範圍篩選和屬性對應 - Microsoft Entra ID 至 Active Directory
您可以根據您的業務需求自訂預設的屬性對應。 因此,您可以變更或刪除現有的屬性對應,或建立新的屬性對應。
下列文件會引導您使用 Microsoft Entra 雲端同步完成屬性範圍設定,以從 Microsoft Entra ID 佈建至 Active Directory。 如果您要尋找從 AD 到 Microsoft Entra ID 的屬性對應資訊,請參閱 屬性對應 - Active Directory 至 Microsoft Entra ID。
Microsoft Entra ID 至 Active Directory 設定的結構描述
目前無法探索 AD 結構描述,而且有一組固定的對應集。 下表提供 Microsoft Entra ID 到 Active Directory 設定的預設對應和結構描述。
| 目標屬性 | 來源屬性 | 對應類型 | 備註 |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | 運算式 | 無法在 UI 中更新 - 不要更新 用來從 AD 篩選到雲端同步 在 UI 中看不到 |
| cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | 運算式 | |
| description | Left(Trim([description]),448) | 運算式 | |
| displayName | displayName | 直接 | |
| isSecurityGroup | True | 持續性 | 無法在 UI 中更新 - 不要更新 在 UI 中看不到 |
| 成員 | 成員 | 直接 | 無法在 UI 中更新 - 不要更新 在 UI 中看不到 |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | 運算式 | 無法在 UI 中更新 - 不要更新 用來聯結 - 在 AD 中對應 在 UI 中看不到 |
| ObjectGUID | 無法在 UI 中更新 - 不要更新 唯讀 - AD 中的錨點 在 UI 中看不到 |
||
| parentDistinguishedName | OU=Users,DC=<domain selected at configuration start>,DC=com | 持續性 | UI 中的預設 |
| UniversalScope | True | 持續性 | 無法在 UI 中更新 - 不要更新 在 UI 中看不到 |
請注意,並非所有上述對應都能在入口網站中看到。 如需有關屬性對應的詳細資訊,請參閱屬性對應。
sAmAccountName 自定義對應
根據預設,sAMAccount 屬性不會從 Microsoft Entra ID 同步處理至 Active Directory。 因此,在 Active Directory 中建立新群組時,會指定隨機產生的名稱。
如果您想要為 sAMAccountName 建立自己的唯一值,您可以使用表示式來建立與 sAMAccountName 的自定義對應。 例如,您可以執行類似下列動作: Join("_", [displayName], "Contoso_Group")
這會採用 displayName 值,並將 「Contoso_Group」 新增至其中。 因此,新的 sAMAccountName 會類似,Marketing_Contoso_Group
重要
如果您決定為 sAMAccountName 建立自訂屬性對應,您必須確定它在 Active Directory 內是唯一的。
範圍篩選目標容器
預設目標容器是 OU=User,DC=<domain selected at configuration start>,DC=com。 您可以將此變更為自己的自訂容器。
您也可以使用屬性對應運算式搭配 Switch() 函式來設定多個目標容器。 使用此運算式時,如果 displayName 值為 Marketing 或 Sales,則會在對應的 OU 中建立群組。 如果沒有相符項目,則會在預設 OU 中建立群組。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
以下是此運算式的另一個範例。 假設您有下列 3 個群組,而且具有下列 displayName 屬性值:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
您可以使用下列 switch 陳述式來篩選和佈建群組:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
