Сопоставление фильтров области и атрибутов — идентификатор Microsoft Entra с Active Directory
Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.
В следующем документе описывается определение атрибутов с помощью Microsoft Entra Cloud Sync для подготовки идентификатора Microsoft Entra в Active Directory. Если вы ищете сведения о сопоставлении атрибутов из AD с идентификатором Microsoft Entra, см. сопоставление атрибутов — Active Directory с идентификатором Microsoft Entra.
Схема для идентификатора Microsoft Entra в конфигурации Active Directory
В настоящее время схема AD не обнаруживается и существует фиксированный набор сопоставлений. В следующей таблице приведены сопоставления и схемы по умолчанию для идентификатора Microsoft Entra с конфигурациями Active Directory.
| Целевой атрибут | Атрибут источника | Тип сопоставления | Примечания. |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | Expression | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе. НЕ ОБНОВЛЯТЬ , используемое для фильтрации AD в облачную синхронизацию , не отображается в пользовательском интерфейсе. |
| cn | Append(Append(Left(Trim([displayName]),51),"_"), Mid([objectId],25,12)) | Expression | |
| описание | Left(Trim([description]),448) | Expression | |
| displayName | displayName | Напрямую | |
| isSecurityGroup | Истина | Константа | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе. НЕ ОБНОВЛЯЙТЕ не видимые в пользовательском интерфейсе |
| member | members | Напрямую | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе. НЕ ОБНОВЛЯЙТЕ не видимые в пользовательском интерфейсе |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Expression | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе. НЕ ОБНОВЛЯЙТЕ , используемое для присоединения. Сопоставление в AD Не отображается в пользовательском интерфейсе |
| ObjectGUID | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе . НЕ ОБНОВЛЯТЬ только чтение — привязка в AD Не отображается в пользовательском интерфейсе |
||
| parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Константа | Значение по умолчанию в пользовательском интерфейсе |
| UniversalScope | Истина | Константа | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе. НЕ ОБНОВЛЯЙТЕ не видимые в пользовательском интерфейсе |
Помните, что на портале отображаются не все приведенные выше сопоставления. Дополнительные сведения о добавлении сопоставления атрибутов см. в разделе "Сопоставление атрибутов".
Настраиваемое сопоставление sAmAccountName
Атрибут sAMAccount по умолчанию не синхронизируется с идентификатором Microsoft Entra с Active Directory. Из-за этого при создании новой группы в Active Directory он получает случайно созданное имя.
Если требуется уникальное значение для sAMAccountName, можно создать настраиваемое сопоставление с sAMAccountName с помощью выражения. Например, можно сделать следующее: Join("_", [displayName], "Contoso_Group")
Это приведет к добавлению значения displayName и добавьте в него значение "Contoso_Group". Таким образом, новый sAMAccountName будет что-то подобное, Marketing_Contoso_Group
Внимание
Если вы решите создать сопоставление настраиваемых атрибутов для sAMAccountName, необходимо убедиться, что он уникален в Active Directory.
Целевой контейнер фильтра области
Целевой контейнер по умолчанию — OU=User,DC=<domain, выбранный при настройке start>DC=com. Это можно изменить, чтобы быть собственным пользовательским контейнером.
Можно также настроить несколько целевых контейнеров с помощью выражения сопоставления атрибутов с функцией Switch(). При использовании этого выражения, если значение displayName является маркетингом или продажами, группа создается в соответствующем подразделении. Если совпадения нет, группа создается в подразделении по умолчанию.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Ниже показан еще один пример. Представьте, что у вас есть следующие 3 группы, и они имеют следующие значения атрибута displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Для фильтрации и подготовки групп можно использовать следующую инструкцию switch:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Эта инструкция будет по умолчанию подготавливать все группы в контейнере OU=Groups,DC=contoso,DC=com в Active Directory. Однако если группа начинается с NA, она подготовит группу в OU=NorthAmerica,DC=contoso,DC=com. Аналогичным образом, если группа начинается с SA в OU=SouthAmerica,DC=contoso,DC=com и ЕС в OU=Europe,DC=contoso,DC=com.
Дополнительные сведения см. в справочнике по написанию выражений для сопоставлений атрибутов в идентификаторе Microsoft Entra.
Фильтрация области атрибутов
Поддерживается фильтрация области на основе атрибутов. Группы областей можно использовать на основе определенных атрибутов. Однако помните, что раздел сопоставления атрибутов для идентификатора Microsoft Entra с конфигурацией Active Directory немного отличается от традиционного раздела сопоставления атрибутов.
Поддерживаемые предложения
Фильтр области состоит из одного или нескольких предложений. Предложения определяют, какие группы могут проходить через фильтр области, оценивая атрибуты каждой группы. Например, у вас может быть одно предложение, требующее, чтобы атрибут displayName совпадал с атрибутом "Marketing", поэтому подготавливаются только маркетинговые группы.
Группирование безопасности по умолчанию
Группирование безопасности по умолчанию применяется поверх каждого предложения, созданного и использует логику AND. Он содержит следующие условия:
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE И
- mailEnabled IS FALSE
Группирование безопасности по умолчанию применяется всегда и использует логику AND при работе с одним предложением. Затем предложение будет следовать логике, описанной ниже.
Отдельное предложение определяет одно условие для одного значения атрибута. Если в одном фильтре области создается несколько предложений, они вычисляются вместе с помощью логики AND. Логика "AND" означает, что все предложения должны оцениваться как true, чтобы пользователь был подготовлен.
Наконец, для группы можно создать несколько фильтров области. При наличии нескольких фильтров области они вычисляются вместе с применением логического оператора "ИЛИ". Логика "OR" означает, что если одно из предложений в любом из настроенных фильтров области оценивается как true, группа подготавливается.
Поддерживаемые операторы
Поддерживаются следующие операторы:
| Operator | Description |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | Предложение возвращает значение true, если оцениваемый атрибут точно совпадает со значением входной строки (с учетом регистра). |
| GREATER_THAN | Предложение возвращает true, если вычисленный атрибут больше этого значения. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...]. |
| GREATER_THAN_OR_EQUALS | Предложение возвращает true, если вычисленный атрибут больше этого значения или равен ему. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...]. |
| ВКЛЮЧАЕТ | |
| IS FALSE | Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение false. |
| IS_MEMBER_OF | |
| значение NULL не равно NULL | Предложение возвращает значение true, если вычисленный атрибут имеет не пустое значение. |
| IS NULL | Предложение возвращает значение true, если вычисленный атрибут имеет пустое значение. |
| ЗНАЧЕНИЕ TRUE | Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение true. |
| !&L | |
| НЕ РАВНО | Предложение возвращает значение true, если оцениваемый атрибут не совпадает со значением входной строки (с учетом регистра). |
| NOT REGEX MATCH | Предложение возвращает значение true, если вычисленный атрибут не соответствует шаблону регулярного выражения. Возвращает значение false, если атрибут имеет значение NULL или пусто. |
| PRESENT | |
| REGEX MATCH | Предложение возвращает значение true, если вычисленный атрибут соответствует шаблону регулярного выражения. Пример: шаблон ([1-9][0-9]) соответствует любому числу от 10 до 99 (с учетом регистра). |
| ДОПУСТИМОЕ СООТВЕТСТВИЕ CERT |
Использование регулярных выражений для фильтрации
Более расширенный фильтр может использовать REGEX MATCH. Это позволяет выполнять поиск атрибута в виде строки для подстроки этого атрибута. Например, можно сказать, что у вас есть несколько групп, и все они имеют следующие описания:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Теперь вы хотите подготовить только группы продаж, маркетинга и операций в Active Directory. Для этого можно использовать REGEX MATCH.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Этот REGEX MATCH будет выполнять поиск по описаниям любого из приведенных ниже слов, которые мы предоставили, и подготавливать только эти группы.
Создание фильтра на основе атрибутов
Чтобы создать фильтр на основе атрибутов, выполните следующие действия.
- Щелкните " Добавить фильтр атрибутов"
- В поле "Имя" укажите имя фильтра
- В раскрывающемся списке в разделе "Целевой атрибут " выберите целевой атрибут.
- В разделе "Оператор" выберите оператор.
- В разделе "Значение" укажите значение.
- Нажмите кнопку Сохранить.
Дополнительные сведения см. в разделе "Сопоставление атрибутов" и "Справочник по написанию выражений" для сопоставлений атрибутов в идентификаторе Microsoft Entra ID.