Delen via


Bereikfilter en kenmerktoewijzing - Microsoft Entra ID naar Active Directory

U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken.

Schermopname van het bereik op basis van kenmerken.

In het volgende document wordt u begeleid bij het bepalen van de omvang van kenmerken met Microsoft Entra Cloud Sync voor het provisionen vanuit Microsoft Entra ID naar Active Directory. Als u informatie zoekt over kenmerktoewijzing van AD naar Microsoft Entra-id, raadpleegt u Kenmerktoewijzing - Active Directory naar Microsoft Entra-id.

Schema voor Microsoft Entra-id voor Active Directory-configuraties

Momenteel is het AD-schema niet vindbaar en bestaat er een vaste set toewijzingen. De volgende tabel geeft de standaardtoewijzingen en het schema voor de configuraties van Microsoft Entra ID naar Active Directory weer.

Doelkenmerk Bronkenmerk Koppeltype Opmerkingen
beheerdersbeschrijving Append("Group_";[objectId]) Uitdrukking KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface: NIET BIJWERKEN

WORDT GEBRUIKT VOOR het filteren van AD naar cloudsynchronisatie

Niet zichtbaar in de gebruikersinterface
cn Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId];25;12)) Uitdrukking
beschrijving Left(Trim([description]),448) Uitdrukking
weergavenaam weergavenaam Direct
isSecurityGroup Waar Constante KAN NIET BIJGEWERKT WORDEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN

Niet zichtbaar in de gebruikersinterface
lid leden Direct KAN NIET BIJGEWERKT WORDEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN

Niet zichtbaar in de gebruikersinterface
msDS-ExternalDirectoryObjectId Append("Group_";[objectId]) Uitdrukking KAN NIET BIJWERKEN IN DE UI - NIET BIJWERKEN

Wordt gebruikt voor koppeling - overeenkomstig in AD

Niet zichtbaar in de UI
ObjectGUID KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE - NIET BIJWERKEN

Alleen-lezen - anker in AD

Niet zichtbaar in de gebruikersinterface
parentDistinguishedName OU=Users,DC=<domein geselecteerd bij configuratie start>,DC=com Constante Standaard in de gebruikersinterface
UniversalScope Waar Constante KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN

NIET zichtbaar in de gebruikersinterface

Houd er rekening mee dat niet alle bovenstaande koppelingen zichtbaar zijn in het portaal. Voor meer informatie over het toevoegen van een kenmerktoewijzing, zie kenmerktoewijzing.

Aangepaste toewijzing van sAmAccountName

Het kenmerk sAMAccount wordt standaard niet gesynchroniseerd van Microsoft Entra-id naar Active Directory. Als de nieuwe groep in Active Directory wordt gemaakt, krijgt deze daarom een willekeurig gegenereerde naam.

Schermopname van sAMAccountName met ADSI Edit.

Als u uw eigen unieke waarde voor sAMAccountName wilt, kunt u een aangepaste toewijzing maken aan sAMAccountName met behulp van een expressie. U kunt bijvoorbeeld iets doen als: Join("_", [displayName], "Contoso_Group")

Schermopname van een expressie voor sAMAccountName in de portal.

Hiermee neem je de waarde van displayName en voeg je 'Contoso_Group' eraan toe. De nieuwe sAMAccountName zou er ongeveer als volgt uitzien, Marketing_Contoso_Group

Schermopname van de waarde sAMAccountName na expressie.

Belangrijk

Als u besluit om een aangepaste kenmerktoewijzing voor sAMAccountName te maken, moet u ervoor zorgen dat deze uniek is in Active Directory.

Doelcontainer voor bereikfilter

De standaarddoelcontainer is OU=User,DC=<domein geselecteerd bij de start van de configuratie,DC=com. U kunt dit wijzigen in uw eigen aangepaste container.

Meerdere doelcontainers kunnen ook worden geconfigureerd met behulp van een kenmerktoewijzingsexpressie met de functie Switch(). Als met deze expressie de waarde displayName Marketing of Sales is, wordt de groep gemaakt in de bijbehorende organisatie-eenheid. Als er geen overeenkomstige is, wordt de groep gemaakt in de standaard OU.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Schermopname van de bereikfilterexpressie.

