Mapowanie filtrów i atrybutów określania zakresu — identyfikator entra firmy Microsoft do usługi Active Directory
Domyślne mapowania atrybutów można dostosować zgodnie z potrzebami biznesowymi. Możesz więc zmienić lub usunąć istniejące mapowania atrybutów lub utworzyć nowe mapowania atrybutów.
Poniższy dokument przeprowadzi Cię przez określanie zakresu atrybutów za pomocą funkcji Microsoft Entra Cloud Sync na potrzeby aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Jeśli szukasz informacji na temat mapowania atrybutów z usługi AD na microsoft Entra ID, zobacz Mapowanie atrybutów — Active Directory do identyfikatora Entra firmy Microsoft.
Schemat konfiguracji usługi Microsoft Entra ID do usługi Active Directory
Obecnie schemat usługi AD nie jest wykrywalny i istnieje stały zestaw mapowań. Poniższa tabela zawiera domyślne mapowania i schemat konfiguracji usługi Active Directory dla identyfikatora Entra firmy Microsoft.
| Atrybut docelowy | Atrybut źródłowy | Typ mapowania | Uwagi |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | Wyrażenie | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ UŻYWANE do filtrowania usługi AD do synchronizacji w chmurze Nie jest widoczne w interfejsie użytkownika |
| Cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Expression | |
| opis | Left(Trim([description]),448) | Wyrażenie | |
| displayName | displayName | Direct | |
| isSecurityGroup | Prawda | Stała | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ W INTERFEJSIE UŻYTKOWNIKA |
| członek | członkowie | Direct | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ W INTERFEJSIE UŻYTKOWNIKA |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Wyrażenie | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ UŻYWANE do dołączania — dopasowywanie w usłudze AD Nie jest widoczne w interfejsie użytkownika |
| Identyfikator OBJECTGUID | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ TYLKO do odczytu — kotwica w usłudze AD nie jest widoczna w interfejsie użytkownika |
||
| parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Stała | Ustawienie domyślne w interfejsie użytkownika |
| UniversalScope | Prawda | Stała | NIE MOŻNA ZAKTUALIZOWAĆ W INTERFEJSIE UŻYTKOWNIKA — NIE AKTUALIZUJ W INTERFEJSIE UŻYTKOWNIKA |
Należy pamiętać, że nie wszystkie powyższe mapowania są widoczne w portalu. Aby uzyskać więcej informacji na temat dodawania mapowania atrybutów, zobacz mapowanie atrybutów.
mapowanie niestandardowe sAmAccountName
Atrybut sAMAccount nie jest domyślnie synchronizowany z identyfikatorem Entra firmy Microsoft z usługą Active Directory. W związku z tym, gdy nowa grupa jest tworzona w usłudze Active Directory, otrzymuje losowo wygenerowaną nazwę.
Jeśli chcesz mieć własną unikatową wartość dla parametru sAMAccountName, możesz utworzyć niestandardowe mapowanie na wartość sAMAccountName przy użyciu wyrażenia. Możesz na przykład wykonać następujące czynności: Join("_", [displayName], "Contoso_Group")
Spowoduje to przejście do wartości displayName i dodanie do niej wartości "Contoso_Group". Dlatego nowa nazwa sAMAccountName będzie podobna do następującej: Marketing_Contoso_Group
Ważne
Jeśli zdecydujesz się utworzyć mapowanie atrybutów niestandardowych dla parametru sAMAccountName, musisz upewnić się, że jest on unikatowy w usłudze Active Directory.
Kontener docelowy filtru określającego zakres
Domyślnym kontenerem docelowym jest OU=Użytkownik,DC=<domena wybrana podczas konfiguracji start>,DC=com. Możesz to zmienić na własny kontener niestandardowy.
Można również skonfigurować wiele kontenerów docelowych przy użyciu wyrażenia mapowania atrybutów z funkcją Switch(). W tym wyrażeniu, jeśli wartość displayName to Marketing lub Sales, grupa jest tworzona w odpowiedniej jednostki organizacyjnej. Jeśli nie ma dopasowania, grupa zostanie utworzona w domyślnej jednostki organizacyjnej.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Poniżej przedstawiono inny przykład. Załóżmy, że masz następujące 3 grupy i mają następujące wartości atrybutów displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Aby filtrować i aprowizować grupy, możesz użyć następującej instrukcji switch:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Ta instrukcja będzie domyślnie aprowizować wszystkie grupy do kontenera OU=Groups,DC=contoso,DC=com w usłudze Active Directory. Jeśli jednak grupa zaczyna się od NA, aprowizuje grupę do OU=NorthAmerica,DC=contoso,DC=com. Podobnie, jeśli grupa zaczyna się od SA do OU=SouthAmerica,DC=contoso,DC=com i EU do OU=Europe,DC=contoso,DC=com.
Aby uzyskać więcej informacji, zobacz Dokumentacja pisania wyrażeń mapowań atrybutów w identyfikatorze Entra firmy Microsoft.
