Filtr określania zakresu i mapowanie atrybutów — Microsoft Entra ID do Active Directory
Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.
Poniższy dokument przeprowadzi Cię przez określanie zakresu atrybutów za pomocą funkcji Microsoft Entra Cloud Sync na potrzeby aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Jeśli szukasz informacji na temat mapowania atrybutów z usługi AD na Microsoft Entra ID, odwiedź Mapowanie atrybutów — Active Directory do Microsoft Entra ID.
Schemat konfiguracji usługi Microsoft Entra ID do usługi Active Directory
Obecnie schemat usługi AD nie jest wykrywalny i istnieje ustalony zestaw mapowań. Poniższa tabela zawiera domyślne mapowania i schemat konfiguracji usługi Active Directory dla identyfikatora Entra firmy Microsoft.
| Atrybut docelowy | Atrybut źródłowy | Typ mapowania | Uwagi |
|---|---|---|---|
| Opis administratora | Append("Group_",[objectId]) | Wyrażenie | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ Używane do filtrowania AD do synchronizacji z chmurą Nie jest widoczne w interfejsie użytkownika |
| Cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Wyrażenie | |
| opis | Left(Trim([description]),448) | Wyrażenie | |
| nazwa wyświetlana | nazwa wyświetlana | Bezpośredni | |
| isSecurityGroup | Prawda | Stała | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ Nie widoczne w interfejsie użytkownika |
| członek | członkowie | Bezpośredni | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE — NIE AKTUALIZUJ Niewidoczne w interfejsie |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Wyrażenie | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ Używane do dołączania — dopasowywania w usłudze AD Nie jest widoczne w interfejsie użytkownika |
| ObjectGUID | NIE MOŻNA AKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ Tylko do odczytu — kotwica w Active Directory nie jest widoczna w interfejsie użytkownika |
||
| nadrzędna nazwa wyróżniająca | OU=Users,DC=<domain selected at configuration start>,DC=com | Stała | Ustawienie domyślne w interfejsie użytkownika |
| UniversalScope | Prawda | Stała | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ NIEWIDOCZNE W INTERFEJSIE UŻYTKOWNIKA |
Należy pamiętać, że nie wszystkie powyższe mapowania są widoczne w portalu. Aby uzyskać więcej informacji na temat dodawania mapowania atrybutów, zobacz mapowanie atrybutów.
mapowanie niestandardowe sAmAccountName
Atrybut sAMAccount nie jest domyślnie synchronizowany z Microsoft Entra ID do Active Directory. W związku z tym, gdy nowa grupa jest tworzona w usłudze Active Directory, otrzymuje losowo wygenerowaną nazwę.
Jeśli chcesz mieć własną unikatową wartość dla sAMAccountName, możesz utworzyć niestandardowe mapowanie sAMAccountName przy użyciu wyrażenia. Możesz na przykład wykonać następujące czynności: Join("_", [displayName], "Contoso_Group")
Spowoduje to, że wartość displayName zostanie powiększona o "Contoso_Group". Dlatego nowa nazwa sAMAccountName będzie podobna do następującej: Marketing_Contoso_Group
Ważne
Jeśli zdecydujesz się utworzyć mapowanie atrybutów niestandardowych dla parametru sAMAccountName, musisz upewnić się, że jest on unikatowy w usłudze Active Directory.
Kontener docelowy zakresowego filtru
Domyślnym kontenerem docelowym jest OU=Użytkownik,DC=<domena wybrana na początku konfiguracji,DC=com. Możesz to zmienić na własny kontener.
Można również skonfigurować wiele kontenerów docelowych przy użyciu wyrażenia mapowania atrybutów z funkcją Switch(). W tym wyrażeniu, jeśli wartość displayName to Marketing lub Sales, grupa jest tworzona w odpowiedniej jednostce organizacyjnej. Jeśli nie ma dopasowania, grupa zostanie utworzona w domyślnej jednostki organizacyjnej.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Poniżej przedstawiono inny przykład. Załóżmy, że masz następujące 3 grupy i mają następujące wartości atrybutów displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Aby filtrować i aprowizować grupy, możesz użyć następującej instrukcji switch:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Ta instrukcja będzie domyślnie aprowizować wszystkie grupy do kontenera OU=Groups,DC=contoso,DC=com w usłudze Active Directory. Jeśli jednak grupa zaczyna się od NA, przydziela ją do OU=NorthAmerica,DC=contoso,DC=com. Podobnie, jeśli grupa zaczyna się od SA do OU=SouthAmerica,DC=contoso,DC=com oraz od EU do OU=Europe,DC=contoso,DC=com.
Aby uzyskać więcej informacji, zobacz Dokumentacja pisania wyrażeń mapowań atrybutów w identyfikatorze Entra firmy Microsoft.
