Omfångsfilter och attributmappning – Microsoft Entra-ID till Active Directory
Du kan anpassa standardattributmappningarna efter dina affärsbehov. Du kan därför ändra eller ta bort befintliga attributmappningar eller skapa nya attributmappningar.
I följande dokument får du hjälp med attributomfång med Microsoft Entra Cloud Sync för etablering från Microsoft Entra-ID till Active Directory. Om du letar efter information om attributmappning från AD till Microsoft Entra-ID kan du läsa Attributmappning – Active Directory till Microsoft Entra-ID.
Schema för Microsoft Entra-ID till Active Directory-konfigurationer
Ad-schemat kan för närvarande inte identifieras och det finns en fast uppsättning mappningar. Följande tabell innehåller standardmappningar och scheman för Microsoft Entra-ID till Active Directory-konfigurationer.
Målattribut | Källattribut | Mappningstyp | Kommentar |
---|---|---|---|
adminDescription | Append("Group_",[objectId]) | Uttryck | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE Används för att filtrera bort AD till molnsynkronisering Inte synligt i användargränssnittet |
Cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Uttryck | |
description | Left(Trim([description]),448) | Uttryck | |
displayName | displayName | Direct | |
isSecurityGroup | Sant | Konstant | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE Visas inte i användargränssnittet |
medlem | medlemmar | Direct | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE Visas inte i användargränssnittet |
msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Uttryck | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE Används för anslutning – matchning i AD Visas inte i användargränssnittet |
ObjectGUID | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE skrivskyddad – fästpunkt i AD Visas inte i användargränssnittet |
||
parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Konstant | Standard i användargränssnittet |
UniversalScope | Sant | Konstant | DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA INTE Visas inte i användargränssnittet |
Tänk på att inte alla ovanstående mappningar visas i portalen. Mer information om hur du lägger till en attributmappning finns i attributmappning.
anpassad mappning för sAmAccountName
Attributet sAMAccount synkroniseras som standard inte från Microsoft Entra-ID till Active Directory. När den nya gruppen skapas i Active Directory får den därför ett slumpmässigt genererat namn.
Om du vill ha ett eget unikt värde för sAMAccountName kan du skapa en anpassad mappning till sAMAccountName med ett uttryck. Du kan till exempel göra något som liknar: Join("_", [displayName], "Contoso_Group")
Detta tar värdet displayName och lägger till "Contoso_Group" i det. Så det nya sAMAccountName skulle vara något i stil med, Marketing_Contoso_Group
Viktigt!
Om du bestämmer dig för att skapa en anpassad attributmappning för sAMAccountName måste du se till att den är unik i Active Directory.
Omfångsfiltermålcontainer
Standardmålcontainern är OU=User,DC=<domain selected at configuration start>,DC=com. Du kan ändra detta till en egen anpassad container.
Flera målcontainrar kan också konfigureras med hjälp av ett attributmappningsuttryck med funktionen Switch(). Med det här uttrycket skapas gruppen i motsvarande organisationsenhet om värdet displayName är Marknadsföring eller Försäljning. Om det inte finns någon matchning skapas gruppen i standard-OU.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Ett annat exempel för detta visas nedan. Anta att du har följande tre grupper och att de har följande displayName-attributvärden:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Du kan använda följande switch-instruktion för att filtrera och etablera grupperna:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Den här instruktionen etablerar som standard alla grupper till containern OU=Groups,DC=contoso,DC=com i Active Directory. Men om gruppen börjar med NA etablerar den gruppen till OU=NorthAmerica,DC=contoso,DC=com. På samma sätt, om gruppen börjar med SA till OU=SouthAmerica,DC=contoso,DC=com och EU to OU=Europe,DC=contoso,DC=com.
Mer information finns i Referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.
Filtrering av attributomfång
Attributbaserad omfångsfiltrering stöds. Du kan omfångsgrupper baserat på vissa attribut. Tänk dock på att avsnittet för attributmappning för ett Microsoft Entra-ID till Active Directory-konfiguration skiljer sig något från det traditionella avsnittet för attributmappning.
Satser som stöds
Ett omfångsfilter består av en eller flera satser. Satser avgör vilka grupper som tillåts passera genom omfångsfiltret genom att utvärdera varje grupps attribut. Du kan till exempel ha en sats som kräver att ett "displayName"-attribut för grupper är lika med "Marknadsföring", så endast marknadsföringsgrupper etableras.
Standardsäkerhetsgruppering
Standardsäkerhetsgruppering tillämpas ovanpå varje sats som skapas och använder "AND"-logiken. Den innehåller följande villkor:
- securityEnabled IS True AND
- dirSyncEnabled ÄR FALSKT OCH
- mailEnabled ÄR FALSKT
Standardsäkerhetsgruppering tillämpas ALLTID först och använder AND-logiken när du arbetar med en enda sats. Satsen följer sedan den logik som beskrivs nedan.
En enskild sats definierar ett enda villkor för ett enda attributvärde. Om flera satser skapas i ett enda omfångsfilter utvärderas de tillsammans med hjälp av "AND"-logik. "AND"-logiken innebär att alla satser måste utvärderas till "true" för att en användare ska kunna etableras.
Slutligen kan flera omfångsfilter skapas för en grupp. Om det finns flera omfångsfilter utvärderas de tillsammans med hjälp av "OR"-logik. "OR"-logiken innebär att om någon av satserna i något av de konfigurerade omfångsfiltren utvärderas till "true" etableras gruppen.
Operatorer som stöds
Följande operatorer stöds:
Operatör | beskrivning |
---|---|
& | |
ENDS_WITH | |
MOTSVARAR | -satsen returnerar "true" om det utvärderade attributet matchar indatasträngvärdet exakt (skiftlägeskänsligt). |
GREATER_THAN | -satsen returnerar "true" om det utvärderade attributet är större än värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...]. |
GREATER_THAN_OR_EQUALS | -satsen returnerar "true" om det utvärderade attributet är större än eller lika med värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...]. |
INNEHÅLLER | |
ÄR FALSKT | -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av false. |
IS_MEMBER_OF | |
är inte NULL | -satsen returnerar "true" om det utvärderade attributet inte är tomt. |
ÄR NULL | -satsen returnerar "true" om det utvärderade attributet är tomt. |
ÄR SANT | -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av true. |
!&L | |
INTE LIKA MED | Satsen returnerar "true" om det utvärderade attributet inte matchar indatasträngsvärdet (skiftlägeskänsligt). |
INTE REGEX MATCH | -satsen returnerar "true" om det utvärderade attributet inte matchar ett mönster för reguljära uttryck. Det returnerar "false" om attributet är null/tomt. |
GÅVA | |
REGEX MATCH | -satsen returnerar "true" om det utvärderade attributet matchar ett mönster för reguljära uttryck. Till exempel: ([1-9][0-9]) matchar ett tal mellan 10 och 99 (skiftlägeskänsligt). |
GILTIG CERT MATCH |
Använda reguljära uttryck för att filtrera på
Ett mer avancerat filter kan använda en REGEX MATCH. På så sätt kan du söka i ett attribut som en sträng efter en delsträng av attributet. Anta till exempel att du har flera grupper och att alla har följande beskrivningar:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Nu vill du bara etablera grupperna Försäljning, Marknadsföring och Åtgärder till Active Directory. Du kan använda en REGEX MATCH för att uppnå detta.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Denna REGEX MATCH söker efter beskrivningarna efter något av följande ord som vi har angett och etablerar endast dessa grupper.
Skapa ett attributbaserat filter
Använd följande steg för att skapa ett attributbaserat filter:
- Klicka på Lägg till attributfilter
- I rutan Namn anger du ett namn för filtret
- Välj målattributet under Målattribut i listrutan
- Under Operator väljer du en operator.
- Under Värde anger du ett värde.
- Klicka på Spara.
Mer information finns i attributmappning och referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.