Filtro de escopo e mapeamento de atributos - Microsoft Entra ID para Ative Directory
Você pode personalizar os mapeamentos de atributos padrão de acordo com suas necessidades de negócios. Portanto, você pode alterar ou excluir mapeamentos de atributos existentes ou criar novos mapeamentos de atributos.
O documento a seguir irá guiá-lo através do escopo de atributos com o Microsoft Entra Cloud Sync para provisionamento do Microsoft Entra ID para o Ative Directory. Se você estiver procurando informações sobre o mapeamento de atributos do AD para o Microsoft Entra ID, consulte Mapeamento de atributos - Ative Directory para Microsoft Entra ID.
Esquema para configurações do Microsoft Entra ID para o Ative Directory
Atualmente, o esquema do AD não é detetável e há um conjunto fixo de mapeamentos. A tabela a seguir fornece os mapeamentos e o esquema padrão para as configurações do Microsoft Entra ID para o Ative Directory.
| Atributo de destino | Atributo Source | Tipo de mapeamento | Notas |
|---|---|---|---|
| adminDescrição | Append("Group_",[objectId]) | Expression | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Usado para filtrar a sincronização do AD para a nuvem Não visível na interface do usuário |
| CN | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Expression | |
| descrição | Esquerda(Trim([description]),448) | Expression | |
| displayName | displayName | Direct | |
| isSecurityGroup | True | Constante | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Não visível na interface do usuário |
| membro | membros | Direct | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Não visível na interface do usuário |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Expression | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Usado para ingressar - correspondência no AD Não visível na interface do usuário |
| ObjectGUID | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Somente leitura - âncora no AD Não visível na interface do usuário |
||
| parentDistinguishedName | OU=Users,DC=<domínio selecionado no início> da configuração,DC=com | Constante | Padrão na interface do usuário |
| Âmbito Universal | True | Constante | NÃO É POSSÍVEL ATUALIZAR NA INTERFACE DO USUÁRIO - NÃO ATUALIZAR Não visível na interface do usuário |
Esteja ciente de que nem todos os mapeamentos acima são visíveis no portal. Para obter mais informações sobre como adicionar um mapeamento de atributos, consulte Mapeamento de atributos.
mapeamento personalizado sAmAccountName
O atributo sAMAccount não é, por padrão, sincronizado do Microsoft Entra ID para o Ative Directory. Por isso, quando o novo grupo é criado no Ative Directory, ele recebe um nome gerado aleatoriamente.
Se você quiser seu próprio valor exclusivo para sAMAccountName, poderá criar um mapeamento personalizado para sAMAccountName usando uma expressão. Por exemplo, você pode fazer algo como: Join("_", [displayName], "Contoso_Group")
Isso pegará o valor displayName e adicionará "Contoso_Group" a ele. Assim, o novo sAMAccountName seria algo como, Marketing_Contoso_Group
Importante
Se você decidir criar um mapeamento de atributo personalizado para sAMAccountName, deverá garantir que ele seja exclusivo no Ative Directory.
Contêiner de destino do filtro de escopo
O contêiner de destino padrão é OU=User,DC=<domain selecionado no início da configuração>,DC=com. Você pode alterar isso para ser seu próprio contêiner personalizado.
Vários contêineres de destino também podem ser configurados usando uma expressão de mapeamento de atributos com a função Switch(). Com essa expressão, se o valor displayName for Marketing ou Sales, o grupo será criado na UO correspondente. Se não houver correspondência, o grupo será criado na UO padrão.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Outro exemplo disso é mostrado abaixo. Imagine que você tem os 3 grupos a seguir e eles têm os seguintes valores de atributo displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Você pode usar a seguinte instrução switch para filtrar e provisionar os grupos:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Esta instrução irá, por padrão, provisionar todos os grupos para o contêiner OU=Groups,DC=contoso,DC=com no Ative Directory. No entanto, se o grupo começar com NA, ele provisionará o grupo para OU=NorthAmerica,DC=contoso,DC=com. Da mesma forma, se o grupo começar com SA para OU=SouthAmerica,DC=contoso,DC=com e EU para OU=Europe,DC=contoso,DC=com.
Para obter mais informações, consulte Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.
Filtragem de escopo de atributo
Há suporte para filtragem de escopo baseada em atributos. Você pode definir o escopo de grupos com base em determinados atributos. No entanto, esteja ciente de que a seção de mapeamento de atributos para uma configuração do Microsoft Entra ID para o Ative Directory é ligeiramente diferente da seção de mapeamento de atributos tradicional.