根據預設,此陳述會將所有群組佈建到 Active Directory 中的 OU=Groups,DC=contoso,DC=com 容器。 不過,如果群組以 NA 開頭,則會將群組佈建至 OU=NorthAmerica,DC=contoso,DC=com。 同樣地,如果群組以 SA 開頭,則會佈建至 OU=SouthAmerica,DC=contoso,DC=com;若以 EU 開頭,則佈建至 OU=Europe,DC=contoso,DC=com。
如需詳細資訊,請參閱在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考。
屬性範圍篩選
支援屬性型範圍篩選。 您可以根據特定屬性來設定群組範圍。 不過,請注意,Microsoft Entra ID 至 Active Directory 設定的屬性對應區段與傳統屬性對應區段稍有不同。
支援的子句
範圍篩選條件包含一個或多個子句。 子句會評估每個群組的屬性,以決定哪些群組可以通過範圍篩選條件。 例如,您可能有一個子句要求群組“displayName”屬性等於“Marketing”,此時只會佈建 Marketing 群組。
預設安全性群組
預設安全性群組會套用在所建立的每個子句之上,並使用“AND”邏輯。 其中包含以下條件:
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE AND
- mailEnabled IS FALSE
系統一定會先套用預設安全性群組,並在使用單一子句時使用 AND 邏輯。 接著,子句會遵循以下所述的邏輯。
單一子句可定義單一屬性值的單一條件。 如果在單一範圍篩選器中建立多個子句,則系統會使用「AND」邏輯一起評估這些子句。 也就是說,所有子句都必須評估為「true」,才能佈建使用者。
最後,您可以針對某個群組建立多個範圍篩選條件。 如果有多個範圍篩選條件,則會使用 "OR" 邏輯一起評估這些篩選條件。 "OR" 邏輯表示,如果任何已設定範圍篩選中的所有子句都評估為 "true",則會佈建群組。
支援的運算子
支援下列運算子:
| 運算子 | 描述 |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | 如果評估的屬性完全符合輸入字串值 (區分大小寫),子句會傳回 "true"。 |
| GREATER_THAN | 如果評估的屬性大於值,子句就會傳回 "true"。 範圍篩選上指定的值必須是整數,而且使用者的屬性必須是整數 [0,1,2,...]。 |
| GREATER_THAN_OR_EQUALS | 如果評估的屬性大於或等於值,子句就會傳回 "true"。 範圍篩選上指定的值必須是整數,而且使用者的屬性必須是整數 [0,1,2,...]。 |
| INCLUDES | |
| IS FALSE | 如果評估的屬性包含布林值 false,子句會傳回 "true"。 |
| IS_MEMBER_OF | |
| 不是 NULL | 如果評估的屬性不是空的,子句會傳回 "true"。 |
| IS NULL | 如果評估的屬性是空的,子句會傳回 "true"。 |
| IS TRUE | 如果評估的屬性包含布林值 true,子句會傳回 "true"。 |
| !&L | |
| NOT EQUALS | 如果評估的屬性不符合輸入字串值 (區分大小寫),子句會傳回 "true"。 |
| NOT REGEX MATCH | 如果評估的屬性不符合規則運算式模式,子句會傳回 "true"。 如果屬性為 null/empty,則會傳回 "false"。 |
| 現今 | |
| REGEX MATCH | 如果評估的屬性符合規則運算式模式,子句會傳回 "true"。 例如:\([1-9][0-9]\) 符合介於 10 到 99 之間的任何數字 (區分大小寫)。 |
| VALID CERT MATCH |
使用規則運算式篩選
更進階的篩選條件可能會使用 REGEX MATCH。 這可讓您搜尋屬性,做為該屬性 substring 的字串。 例如,假設您有數個群組,而且都有下列描述:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
現在,您只想將 Sales、Marketing 和 Operations 群組佈建至 Active Directory。 您可以使用 REGEX MATCH 來完成這個工作。
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
REGEX MATCH 會搜尋我們提供的任何字詞描述,並只佈建這些群組。
建立屬性型篩選
若要建立屬性型篩選器,請使用下列步驟:
- 按一下 [新增屬性篩選器]
- 在 [名稱] 方塊中,提供篩選器的名稱
- 從下拉式清單中的 [目標屬性] 下選取目標屬性
- 在 [運算子] 下選取運算子。
- 在 [值] 下指定值。
- 按一下 [檔案] 。
如需詳細資訊,請參閱屬性對應以及在 Microsoft Entra ID 中撰寫屬性對應之運算式的參考。