Hieronder ziet u nog een voorbeeld. Stel dat u de volgende drie groepen hebt en dat ze de volgende waarden voor het displayName-kenmerk hebben:

  • NA-Sales-Contoso
  • SA-Sales-Contoso
  • EU-Sales-Contoso

U kunt de volgende schakelinstructie gebruiken om de groepen te filteren en in te richten:

Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")

Met deze verklaring worden bij standaard alle groepen toegewezen aan de container OE=Groepen,DC=contoso,DC=com in Active Directory. Als de groep echter begint met NA, wordt de groep toegewezen aan OU=NorthAmerica,DC=contoso,DC=com. Als de groep begint met SA naar OU=SouthAmerica,DC=contoso,DC=com en EU naar OU=Europa,DC=contoso,DC=com.

Voor meer informatie, zie Naslaginformatie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID.

Filteren van kenmerkbereik

Filteren op basis van kenmerkbereik wordt ondersteund. U kunt groepen bereiken op basis van bepaalde kenmerken. Houd er echter rekening mee dat de sectie kenmerktoewijzing voor een Microsoft Entra-id voor Active Directory-configuratie iets anders is dan de traditionele kenmerktoewijzingssectie.

Schermopname van het bereik op basis van kenmerken.

Ondersteunde clausules

Een bereikfilter bestaat uit een of meer clausules. Clausules bepalen welke groepen door het scopingfilter mogen passeren door de kenmerken van elke groep te evalueren. U hebt bijvoorbeeld één clausule waarvoor een kenmerk "displayName" gelijk is aan 'Marketing', zodat alleen marketinggroepen worden ingericht.

De standaardbeveiligingsgroepering

De standaardbeveiligingsgroepering wordt toegepast op elke clausule die is gemaakt en maakt gebruik van de logica 'AND'. Het bevat de volgende voorwaarden:

  • securityEnabled IS True AND
  • dirSyncEnabled IS ONWAAR EN
  • mailEnabled is onwaar

De standaardbeveiligingsgroepering wordt ALTIJD eerst toegepast en gebruikt de AND-logica bij het werken met één component. De clausule volgt vervolgens de logica die hieronder wordt beschreven.

Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere voorwaarden worden gemaakt in één scopingsfilter, worden deze samen geëvalueerd door 'EN'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.

Schermopname van het bereik op basis van het kenmerk AND-component.

Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor een groep. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De OR-logica betekent dat als een van de clausules in een van de geconfigureerde bereikfilters 'true' oplevert, de groep wordt aangemaakt.

Schermopname van OR-clausule kenmerk gebaseerde afbakening.

Ondersteunde operators

De volgende operators worden ondersteund:

Operator Beschrijving
&
EINDIGT_MET
IS GELIJK AAN Clause retourneert "true" als de geëvalueerde eigenschap precies overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig).
GROTER_DAN Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
GROTER_DAN_OF_GELIJK_AAN Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
BEVAT
IS ONWAAR Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat.
IS_MEMBER_OF
is niet nul Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is.
IS NULL Component retourneert 'true' als het geëvalueerde kenmerk leeg is.
IS WAAR Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat.
!&L
IS NIET GELIJK AAN Voorwaarde retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de ingevoerde tekenreekswaarde (hoofdlettergevoelig).
GEEN REGEX-OVEREENKOMST Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is.
AANWEZIG
REGEX-OVEREENKOMST Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig).
GELDIGE CERTIFICAATOVEREENKOMST

Reguliere expressies gebruiken om op te filteren

Een geavanceerder filter kan een REGEX MATCH gebruiken. Hiermee kunt u een kenmerk doorzoeken als een tekenreeks voor een subtekenreeks van dat kenmerk. Stel dat u meerdere groepen hebt en dat ze allemaal de volgende beschrijvingen hebben:

Contoso-Verkoop-VS Contoso-Marketing-VS Contoso-Operaties-VS Contoso-LT-VS

Nu wilt u alleen de groepen Verkoop, Marketing en Operations inrichten voor Active Directory. U kunt een REGEX MATCH gebruiken om dit te bereiken.

REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)

Deze REGEX MATCH doorzoekt de beschrijvingen naar een van de volgende woorden die we hebben opgegeven en richt alleen die groepen in.

Schermopname van bereik op basis van REGEX MATCH.

Een filter op basis van kenmerken maken

Gebruik de volgende stappen om een filter op basis van kenmerken te maken:

  1. Klik op Kenmerkfilter toevoegen
  2. Geef in het vak Naam een naam op voor het filter
  3. Selecteer in de vervolgkeuzelijst onder Doelkenmerk het doelkenmerk
  4. Selecteer onder Operator een operator.
  5. Geef onder Waarde een waarde op.
  6. Klik op Opslaan.

Schermopname van het bereik op basis van het instellen van kenmerken.

Zie kenmerktoewijzing en Referentie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie.

Volgende stappen