bereichsfilterung wird unterstützt. Dadurch können Sie Gruppen basierend auf bestimmten Attributen beschränken. Beachten Sie jedoch, dass sich der Attributzuordnungsbereich für eine Konfiguration der Microsoft Entra ID zum AD geringfügig vom Abschnitt zur herkömmlichen Attributzuordnung unterscheidet.
Unterstützte Klauseln
Ein Bereichsfilter enthält mindestens eine Klausel. Klauseln bestimmen, welche Gruppen den Bereichsfilter passieren dürfen, indem die Attribute der einzelnen Gruppen ausgewertet werden. Beispielsweise verfügen Sie möglicherweise über eine Klausel, die erfordert, dass das displayName-Attribut „Marketing“ lautet, wodurch lediglich Marketinggruppen bereitgestellt werden.
Standardsicherheitsgruppierung
Die Standardsicherheitsgruppierung wird auf jede erstellte Klausel angewendet und verwendet das logische UND. Sie enthält die folgenden Bedingungen:
- securityEnabled ist TRUE UND
- dirSyncEnabled ist FALSE UND
- mailEnabled ist FALSE
Die Standardsicherheitsgruppierung wird immer zuerst angewendet und verwendet bei einzelnen Klauseln das logische UND. Die Klausel folgt dann der unten beschriebenen Logik.
Mit einer einzelnen Klausel wird eine einzelne Bedingung für einen einzelnen Attributwert definiert. Wenn in einem einzelnen Bereichsfilter mehrere Klauseln erstellt werden, werden sie per „AND“-Logik zusammen ausgewertet. Die „AND“-Logik bedeutet, dass die Auswertung für alle Klauseln „true“ ergeben muss, damit ein Benutzer bereitgestellt werden kann.
Abschließend können mehrere Bereichsfilter für eine Gruppe erstellt werden. Mehrere Bereichsfilter werden gemeinsam mittels OR-Logik ausgewertet. Das logische ODER bedeutet, dass die Gruppe bereitgestellt wird, wenn eine der Klauseln in einem beliebigen konfigurierten Bereichsfilter TRUE lautet
Unterstützte Operatoren
Die folgenden Operatoren werden unterstützt:
| Operator | Beschreibung |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut exakt dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt). |
| GREATER_THAN | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer als der Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein. |
| GREATER_THAN_OR_EQUALS | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer oder gleich als dem Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein. |
| INCLUDES | |
| IS FALSE | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „false“ enthält. |
| IS_MEMBER_OF | |
| ist nicht NULL | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht leer ist. |
| IS NULL | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut leer ist. |
| IS TRUE | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „true“ enthält. |
| !&L | |
| NOT EQUALS | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt). |
| NOT REGEX MATCH | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht mit einem Muster für reguläre Ausdrücke übereinstimmt. Sie gibt „false“ zurück, wenn das Attribut NULL/leer ist. |
| GEGENWÄRTIG | |
| REGEX MATCH | Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut mit einem Muster für reguläre Ausdrücke übereinstimmt. Beispiel: ([1-9][0-9]) entspricht einer beliebigen Zahl zwischen 10 und 99. |
| VALID CERT MATCH |
Verwenden regulärer Ausdrücke für die Filterung
Ein komplexerer Filter kann REGEX MATCH verwenden. Auf diese Weise können Sie ein Attribut als Zeichenfolge für eine Teilzeichenfolge dieses Attributs durchsuchen. Angenommen, Sie besitzen mehrere Gruppen, und alle haben die folgenden Beschreibungen:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Sie möchten nun nur die Gruppen „Sales“, „Marketing“ und „Operations“ in Active Directory bereitstellen. Sie könnten dazu REGEX MATCH verwenden.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Dieser REGEX MATCH-Ausdruck durchsucht die Beschreibungen nach einem der folgenden Wörter, die Sie angegeben haben, und stellt nur diese Gruppen bereit.
Erstellen eines attributbasierten Filters
Führen Sie die folgenden Schritte aus, um einen attributbasierten Filter zu erstellen:
- Klicken Sie auf Attributfilter hinzufügen.
- Geben Sie im Feld für Name einen Namen für den Filter an.
- Wählen Sie in der Dropdownliste unter Zielattribut das Zielattribut aus.
- Wählen Sie unter Operator einen Operator aus.
- Geben Sie unter Wert einen Wert an.
- Klicken Sie auf Speichern.
Weitere Informationen finden Sie unter Attributzuordnung und Referenz zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.