Determinación del ámbito de filtros y asignación de atributos: Microsoft Entra ID en Active Directory
Puede personalizar las asignaciones de atributos predeterminadas según sus necesidades empresariales. Esto significa que puede cambiar o eliminar asignaciones de atributos existentes o crear nuevas asignaciones de atributos.
El siguiente documento le guiará a través del aprovisionamiento de atributos con Microsoft Entra Cloud Sync para el aprovisionamiento de Microsoft Entra ID a Active Directory. Si busca información sobre la asignación de atributos de AD a Microsoft Entra ID, consulte Asignación de atributos: Active Directory a Microsoft Entra ID.
Esquema para las configuraciones de Microsoft Entra ID a Active Directory
Actualmente, el esquema de AD no se puede detectar y hay un conjunto fijo de asignaciones. En la tabla siguiente, se proporcionan las asignaciones y el esquema predeterminados para las configuraciones de Microsoft Entra ID a Active Directory.
Atributo de destino | Atributo de origen | Tipo de asignación | Notas |
---|---|---|---|
adminDescription | Append("Group_",[objectId]) | Expresión | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR Se usa para filtrar AD en la sincronización en la nube No es visible en la interfaz de usuario |
cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Expression | |
descripción | Left(Trim([description]),448) | Expresión | |
DisplayName | DisplayName | Directo | |
isSecurityGroup | True | Constante | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR No es visible en la interfaz de usuario |
member | members | Directo | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR No es visible en la interfaz de usuario |
msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Expresión | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR Se usa para la unión: coincidencia en AD No es visible en la interfaz de usuario |
ObjectGUID | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR Solo lectura: anclaje en AD No es visible en la interfaz de usuario |
||
parentDistinguishedName | OU=Users,DC=<dominio seleccionado en el inicio de la configuración>,DC=com | Constante | Valor predeterminado en la interfaz de usuario |
UniversalScope | True | Constante | NO SE PUEDE ACTUALIZAR EN LA INTERFAZ DE USUARIO: NO ACTUALIZAR No es visible en la interfaz de usuario |
Tenga en cuenta que no todas las asignaciones anteriores están visibles en el portal. Para obtener más información sobre cómo agregar una asignación de atributos, consulte asignación de atributos.
Asignación personalizada de sAmAccountName
El atributo sAMAccount no se sincroniza de forma predeterminada de Microsoft Entra ID a Active Directory. Por este motivo, cuando se crea el nuevo grupo en Active Directory, se le asigna un nombre generado aleatoriamente.
Si desea su propio valor único para sAMAccountName, puede crear una asignación personalizada a sAMAccountName mediante una expresión. Por ejemplo, puede hacer algo parecido a: Join("_", [displayName], "Contoso_Group")
Adoptará el valor de displayName y le agregará "Contoso_Group". Por lo tanto, el nuevo sAMAccountName será algo parecido a Marketing_Contoso_Group
Importante
Si decide crear una asignación de atributos personalizados para sAMAccountName, debe asegurarse de que es única en Active Directory.
Contenedor de destino del filtro de ámbito
El contenedor de destino predeterminado es OU=User,DC=<dominio seleccionado en el inicio de configuración>,DC=com. Puede cambiarlo para que sea su propio contenedor personalizado.
También se pueden configurar varios contenedores de destino mediante una expresión de asignación de atributos con la función Switch(). Con esta expresión, si el valor displayName fuera Marketing o Ventas, el grupo se creará en la unidad organizativa correspondiente. Si no hubiera ninguna coincidencia, el grupo se creará en la unidad organizativa predeterminada.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
A continuación se muestra otro ejemplo. Imagine que tiene los tres grupos siguientes y tienen estos valores de atributo displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Podría usar la siguiente instrucción switch para filtrar y aprovisionar los grupos:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Esta instrucción aprovisionará de forma predeterminada todos los grupos en el contenedor OU=Groups,DC=contoso,DC=com en Active Directory. Sin embargo, si el grupo comienza por NA, aprovisionará el grupo en OU=NorthAmerica,DC=contoso,DC=com. Del mismo modo, si el grupo comienza por SA en OU=SouthAmerica,DC=contoso,DC=com y EU en OU=Europe,DC=contoso,DC=com.
Para obtener más información, consulte Referencia para escribir expresiones para la asignación de atributos en Microsoft Entra ID.