Filtrowanie zakresu atrybutów
Filtrowanie zakresu opartego na atrybutach jest obsługiwane. Grupy można określać na podstawie określonych atrybutów. Należy jednak pamiętać, że sekcja mapowania atrybutów dla identyfikatora Entra firmy Microsoft do konfiguracji usługi Active Directory jest nieco inna niż w tradycyjnej sekcji mapowania atrybutów.
Obsługiwane klauzule
Filtr określania zakresu składa się z co najmniej jednej klauzuli. Klauzule określają, które grupy mogą przechodzić przez filtr określania zakresu, oceniając atrybuty każdej grupy. Na przykład może istnieć jedna klauzula, która wymaga, aby atrybut "displayName" grup był równy "Marketing", więc aprowizowane są tylko grupy marketingowe.
Domyślne grupowanie zabezpieczeń
Domyślne grupowanie zabezpieczeń jest stosowane na podstawie każdej utworzonej klauzuli i używa logiki "AND". Zawiera następujące warunki:
- securityEnabled IS True I
- dirSyncEnabled MA WARTOŚĆ FALSE I
- mailEnabled IS FALSE
Domyślne grupowanie zabezpieczeń jest zawsze stosowane jako pierwsze i używa logiki AND podczas pracy z pojedynczą klauzulą. Klauzula będzie następnie postępować zgodnie z logiką opisaną poniżej.
Pojedyncza klauzula definiuje pojedynczy warunek dla pojedynczej wartości atrybutu. Jeśli w jednym filtrze określania zakresu jest tworzonych wiele klauzul, są one oceniane razem przy użyciu logiki "AND". Logika "AND" oznacza, że wszystkie klauzule muszą mieć wartość "true" w celu aprowizacji użytkownika.
Na koniec można utworzyć wiele filtrów określania zakresu dla grupy. Jeśli istnieje wiele filtrów określania zakresu, są one oceniane razem przy użyciu logiki "OR". Logika "OR" oznacza, że jeśli którakolwiek z skonfigurowanych filtrów określania zakresu ma wartość "true", aprowizowana jest grupa.
Obsługiwane operatory
Obsługiwane są następujące operatory:
| Operator | opis |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | Klauzula zwraca wartość "true", jeśli obliczony atrybut odpowiada dokładnie wartości ciągu wejściowego (uwzględniana wielkość liter). |
| GREATER_THAN | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy niż wartość. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...]. |
| GREATER_THAN_OR_EQUALS | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest większy lub równy wartości. Wartość określona w filtrze określania zakresu musi być liczbą całkowitą, a atrybut użytkownika musi być liczbą całkowitą [0,1,2,...]. |
| ZAWIERA | |
| IS FALSE | Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną false. |
| IS_MEMBER_OF | |
| nie ma wartości NULL | Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest pusty. |
| IS NULL | Klauzula zwraca wartość "true", jeśli obliczony atrybut jest pusty. |
| IS TRUE | Klauzula zwraca wartość "true", jeśli obliczony atrybut zawiera wartość logiczną true. |
| !&L | |
| NIE RÓWNA SIĘ | Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny z wartością ciągu wejściowego (uwzględniana wielkość liter). |
| NIE PASUJE DO WYRAŻENIA REGULARNEGO | Klauzula zwraca wartość "true", jeśli obliczony atrybut nie jest zgodny ze wzorcem wyrażenia regularnego. Zwraca wartość "false", jeśli atrybut ma wartość null/pustą. |
| PREZENTOWAĆ | |
| DOPASOWANIE WYRAŻENIA REGULARNEGO | Klauzula zwraca wartość "true", jeśli obliczony atrybut pasuje do wzorca wyrażenia regularnego. Na przykład: ([1–9][0–9]) pasuje do dowolnej liczby z zakresu od 10 do 99 (z uwzględnieniem wielkości liter). |
| PRAWIDŁOWE DOPASOWANIE CERTYFIKATU |
Filtrowanie przy użyciu wyrażeń regularnych
Bardziej zaawansowany filtr może używać REGEX MATCH. Umożliwia to wyszukiwanie atrybutu jako ciągu podciągu tego atrybutu. Załóżmy na przykład, że masz kilka grup i wszystkie mają następujące opisy:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Teraz chcesz aprowizować grupy Sprzedaż, Marketing i Operacje tylko w usłudze Active Directory. Aby to osiągnąć, możesz użyć wyrażenia REGEX MATCH.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
To REGEX MATCH wyszuka opisy dowolnych z poniższych słów, które podano i aprowizować tylko te grupy.
Tworzenie filtru opartego na atrybutach
Aby utworzyć filtr oparty na atrybutach, wykonaj następujące czynności:
- Kliknij pozycję Dodaj filtr atrybutów
- W polu Nazwa podaj nazwę filtru
- Z listy rozwijanej w obszarze Atrybut docelowy wybierz atrybut docelowy.
- W obszarze Operator wybierz operator.
- W obszarze Wartość określ wartość.
- Kliknij przycisk Zapisz.
Aby uzyskać więcej informacji, zobacz mapowanie atrybutów i odwołanie do pisania wyrażeń mapowań atrybutów w identyfikatorze Entra firmy Microsoft.
Następne kroki
- Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync
- Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra
- Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync