Bereikfilter- en kenmerktoewijzing - Microsoft Entra-id voor Active Directory
U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken.
In het volgende document wordt u begeleid bij kenmerkbereiken met Microsoft Entra Cloud Sync voor inrichting van Microsoft Entra-id naar Active Directory. Als u informatie zoekt over kenmerktoewijzing van AD naar Microsoft Entra-id, raadpleegt u Kenmerktoewijzing - Active Directory naar Microsoft Entra-id.
Schema voor Microsoft Entra-id voor Active Directory-configuraties
Momenteel is het AD-schema niet detecteerbaar en is er een vaste set toewijzingen. De volgende tabel bevat de standaardtoewijzingen en het schema voor de Microsoft Entra-id voor Active Directory-configuraties.
Doelkenmerk | Bronkenmerk | Toewijzingstype | Opmerkingen |
---|---|---|---|
adminDescription | Append("Group_";[objectId]) | Expression | KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface: NIET BIJWERKEN WORDT GEBRUIKT VOOR het filteren van AD naar cloudsynchronisatie Niet zichtbaar in de gebruikersinterface |
cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId];25;12)) | Expression | |
beschrijving | Left(Trim([description]),448) | Expression | |
displayName | displayName | Direct | |
isSecurityGroup | Waar | Constante | KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN NIET zichtbaar in de gebruikersinterface |
lid | leden | Direct | KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN NIET zichtbaar in de gebruikersinterface |
msDS-ExternalDirectoryObjectId | Append("Group_";[objectId]) | Expression | KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface - NIET BIJWERKEN Wordt gebruikt voor deelname - overeenkomend in AD niet zichtbaar in de gebruikersinterface |
ObjectGUID | KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface - NIET ALLEEN-LEZEN BIJWERKEN - anker in AD Niet zichtbaar in de gebruikersinterface |
||
parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Constante | Standaard in de gebruikersinterface |
UniversalScope | Waar | Constante | KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN NIET zichtbaar in de gebruikersinterface |
Houd er rekening mee dat niet alle bovenstaande toewijzingen zichtbaar zijn in de portal. Zie kenmerktoewijzing voor meer informatie over het toevoegen van een kenmerktoewijzing.
Aangepaste toewijzing van sAmAccountName
Het kenmerk sAMAccount wordt standaard niet gesynchroniseerd van Microsoft Entra-id naar Active Directory. Als de nieuwe groep in Active Directory wordt gemaakt, krijgt deze daarom een willekeurig gegenereerde naam.
Als u uw eigen unieke waarde voor sAMAccountName wilt, kunt u een aangepaste toewijzing maken aan sAMAccountName met behulp van een expressie. U kunt bijvoorbeeld iets doen als: Join("_", [displayName], "Contoso_Group")
Hiermee wordt de waarde displayName gebruikt en wordt er 'Contoso_Group' aan toegevoegd. De nieuwe sAMAccountName zou er ongeveer als volgt uitzien, Marketing_Contoso_Group
Belangrijk
Als u besluit om een aangepaste kenmerktoewijzing voor sAMAccountName te maken, moet u ervoor zorgen dat deze uniek is in Active Directory.
Bereikfilterdoelcontainer
De standaarddoelcontainer is OU=User,DC=<domain selected at configuration start>,DC=com. U kunt dit wijzigen in uw eigen aangepaste container.
Meerdere doelcontainers kunnen ook worden geconfigureerd met behulp van een kenmerktoewijzingsexpressie met de functie Switch(). Als met deze expressie de waarde displayName Marketing of Sales is, wordt de groep gemaakt in de bijbehorende organisatie-eenheid. Als er geen overeenkomst is, wordt de groep gemaakt in de standaard-organisatie-eenheid.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Hieronder ziet u nog een voorbeeld. Stel dat u de volgende drie groepen hebt en dat ze de volgende waarden voor het displayName-kenmerk hebben:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
U kunt de volgende schakelinstructie gebruiken om de groepen te filteren en in te richten:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Met deze instructie worden standaard alle groepen ingericht voor de OE=Groepen,DC=contoso,DC=com-container in Active Directory. Als de groep echter begint met NA, wordt de groep ingericht voor OU=NorthAmerica,DC=contoso,DC=com. Als de groep begint met SA naar OU=SouthAmerica,DC=contoso,DC=com en EU naar OU=Europa,DC=contoso,DC=com.
Zie Naslaginformatie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra-id voor meer informatie.
Filteren van kenmerkbereik
Filteren op basis van kenmerkbereik wordt ondersteund. U kunt groepen bereiken op basis van bepaalde kenmerken. Houd er echter rekening mee dat de sectie kenmerktoewijzing voor een Microsoft Entra-id voor Active Directory-configuratie iets anders is dan de traditionele kenmerktoewijzingssectie.
Ondersteunde componenten
Een bereikfilter bestaat uit een of meer componenten. Met componenten wordt bepaald welke groepen het bereikfilter mogen passeren door de kenmerken van elke groep te evalueren. U hebt bijvoorbeeld één component waarvoor een kenmerk displayName gelijk is aan 'Marketing', zodat alleen marketinggroepen worden ingericht.
De standaardbeveiligingsgroepering
De standaardbeveiligingsgroepering wordt toegepast op elke component die is gemaakt en maakt gebruik van de logica 'AND'. Het bevat de volgende voorwaarden:
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE EN
- mailEnabled IS ONWAAR
De standaardbeveiligingsgroepering wordt ALTIJD eerst toegepast en gebruikt de AND-logica bij het werken met één component. De component volgt vervolgens de logica die hieronder wordt beschreven.
Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere componenten worden gemaakt in één bereikfilter, worden deze samen geëvalueerd met behulp van 'AND'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.
Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor een groep. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De OR-logica betekent dat als een van de componenten in een van de geconfigureerde bereikfilters 'waar' oplevert, de groep wordt ingericht.
Niet-ondersteunde operators
De volgende operators worden ondersteund:
Operator | Beschrijving |
---|---|
& | |
ENDS_WITH | |
IS GELIJK AAN | Component retourneert 'true' als het geëvalueerde kenmerk exact overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig). |
GREATER_THAN | Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...]. |
GREATER_THAN_OR_EQUALS | Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...]. |
BEVAT | |
IS ONWAAR | Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat. |
IS_MEMBER_OF | |
is niet NULL | Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is. |
IS NULL | Component retourneert 'true' als het geëvalueerde kenmerk leeg is. |
IS WAAR | Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat. |
!&L | |
IS NIET GELIJK AAN | Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de invoertekenreekswaarde (hoofdlettergevoelig). |
GEEN REGEX-OVEREENKOMST | Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is. |
AANWEZIG | |
REGEX-OVEREENKOMST | Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig). |
GELDIGE CERTIFICAATOVEREENKOMST |
Reguliere expressies gebruiken om op te filteren
Een geavanceerder filter kan een REGEX MATCH gebruiken. Hiermee kunt u een kenmerk doorzoeken als een tekenreeks voor een subtekenreeks van dat kenmerk. Stel dat u meerdere groepen hebt en dat ze allemaal de volgende beschrijvingen hebben:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Nu wilt u alleen de groepen Verkoop, Marketing en Operations inrichten voor Active Directory. U kunt een REGEX MATCH gebruiken om dit te bereiken.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Deze REGEX MATCH doorzoekt de beschrijvingen op een van de volgende woorden die we hebben opgegeven en richt alleen deze groepen in.
Een filter op basis van kenmerken maken
Gebruik de volgende stappen om een filter op basis van kenmerken te maken:
- Klik op Kenmerkfilter toevoegen
- Geef in het vak Naam een naam op voor het filter
- Selecteer in de vervolgkeuzelijst onder Doelkenmerk het doelkenmerk
- Selecteer onder Operator een operator.
- Geef onder Waarde een waarde op.
- Klik op Opslaan.
Zie kenmerktoewijzing en verwijzing voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie.