Dela via


Omfångsfilter och attributmappning – Microsoft Entra-ID till Active Directory

Du kan anpassa standardattributmappningarna efter dina affärsbehov. Du kan därför ändra eller ta bort befintliga attributmappningar eller skapa nya attributmappningar.

Skärmbild av det attributbaserade omfånget.

I följande dokument får du hjälp med attributomfång med Microsoft Entra Cloud Sync för etablering från Microsoft Entra-ID till Active Directory. Om du letar efter information om attributmappning från AD till Microsoft Entra-ID kan du läsa Attributmappning – Active Directory till Microsoft Entra-ID.

Schema för Microsoft Entra-ID till Active Directory-konfigurationer

Ad-schemat kan för närvarande inte identifieras och det finns en fast uppsättning mappningar. Följande tabell innehåller standardmappningar och scheman för Microsoft Entra-ID till Active Directory-konfigurationer.

Målattribut Källattribut Mappningstyp Kommentar
adminDescription Append("Group_",[objectId]) Uttryck DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE Används för att filtrera bort AD till molnsynkronisering

Inte synligt i användargränssnittet
Cn Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) Uttryck
description Left(Trim([description]),448) Uttryck
displayName displayName Direct
isSecurityGroup Sant Konstant DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE Visas inte i användargränssnittet
medlem medlemmar Direct DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE Visas inte i användargränssnittet
msDS-ExternalDirectoryObjectId Append("Group_",[objectId]) Uttryck DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE Används för anslutning – matchning i AD

Visas inte i användargränssnittet
ObjectGUID DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE skrivskyddad – fästpunkt i AD

Visas inte i användargränssnittet
parentDistinguishedName OU=Users,DC=<domain selected at configuration start,DC>=com Konstant Standard i användargränssnittet
UniversalScope Sant Konstant DET GÅR INTE ATT UPPDATERA I ANVÄNDARGRÄNSSNITTET – UPPDATERA

INTE Visas inte i användargränssnittet

Tänk på att inte alla ovanstående mappningar visas i portalen. Mer information om hur du lägger till en attributmappning finns i attributmappning.

anpassad mappning för sAmAccountName

Attributet sAMAccount synkroniseras som standard inte från Microsoft Entra-ID till Active Directory. När den nya gruppen skapas i Active Directory får den därför ett slumpmässigt genererat namn.

Skärmbild av sAMAccountName med ADSI Edit.

Om du vill ha ett eget unikt värde för sAMAccountName kan du skapa en anpassad mappning till sAMAccountName med ett uttryck. Du kan till exempel göra något som liknar: Join("_", [displayName], "Contoso_Group")

Skärmbild av ett uttryck för sAMAccountName i portalen.

Detta tar värdet displayName och lägger till "Contoso_Group" i det. Så det nya sAMAccountName skulle vara något i stil med, Marketing_Contoso_Group

Skärmbild av värdet sAMAccountName efter uttryck.

Viktigt!

Om du bestämmer dig för att skapa en anpassad attributmappning för sAMAccountName måste du se till att den är unik i Active Directory.

Omfångsfiltermålcontainer

Standardmålcontainern är OU=User,DC=<domain selected at configuration start>,DC=com. Du kan ändra detta till en egen anpassad container.

Flera målcontainrar kan också konfigureras med hjälp av ett attributmappningsuttryck med funktionen Switch(). Med det här uttrycket skapas gruppen i motsvarande organisationsenhet om värdet displayName är Marknadsföring eller Försäljning. Om det inte finns någon matchning skapas gruppen i standard-OU.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Skärmbild av omfångsfilteruttrycket.

Ett annat exempel för detta visas nedan. Anta att du har följande tre grupper och att de har följande displayName-attributvärden:

  • NA-Sales-Contoso
  • SA-Sales-Contoso
  • EU-Sales-Contoso

Du kan använda följande switch-instruktion för att filtrera och etablera grupperna:

Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")

Den här instruktionen etablerar som standard alla grupper till containern OU=Groups,DC=contoso,DC=com i Active Directory. Men om gruppen börjar med NA etablerar den gruppen till OU=NorthAmerica,DC=contoso,DC=com. På samma sätt, om gruppen börjar med SA till OU=SouthAmerica,DC=contoso,DC=com och EU to OU=Europe,DC=contoso,DC=com.

Mer information finns i Referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.

Filtrering av attributomfång

Attributbaserad omfångsfiltrering stöds. Du kan omfångsgrupper baserat på vissa attribut. Tänk dock på att avsnittet för attributmappning för ett Microsoft Entra-ID till Active Directory-konfiguration skiljer sig något från det traditionella avsnittet för attributmappning.

Skärmbild av det attributbaserade omfånget.

Satser som stöds

Ett omfångsfilter består av en eller flera satser. Satser avgör vilka grupper som tillåts passera genom omfångsfiltret genom att utvärdera varje grupps attribut. Du kan till exempel ha en sats som kräver att ett "displayName"-attribut för grupper är lika med "Marknadsföring", så endast marknadsföringsgrupper etableras.

Standardsäkerhetsgruppering

Standardsäkerhetsgruppering tillämpas ovanpå varje sats som skapas och använder "AND"-logiken. Den innehåller följande villkor:

  • securityEnabled IS True AND
  • dirSyncEnabled ÄR FALSKT OCH
  • mailEnabled ÄR FALSKT

Standardsäkerhetsgruppering tillämpas ALLTID först och använder AND-logiken när du arbetar med en enda sats. Satsen följer sedan den logik som beskrivs nedan.

En enskild sats definierar ett enda villkor för ett enda attributvärde. Om flera satser skapas i ett enda omfångsfilter utvärderas de tillsammans med hjälp av "AND"-logik. "AND"-logiken innebär att alla satser måste utvärderas till "true" för att en användare ska kunna etableras.

Skärmbild av omfånget and-satsattribut.

Slutligen kan flera omfångsfilter skapas för en grupp. Om det finns flera omfångsfilter utvärderas de tillsammans med hjälp av "OR"-logik. "OR"-logiken innebär att om någon av satserna i något av de konfigurerade omfångsfiltren utvärderas till "true" etableras gruppen.

Skärmbild av omfånget or-satsattribut.

Operatorer som stöds

Följande operatorer stöds:

Operatör beskrivning
&
ENDS_WITH
MOTSVARAR -satsen returnerar "true" om det utvärderade attributet matchar indatasträngvärdet exakt (skiftlägeskänsligt).
GREATER_THAN -satsen returnerar "true" om det utvärderade attributet är större än värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].
GREATER_THAN_OR_EQUALS -satsen returnerar "true" om det utvärderade attributet är större än eller lika med värdet. Värdet som anges i omfångsfiltret måste vara ett heltal och attributet för användaren måste vara ett heltal [0,1,2,...].
INNEHÅLLER
ÄR FALSKT -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av false.
IS_MEMBER_OF
är inte NULL -satsen returnerar "true" om det utvärderade attributet inte är tomt.
ÄR NULL -satsen returnerar "true" om det utvärderade attributet är tomt.
ÄR SANT -satsen returnerar "true" om det utvärderade attributet innehåller ett booleskt värde av true.
!&L
INTE LIKA MED Satsen returnerar "true" om det utvärderade attributet inte matchar indatasträngsvärdet (skiftlägeskänsligt).
INTE REGEX MATCH -satsen returnerar "true" om det utvärderade attributet inte matchar ett mönster för reguljära uttryck. Det returnerar "false" om attributet är null/tomt.
GÅVA
REGEX MATCH -satsen returnerar "true" om det utvärderade attributet matchar ett mönster för reguljära uttryck. Till exempel: ([1-9][0-9]) matchar ett tal mellan 10 och 99 (skiftlägeskänsligt).
GILTIG CERT MATCH

Använda reguljära uttryck för att filtrera på

Ett mer avancerat filter kan använda en REGEX MATCH. På så sätt kan du söka i ett attribut som en sträng efter en delsträng av attributet. Anta till exempel att du har flera grupper och att alla har följande beskrivningar:

Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US

Nu vill du bara etablera grupperna Försäljning, Marknadsföring och Åtgärder till Active Directory. Du kan använda en REGEX MATCH för att uppnå detta.

REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)

Denna REGEX MATCH söker efter beskrivningarna efter något av följande ord som vi har angett och etablerar endast dessa grupper.

Skärmbild av REGEX MATCH-baserat omfång.

Skapa ett attributbaserat filter

Använd följande steg för att skapa ett attributbaserat filter:

  1. Klicka på Lägg till attributfilter
  2. I rutan Namn anger du ett namn för filtret
  3. Välj målattributet under Målattribut i listrutan
  4. Under Operator väljer du en operator.
  5. Under Värde anger du ett värde.
  6. Klicka på Spara.

Skärmbild av omfånget för att konfigurera attribut.

Mer information finns i attributmappning och referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.

Nästa steg