Filtrado de ámbito de atributos
Se admite el filtrado de ámbito basado en atributos. Puede definir el ámbito de los grupos en función de determinados atributos. Sin embargo, tenga en cuenta que la sección de asignación de atributos de una configuración de Microsoft Entra ID a Active Directory es ligeramente diferente de la sección de asignación de atributos tradicional.
Cláusulas admitidas
Un filtro de ámbito consta de una o más cláusulas. Las cláusulas determinan qué grupos pueden atravesar el filtro de ámbito mediante la evaluación de los atributos de cada grupo. Por ejemplo, podría tener una cláusula que requiera que un atributo "displayName" de grupos sea igual a "Marketing", por lo que solo se aprovisionarían los grupos de Marketing.
Agrupación de seguridad predeterminada
La agrupación de seguridad predeterminada se aplica sobre cada cláusula creada y usa la lógica "AND". Contiene las siguientes condiciones:
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE AND
- mailEnabled IS FALSE
La agrupación de seguridad predeterminada se aplica siempre primero y usa la lógica AND al trabajar con una sola cláusula. A continuación, la cláusula seguirá la lógica que se describe a continuación.
Una sola cláusula define una única condición de un solo valor de atributo. Si se crean varias cláusulas en un filtro de ámbito único, se evalúan juntas mediante la función lógica "AND". La lógica "AND" significa que todas las cláusulas deben evaluarse como "true" para que un usuario pueda ser aprovisionado.
Por último, se pueden crear varios filtros de ámbito para un grupo. Si hay varios filtros de ámbito, se evalúan juntos mediante la función lógica "OR". La lógica "OR" significa que si cualquiera de las cláusulas de cualquiera de los filtros de ámbito configurados resultan ser "true", el grupo será aprovisionado.
Operadores admitidos
Se admiten los siguientes operadores:
Operator | Descripción |
---|---|
& | |
ENDS_WITH | |
EQUALS | La cláusula devuelve "true" si el atributo que se evalúa coincide exactamente con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas). |
GREATER_THAN | La cláusula devuelve "true" si el atributo evaluado es mayor que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...]. |
GREATER_THAN_OR_EQUALS | La cláusula devuelve "true" si el atributo evaluado es mayor o igual que el valor. El valor especificado en el filtro de ámbito debe ser un entero y el atributo del usuario debe ser un entero [0, 1, 2,...]. |
INCLUDES | |
IS FALSE | La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "false". |
IS_MEMBER_OF | |
no es NULL | La cláusula devuelve "true" si el atributo que se evalúa no está vacío. |
IS NULL | La cláusula devuelve "true" si el atributo que se evalúa está vacío. |
IS TRUE | La cláusula devuelve "true" si el atributo que se evalúa contiene un valor booleano de tipo "true". |
!&L | |
NOT EQUALS | La cláusula devuelve "true" si el atributo que se evalúa no coincide con el valor de la cadena de entrada (se distingue entre mayúsculas y minúsculas). |
NOT REGEX MATCH | La cláusula devuelve "true" si el atributo que se evalúa no coincide con el patrón de una expresión regular. Devuelve "false" si el atributo es nulo o está vacío. |
PRESENT | |
REGEX MATCH | La cláusula devuelve "true" si el atributo que se evalúa coincide con el patrón de una expresión regular. Por ejemplo: ([1-9][0-9]) coincide con cualquier número entre 10 y 99 (distingue entre mayúsculas y minúsculas). |
VALID CERT MATCH |
Uso de expresiones regulares para filtrar
Un filtro más avanzado podría usar una COINCIDENCIA DE REGEX. Esto le permite buscar un atributo como una cadena para una subcadena de ese atributo. Por ejemplo, supongamos que tiene varios grupos y todos tienen las descripciones siguientes:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Ahora, solo quiere aprovisionar los grupos de Ventas, Marketing y Operaciones en Active Directory. Podría usar una COINCIDENCIA DE REGEX para lograrlo.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Esta COINCIDENCIA DE REGEX buscará las descripciones de cualquiera de las siguientes palabras que hemos proporcionado y aprovisionará solo esos grupos.
Creación de un filtro basado en atributos
Para crear un filtro basado en atributos, siga estos pasos:
- Haga clic en Agregar filtro de atributo
- En el cuadro Nombre, proporcione un nombre para el filtro
- En la lista desplegable, en Atributo de destino seleccione el atributo de destino
- En Operador, seleccione un operador.
- En Valor, especifique un valor.
- Haga clic en Save(Guardar).
Para más información, consulte Asignación de atributos y Referencia para escribir expresiones para la asignación de atributos en Microsoft Entra ID.