Filtrowanie zakresu atrybutów
Filtrowanie zakresu opartego na atrybutach jest obsługiwane. Grupy można określać na podstawie określonych atrybutów. Należy jednak pamiętać, że sekcja mapowania atrybutów dla identyfikatora Entra firmy Microsoft do konfiguracji usługi Active Directory jest nieco inna niż w tradycyjnej sekcji mapowania atrybutów.
Obsługiwane klauzule
Filtr określania zakresu składa się z jednej lub więcej klauzul. Klauzule określają, które grupy mogą przechodzić przez filtr określania zakresu, oceniając atrybuty każdej grupy. Na przykład może istnieć jedna klauzula, która wymaga, aby atrybut "displayName" grup był równy "Marketing", więc udostępniane są tylko grupy marketingowe.
Domyślne grupowanie zabezpieczeń
Domyślne grupowanie zabezpieczeń jest stosowane na podstawie każdej utworzonej klauzuli i używa logiki "AND". Zawiera następujące warunki:
- securityEnabled JEST Prawda ORAZ
- dirSyncEnabled JEST FAŁSZ ORAZ
- mailEnabled JEST FAŁSZ
Domyślne grupowanie zabezpieczeń jest zawsze stosowane jako pierwsze i używa logiki AND podczas pracy z pojedynczą klauzulą. Klauzula będzie następnie postępować zgodnie z logiką opisaną poniżej.
Pojedyncza klauzula definiuje pojedynczy warunek dla pojedynczej wartości atrybutu. Jeśli w jednym filtrze określania zakresu jest tworzonych wiele klauzul, są one oceniane razem przy użyciu logiki "AND". Logika "AND" oznacza, że wszystkie klauzule muszą mieć wartość "true" w celu aprowizacji użytkownika.
Na koniec można utworzyć wiele filtrów określania zakresu dla grupy. Jeśli istnieje wiele filtrów określania zakresu, są one oceniane razem przy użyciu logiki "OR". Logika "OR" oznacza, że jeśli którakolwiek klauzula w dowolnym z skonfigurowanych filtrów zakresu ma wartość "true", grupa jest aprowizowana.
Obsługiwane operatory
Obsługiwane są następujące operatory:
| Operator | opis |
|---|---|
| & | |
| KOŃCZY_SIĘ_NA | |
| RÓWNA SIĘ | Klauzula zwraca wartość "true", jeśli oceniany atrybut odpowiada dokładnie wartości ciągu wejściowego (z uwzględnieniem wielkości liter). |
| WIĘKSZE_NIŻ | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy niż wartość. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...]. |
| WIĘKSZE_LUB_RÓWNE | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy lub równy wartości. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...]. |
| Zawiera | |
| JEST FAŁSZYWE | Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną false. |
| JEST_CZŁONKIEM | |
| nie jest NULL | Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest pusty. |
| IS NULL | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest pusty. |
| JEST PRAWDA | Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną true. |
| !&L | |
| NIE RÓWNA SIĘ | Klauzula zwraca wartość "true", jeśli oceniany atrybut nie pasuje do wartości ciągu wejściowego (uwzględniana wielkość liter). |
| NIE ZGODNE Z WZORCEM REGEX | Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny ze wzorcem wyrażenia regularnego. Zwraca wartość "false", jeśli atrybut ma wartość null/pustą. |
| PREZENT | |
| DOPASOWANIE REGEX | Klauzula zwraca wartość "true", jeśli obliczony atrybut pasuje do wzorca wyrażenia regularnego. Na przykład: ([1–9][0–9]) pasuje do dowolnej liczby z zakresu od 10 do 99 (z uwzględnieniem wielkości liter). |
| PRAWIDŁOWA ZGODNOŚĆ CERTYFIKATU |
Filtrowanie na podstawie wyrażeń regularnych
Bardziej zaawansowany filtr może używać REGEX MATCH. Umożliwia to wyszukiwanie atrybutu jako ciągu podciągu tego atrybutu. Załóżmy na przykład, że masz kilka grup i wszystkie mają następujące opisy:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Teraz chcesz aprowizować grupy Sprzedaż, Marketing i Operacje tylko w usłudze Active Directory. Aby to osiągnąć, możesz użyć wyrażenia REGEX MATCH.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
To REGEX MATCH przeszuka opisy, aby znaleźć dowolne z poniższych słów, które podano, i udostępni tylko te grupy.
Tworzenie filtru opartego na atrybutach
Aby utworzyć filtr oparty na atrybutach, wykonaj następujące czynności:
- Kliknij pozycję Dodaj filtr atrybutów
- W polu Nazwa podaj nazwę filtru
- Z listy rozwijanej w obszarze Atrybutu docelowego wybierz atrybut docelowy.
- W obszarze Operator wybierz operator.
- W obszarze Wartość określ wartość.
- Kliknij przycisk Zapisz.
Aby uzyskać więcej informacji, zobacz mapowanie atrybutów i przewodnik po pisaniu wyrażeń dla mapowań atrybutów w Microsoft Entra ID.