Bereikfilter en kenmerktoewijzing - Microsoft Entra ID naar Active Directory
U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken.
In het volgende document wordt u begeleid bij het bepalen van de omvang van kenmerken met Microsoft Entra Cloud Sync voor het provisionen vanuit Microsoft Entra ID naar Active Directory. Als u informatie zoekt over kenmerktoewijzing van AD naar Microsoft Entra-id, raadpleegt u Kenmerktoewijzing - Active Directory naar Microsoft Entra-id.
Schema voor Microsoft Entra-id voor Active Directory-configuraties
Momenteel is het AD-schema niet vindbaar en bestaat er een vaste set toewijzingen. De volgende tabel geeft de standaardtoewijzingen en het schema voor de configuraties van Microsoft Entra ID naar Active Directory weer.
Doelkenmerk | Bronkenmerk | Koppeltype | Opmerkingen |
---|---|---|---|
beheerdersbeschrijving | Append("Group_";[objectId]) | Uitdrukking | KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface: NIET BIJWERKEN WORDT GEBRUIKT VOOR het filteren van AD naar cloudsynchronisatie Niet zichtbaar in de gebruikersinterface |
cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId];25;12)) | Uitdrukking | |
beschrijving | Left(Trim([description]),448) | Uitdrukking | |
weergavenaam | weergavenaam | Direct | |
isSecurityGroup | Waar | Constante | KAN NIET BIJGEWERKT WORDEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN Niet zichtbaar in de gebruikersinterface |
lid | leden | Direct | KAN NIET BIJGEWERKT WORDEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN Niet zichtbaar in de gebruikersinterface |
msDS-ExternalDirectoryObjectId | Append("Group_";[objectId]) | Uitdrukking | KAN NIET BIJWERKEN IN DE UI - NIET BIJWERKEN Wordt gebruikt voor koppeling - overeenkomstig in AD Niet zichtbaar in de UI |
ObjectGUID | KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN Alleen-lezen - anker in AD Niet zichtbaar in de gebruikersinterface |
||
parentDistinguishedName | OU=Users,DC=<domein geselecteerd bij configuratie start>,DC=com | Constante | Standaard in de gebruikersinterface |
UniversalScope | Waar | Constante | KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN NIET zichtbaar in de gebruikersinterface |
Houd er rekening mee dat niet alle bovenstaande koppelingen zichtbaar zijn in het portaal. Voor meer informatie over het toevoegen van een kenmerktoewijzing, zie kenmerktoewijzing.
Aangepaste toewijzing van sAmAccountName
Het kenmerk sAMAccount wordt standaard niet gesynchroniseerd van Microsoft Entra-id naar Active Directory. Als de nieuwe groep in Active Directory wordt gemaakt, krijgt deze daarom een willekeurig gegenereerde naam.
Als u uw eigen unieke waarde voor sAMAccountName wilt, kunt u een aangepaste toewijzing maken aan sAMAccountName met behulp van een expressie. U kunt bijvoorbeeld iets doen als: Join("_", [displayName], "Contoso_Group")
Hiermee neem je de waarde van displayName en voeg je 'Contoso_Group' eraan toe. De nieuwe sAMAccountName zou er ongeveer als volgt uitzien, Marketing_Contoso_Group
Belangrijk
Als u besluit om een aangepaste kenmerktoewijzing voor sAMAccountName te maken, moet u ervoor zorgen dat deze uniek is in Active Directory.
Doelcontainer voor bereikfilter
De standaarddoelcontainer is OU=User,DC=<domein geselecteerd bij de start van de configuratie,DC=com. U kunt dit wijzigen in uw eigen aangepaste container.
Meerdere doelcontainers kunnen ook worden geconfigureerd met behulp van een kenmerktoewijzingsexpressie met de functie Switch(). Als met deze expressie de waarde displayName Marketing of Sales is, wordt de groep gemaakt in de bijbehorende organisatie-eenheid. Als er geen overeenkomstige is, wordt de groep gemaakt in de standaard OU.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Hieronder ziet u nog een voorbeeld. Stel dat u de volgende drie groepen hebt en dat ze de volgende waarden voor het displayName-kenmerk hebben:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
U kunt de volgende schakelinstructie gebruiken om de groepen te filteren en in te richten:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Met deze verklaring worden bij standaard alle groepen toegewezen aan de container OE=Groepen,DC=contoso,DC=com in Active Directory. Als de groep echter begint met NA, wordt de groep toegewezen aan OU=NorthAmerica,DC=contoso,DC=com. Als de groep begint met SA naar OU=SouthAmerica,DC=contoso,DC=com en EU naar OU=Europa,DC=contoso,DC=com.
