Definizione dell'ambito del filtro e del mapping degli attributi - MICROSOFT Entra ID to Active Directory

Articolo
12/16/2024

Puoi personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi, puoi modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Il documento seguente illustra l'ambito dell'attributo con Microsoft Entra Cloud Sync per il provisioning da Microsoft Entra ID ad Active Directory. Per informazioni sul mapping degli attributi da AD a Microsoft Entra ID, vedere Mapping degli attributi - Active Directory a Microsoft Entra ID.

Schema per le configurazioni di Microsoft Entra ID to Active Directory

Attualmente, lo schema di ACTIVE Directory non è individuabile ed è presente un set fisso di mapping. La tabella seguente fornisce i mapping predefiniti e lo schema per le configurazioni di Microsoft Entra ID to Active Directory.

Attributo di destinazione	Attributo di origine	Tipo di mapping	Note
adminDescription	Append("Group_",[objectId])	Espressione	NON È POSSIBILE AGGIORNARE NELL'interfaccia utente : NON AGGIORNARE Usato per filtrare LA sincronizzazione da ACTIVE Directory a cloud Non visibile nell'interfaccia utente
cn	Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12))	Expression
description	Left(Trim([description]),448)	Espressione
displayName	displayName	Diretta
isSecurityGroup	Vero	Costante	IMPOSSIBILE AGGIORNARE NELL'INTERFACCIA UTENTE - NON AGGIORNARE Non visibile nell'interfaccia utente
membro	membri	Diretta	IMPOSSIBILE AGGIORNARE NELL'INTERFACCIA UTENTE - NON AGGIORNARE Non visibile nell'interfaccia utente
msDS-ExternalDirectoryObjectId	Append("Group_",[objectId])	Espressione	IMPOSSIBILE AGGIORNARE NELL'interfaccia utente - NON AGGIORNARE Usato per l'aggiunta- Corrispondenza in AD Non visibile nell'interfaccia utente
ObjectGUID			IMPOSSIBILE AGGIORNARE NELL'interfaccia utente - NON AGGIORNARE sola lettura - Ancoraggio in AD Non visibile nell'interfaccia utente
parentDistinguishedName	OU=Users,DC=<domain selezionato all'avvio> della configurazione,DC=com	Costante	Impostazione predefinita nell'interfaccia utente
UniversalScope	Vero	Costante	IMPOSSIBILE AGGIORNARE NELL'INTERFACCIA UTENTE - NON AGGIORNARE Non visibile nell'interfaccia utente

Tenere presente che non tutti i mapping precedenti sono visibili nel portale. Per altre informazioni su come aggiungere un mapping di attributi, vedere Mapping degli attributi.

mapping personalizzato sAmAccountName

L'attributo sAMAccount non è, per impostazione predefinita, sincronizzato da Microsoft Entra ID ad Active Directory. Per questo motivo, quando il nuovo gruppo viene creato in Active Directory, viene assegnato un nome generato in modo casuale.

Se si vuole un valore univoco per sAMAccountName, è possibile creare un mapping personalizzato a sAMAccountName usando un'espressione. Ad esempio, è possibile eseguire operazioni come: Join("_", [displayName], "Contoso_Group")

In questo modo, il valore displayName verrà aggiunto al valore "Contoso_Group". Quindi il nuovo sAMAccountName sarebbe simile, Marketing_Contoso_Group

Importante

Se si decide di creare un mapping di attributi personalizzato per sAMAccountName, è necessario assicurarsi che sia univoco all'interno di Active Directory.

Definizione dell'ambito del contenitore di destinazione del filtro

Il contenitore di destinazione predefinito è OU=User,DC=<domain selezionato all'avvio della configurazione>,DC=com. È possibile modificare questa impostazione in modo che sia il proprio contenitore personalizzato.

È anche possibile configurare più contenitori di destinazione usando un'espressione di mapping degli attributi con la funzione Switch(). Con questa espressione, se il valore displayName è Marketing o Sales, il gruppo viene creato nell'unità organizzativa corrispondente. Se non esiste alcuna corrispondenza, il gruppo viene creato nell'unità organizzativa predefinita.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Di seguito è riportato un altro esempio. Si supponga di avere i 3 gruppi seguenti e che abbiano i valori dell'attributo displayName seguenti:

NA-Sales-Contoso
SA-Sales-Contoso
EU-Sales-Contoso

È possibile usare l'istruzione switch seguente per filtrare ed effettuare il provisioning dei gruppi:

Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")

Questa istruzione eseguirà, per impostazione predefinita, il provisioning di tutti i gruppi nel contenitore OU=Groups,DC=contoso,DC=com in Active Directory. Tuttavia, se il gruppo inizia con NA, eseguirà il provisioning del gruppo in OU=NorthAmerica,DC=contoso,DC=com. Analogamente, se il gruppo inizia con SA a OU=SouthAmerica,DC=contoso,DC=com e UE in OU=Europe,DC=contoso,DC=com.

Per altre informazioni, vedere Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.

Filtro dell'ambito degli attributi

Il filtro dell'ambito basato su attributi è supportato. È possibile definire l'ambito dei gruppi in base a determinati attributi. Tuttavia, tenere presente che la sezione mapping degli attributi per una configurazione di Microsoft Entra ID to Active Directory è leggermente diversa rispetto alla sezione di mapping degli attributi tradizionale.

Clausole supportate

Un filtro di ambito è costituito da una o più clausole. Le clausole determinano quali gruppi possono passare attraverso il filtro di ambito valutando gli attributi di ogni gruppo. Ad esempio, potrebbe essere disponibile una clausola che richiede che un attributo "displayName" di gruppi sia uguale a "Marketing", quindi viene effettuato il provisioning solo dei gruppi marketing.

Raggruppamento di sicurezza predefinito

Il raggruppamento di sicurezza predefinito viene applicato sopra ogni clausola creata e usa la logica "AND". Contiene le condizioni seguenti:

securityEnabled IS True AND
dirSyncEnabled IS FALSE AND
mailEnabled IS FALSE

Il raggruppamento di sicurezza predefinito viene applicato per primo e usa la logica AND quando si usa una singola clausola. La clausola seguirà quindi la logica descritta di seguito.

Una sola clausola definisce una sola condizione per un singolo valore dell'attributo. Se vengono create più clausole in un singolo filtro per la definizione dell’ambito, queste vengono valutate insieme con la logica "AND". La logica “AND” implica che tutte le clausole devono restituire "true" perché venga effettuato il provisioning di un utente.

Infine, è possibile creare più filtri di ambito per un gruppo. Se sono presenti più filtri di ambito, questi vengono valutati insieme con la logica "OR". La logica "OR" indica che se una delle clausole in uno dei filtri di ambito configurati restituisce "true", viene effettuato il provisioning del gruppo.

Operatori supportati

Sono supportati gli operatori seguenti:

Operatore	Descrizione
&
ENDS_WITH
EQUALS	La clausola restituisce "true" se l'attributo valutato corrisponde esattamente al valore della stringa di input (con distinzione tra maiuscole e minuscole).
GREATER_THAN	La clausola restituisce "true" se l'attributo valutato è maggiore del valore. Il valore specificato nel filtro per la definizione dell’ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].
GREATER_THAN_OR_EQUALS	La clausola restituisce "true" se l'attributo valutato è maggiore o uguale al valore. Il valore specificato nel filtro per la definizione dell’ambito deve essere un numero intero e l'attributo dell'utente deve essere un numero intero [0,1,2,...].
INCLUDE
IS FALSE	La clausola restituisce "true" se l'attributo valutato contiene un valore booleano false.
IS_MEMBER_OF
non è NULL	La clausola restituisce "true" se l'attributo valutato non è vuoto.
IS NULL	La clausola restituisce "true" se l'attributo valutato è vuoto.
È TRUE	La clausola restituisce "true" se l'attributo valutato contiene un valore booleano true.
!&L
NOT EQUALS	La clausola restituisce "true" se l'attributo valutato non corrisponde al valore della stringa di input (con distinzione tra maiuscole e minuscole).
NOT REGEX MATCH	La clausola restituisce "true" se l'attributo valutato non corrisponde a un modello di espressione regolare. Restituisce "false" se l'attributo è null/vuoto.
MOMENTO
REGEX MATCH	La clausola restituisce "true" se l'attributo valutato corrisponde a un modello di espressione regolare. Ad esempio: ([1-9][0-9]) corrisponde a qualsiasi numero compreso tra 10 e 99 (distinzione tra maiuscole e minuscole).
CORRISPONDENZA DEL CERTIFICATO VALIDA

Uso di espressioni regolari per filtrare in base a

Un filtro più avanzato potrebbe usare una CORRISPONDENZA REGEX. In questo modo è possibile cercare un attributo come stringa per una sottostringa di tale attributo. Ad esempio, si supponga di avere diversi gruppi e che abbiano tutte le descrizioni seguenti:

Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US

A questo momento, si vuole eseguire solo il provisioning dei gruppi Sales, Marketing e Operations in Active Directory. Per ottenere questo risultato, è possibile usare REGEX MATCH.

REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)

Questo REGEX MATCH cercherà le descrizioni per una delle parole seguenti fornite ed eseguirà il provisioning solo di tali gruppi.

Creare un filtro basato su attributi

Per creare un filtro basato su attributi, seguire questa procedura:

Fare clic su Aggiungi filtro attributi
Nella casella Nome specificare un nome per il filtro
Nell'elenco a discesa, in Attributo di destinazione selezionare l'attributo di destinazione
In Operatore selezionare un operatore.
In Valore specificare un valore.
Fare clic su Salva.

Per altre informazioni, vedere Mapping degli attributi e Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.

Condividi tramite