Cláusulas suportadas
Um filtro de escopo consiste em uma ou mais cláusulas. As cláusulas determinam quais grupos podem passar pelo filtro de escopo avaliando os atributos de cada grupo. Por exemplo, você pode ter uma cláusula que exija que um atributo "displayName" de grupos seja igual a "Marketing", para que apenas os grupos de Marketing sejam provisionados.
O agrupamento de segurança padrão
O agrupamento de segurança padrão é aplicado sobre cada cláusula criada e usa a lógica "E". Contém as seguintes condições:
- securityEnabled É Verdadeiro E
- dirSyncEnabled É FALSO E
- mailEnabled É FALSO
O agrupamento de segurança padrão é SEMPRE aplicado primeiro e usa a lógica AND ao trabalhar com uma única cláusula. A cláusula seguirá, então, a lógica descrita abaixo.
Uma única cláusula define uma única condição para um único valor de atributo. Se várias cláusulas forem criadas em um único filtro de escopo, elas serão avaliadas em conjunto usando a lógica "E". A lógica "E" significa que todas as cláusulas devem ser avaliadas como "verdadeiras" para que um usuário seja provisionado.
Finalmente, vários filtros de escopo podem ser criados para um grupo. Se vários filtros de escopo estiverem presentes, eles serão avaliados juntos usando a lógica "OR". A lógica "OR" significa que, se qualquer uma das cláusulas em qualquer um dos filtros de escopo configurados avaliar como "true", o grupo será provisionado.
Operadores suportados
Os seguintes operadores são suportados:
| Operator | Description |
|---|---|
| & | |
| ENDS_WITH | |
| IGUAL | A cláusula retornará "true" se o atributo avaliado corresponder exatamente ao valor da cadeia de caracteres de entrada (diferencia maiúsculas de minúsculas). |
| GREATER_THAN | A cláusula retorna "true" se o atributo avaliado for maior que o valor. O valor especificado no filtro de escopo deve ser um inteiro e o atributo no usuário deve ser um inteiro [0,1,2,...]. |
| GREATER_THAN_OR_EQUALS | A cláusula retornará "true" se o atributo avaliado for maior ou igual ao valor. O valor especificado no filtro de escopo deve ser um inteiro e o atributo no usuário deve ser um inteiro [0,1,2,...]. |
| INCLUI | |
| É FALSO | A cláusula retorna "true" se o atributo avaliado contiver um valor booleano de false. |
| IS_MEMBER_OF | |
| não é NULL | A cláusula retornará "true" se o atributo avaliado não estiver vazio. |
| É NULA: | A cláusula retorna "true" se o atributo avaliado estiver vazio. |
| É VERDADE | A cláusula retornará "true" se o atributo avaliado contiver um valor booleano de true. |
| !&L | |
| NÃO IGUAL | A cláusula retornará "true" se o atributo avaliado não corresponder ao valor da cadeia de caracteres de entrada (diferencia maiúsculas de minúsculas). |
| NÃO REGEX MATCH | A cláusula retornará "true" se o atributo avaliado não corresponder a um padrão de expressão regular. Ele retorna "false" se o atributo for null / empty. |
| ATUALIDADE | |
| JOGO DE REGEX | A cláusula retornará "true" se o atributo avaliado corresponder a um padrão de expressão regular. Por exemplo: ([1-9][0-9]) corresponde a qualquer número entre 10 e 99 (diferencia maiúsculas de minúsculas). |
| CORRESPONDÊNCIA CERT VÁLIDA |
Usando expressões regulares para filtrar
Um filtro mais avançado pode usar um REGEX MATCH. Isso permite que você pesquise um atributo como uma cadeia de caracteres para uma substring desse atributo. Por exemplo, digamos que você tem vários grupos e todos eles têm as seguintes descrições:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Agora, você deseja provisionar apenas os grupos Vendas, Marketing e Operações para o Ative Directory. Você pode usar um REGEX MATCH para conseguir isso.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Este REGEX MATCH irá procurar nas descrições qualquer uma das seguintes palavras que fornecemos e fornecer apenas esses grupos.
Criar um filtro baseado em atributo
Para criar um filtro baseado em atributos, use as seguintes etapas:
- Clique em Adicionar filtro de atributo
- Na caixa Nome, forneça um nome para o filtro
- Na lista suspensa, em Atributo de destino, selecione o atributo de destino
- Em Operador, selecione um operador.
- Em Valor, especifique um valor.
- Clique em Guardar.
Para obter mais informações, consulte Mapeamento de atributos e Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.