Voor meer informatie, zie Naslaginformatie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID.
Filteren van kenmerkbereik
Filteren op basis van kenmerkbereik wordt ondersteund. U kunt groepen bereiken op basis van bepaalde kenmerken. Houd er echter rekening mee dat de sectie kenmerktoewijzing voor een Microsoft Entra-id voor Active Directory-configuratie iets anders is dan de traditionele kenmerktoewijzingssectie.
Ondersteunde clausules
Een bereikfilter bestaat uit een of meer clausules. Clausules bepalen welke groepen door het scopingfilter mogen passeren door de kenmerken van elke groep te evalueren. U hebt bijvoorbeeld één clausule waarvoor een kenmerk "displayName" gelijk is aan 'Marketing', zodat alleen marketinggroepen worden ingericht.
De standaardbeveiligingsgroepering
De standaardbeveiligingsgroepering wordt toegepast op elke clausule die is gemaakt en maakt gebruik van de logica 'AND'. Het bevat de volgende voorwaarden:
- securityEnabled IS True AND
- dirSyncEnabled IS ONWAAR EN
- mailEnabled is onwaar
De standaardbeveiligingsgroepering wordt ALTIJD eerst toegepast en gebruikt de AND-logica bij het werken met één component. De clausule volgt vervolgens de logica die hieronder wordt beschreven.
Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere voorwaarden worden gemaakt in één scopingsfilter, worden deze samen geëvalueerd door 'EN'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.
Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor een groep. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De OR-logica betekent dat als een van de clausules in een van de geconfigureerde bereikfilters 'true' oplevert, de groep wordt aangemaakt.
Ondersteunde operators
De volgende operators worden ondersteund:
Operator | Beschrijving |
---|---|
& | |
EINDIGT_MET | |
IS GELIJK AAN | Clause retourneert "true" als de geëvalueerde eigenschap precies overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig). |
GROTER_DAN | Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...]. |
GROTER_DAN_OF_GELIJK_AAN | Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...]. |
BEVAT | |
IS ONWAAR | Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat. |
IS_MEMBER_OF | |
is niet nul | Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is. |
IS NULL | Component retourneert 'true' als het geëvalueerde kenmerk leeg is. |
IS WAAR | Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat. |
!&L | |
IS NIET GELIJK AAN | Voorwaarde retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de ingevoerde tekenreekswaarde (hoofdlettergevoelig). |
GEEN REGEX-OVEREENKOMST | Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is. |
AANWEZIG | |
REGEX-OVEREENKOMST | Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig). |
GELDIGE CERTIFICAATOVEREENKOMST |
Reguliere expressies gebruiken om op te filteren
Een geavanceerder filter kan een REGEX MATCH gebruiken. Hiermee kunt u een kenmerk doorzoeken als een tekenreeks voor een subtekenreeks van dat kenmerk. Stel dat u meerdere groepen hebt en dat ze allemaal de volgende beschrijvingen hebben:
Contoso-Verkoop-VS Contoso-Marketing-VS Contoso-Operaties-VS Contoso-LT-VS
Nu wilt u alleen de groepen Verkoop, Marketing en Operations inrichten voor Active Directory. U kunt een REGEX MATCH gebruiken om dit te bereiken.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Deze REGEX MATCH doorzoekt de beschrijvingen naar een van de volgende woorden die we hebben opgegeven en richt alleen die groepen in.
Een filter op basis van kenmerken maken
Gebruik de volgende stappen om een filter op basis van kenmerken te maken:
- Klik op Kenmerkfilter toevoegen
- Geef in het vak Naam een naam op voor het filter
- Selecteer in de vervolgkeuzelijst onder Doelkenmerk het doelkenmerk
- Selecteer onder Operator een operator.
- Geef onder Waarde een waarde op.
- Klik op Opslaan.
Zie kenmerktoewijzing en Referentie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie.