Eingrenzen von Benutzern oder Gruppen für die Bereitstellung mit Bereichsfiltern

Erfahren Sie, wie Sie Bereichsfilter im Microsoft Entra-Bereitstellungsdienst verwenden, um attributbasierte Regeln zu definieren. Die Regeln werden verwendet, um zu bestimmen, welche Benutzer oder Gruppen bereitgestellt werden.

Anwendungsfälle für Bereichsfilter

Mit Bereichsfiltern verhindern Sie, dass Objekte in Apps mit automatisierter Benutzerbereitstellung bereitgestellt werden, wenn ein Objekt Ihre geschäftlichen Anforderungen nicht erfüllt. Mit einem Bereichsfilter können Sie Benutzer anhand eines Attributs, das mit einem bestimmten Wert übereinstimmt, ein- oder ausschließen. Wenn Sie Benutzer*innen beispielsweise über Microsoft Entra ID für eine SaaS-Anwendung bereitstellen, die von einem Vertriebsteam genutzt wird, können Sie angeben, dass die Bereitstellung nur für Benutzer*innen mit der Einstellung „Sales“ für das Attribut „Department“ durchgeführt werden soll.

Bereichsfilter können abhängig von der Art des Bereitstellungsconnectors unterschiedlich verwendet werden:

• Ausgehende Bereitstellung von Microsoft Entra ID für SaaS-Anwendungen. Wenn Microsoft Entra ID das Quellsystem ist, sind Zuweisungen von Benutzer*innen und Gruppen die gängigste Methode, um zu ermitteln, welche Benutzer*innen im Bereich der Bereitstellung enthalten sind. Diese Zuweisungen werden auch verwendet, um das einmalige Anmelden zu ermöglichen und eine zentrale Methode für die Zugriffs- und Bereitstellungsverwaltung bereitzustellen. Bereichsfilter können optional verwendet werden – zusätzlich zu oder anstelle von Zuweisungen –, um Benutzer basierend auf Attributwerten zu filtern.

  Tipp

  Je mehr Benutzer und Gruppen im Bereitstellungsumfang enthalten sind, desto länger kann der Synchronisierungsprozess dauern. Wenn Sie den Bereich zum Synchronisieren zugewiesener Benutzer und Gruppen festlegen, wird durch das Beschränken der Anzahl der Gruppen, die der App zugewiesen sind, und das Beschränken der Gruppengröße die Zeit verringert, die für das Synchronisieren aller im Bereich enthaltenen Benutzer erforderlich ist.

• Eingehende Bereitstellung aus HCM-Anwendungen für Microsoft Entra ID und Active Directory. Wenn eine HCM-Anwendung (beispielsweise Workday) das Quellsystem ist, sind Bereichsfilter die Hauptmethode, um zu ermitteln, welche Benutzer*innen aus der HCM-Anwendung für Active Directory oder Microsoft Entra ID bereitgestellt werden sollen.

Standardmäßig sind für Microsoft Entra-Bereitstellungsconnectors keine attributbasierten Bereichsfilter konfiguriert.

Wenn Microsoft Entra ID das Quellsystem ist, sind Zuweisungen von Benutzer*innen und Gruppen die gängigste Methode, um zu ermitteln, welche Benutzer*innen im Bereich der Bereitstellung enthalten sind. Es wird empfohlen, die Anzahl der Benutzer im Bereich zu verringern, um die Leistung zu verbessern und zugewiesene Benutzer und Gruppen zu synchronisieren, anstatt alle Benutzer und Gruppen zu synchronisieren.

Bereichsfilter können optional zusätzlich zum Eingrenzen nach Zuweisung verwendet werden. Mit einem Bereichsfilter kann der Microsoft Entra-Bereitstellungsdienst Benutzer*innen anhand eines Attributs, das mit einem bestimmten Wert übereinstimmt, ein- oder ausschließen. Wenn Sie Benutzer beispielsweise über ein Vertriebsteam bereitstellen, können Sie angeben, dass die Bereitstellung nur für Benutzer mit der Einstellung „Sales“ für das Attribut „Department“ durchgeführt werden soll.

Erstellung von Bereichsfiltern

Ein Bereichsfilter enthält mindestens eine Klausel. Klauseln bestimmen, welche Benutzer den Bereichsfilter passieren dürfen. Hierzu werden die Attribute der einzelnen Benutzer ausgewertet. Wenn für eine Klausel also beispielsweise das state-Attribut eines Benutzers „New York“ lauten muss, werden für die Anwendung nur Benutzer aus New York bereitgestellt.

Mit einer einzelnen Klausel wird eine einzelne Bedingung für einen einzelnen Attributwert definiert. Wenn in einem einzelnen Bereichsfilter mehrere Klauseln erstellt werden, werden sie per „AND“-Logik zusammen ausgewertet. Die „AND“-Logik bedeutet, dass die Auswertung für alle Klauseln „true“ ergeben muss, damit ein Benutzer bereitgestellt werden kann.

Für eine einzelne Anwendung können außerdem mehrere Bereichsfilter erstellt werden. Mehrere Bereichsfilter werden gemeinsam mittels OR-Logik ausgewertet. Die „OR“-Logik bedeutet, dass wenn die Auswertung für alle Klauseln der konfigurierten Bereichsfilter „true“ ergibt, der Benutzer bereitgestellt wird.

Die vom Microsoft Entra-Bereitstellungsdienst verarbeiteten Benutzer*innen oder Gruppen werden jeweils einzeln auf der Grundlage der einzelnen Bereichsfilter ausgewertet.

Als Beispiel soll der folgende Bereichsfilter dienen:

Gemäß diesem Bereichsfilter müssen Benutzer die folgenden Kriterien erfüllen, damit sie bereitgestellt werden können:

• Sie müssen sich in New York befinden.
• Sie müssen in der Technikabteilung arbeiten.
• Ihre Unternehmensmitarbeiter-ID muss zwischen 1.000.000 und 2.000.000 liegen.
• Ihre Position darf nicht NULL oder leer sein.

Erstellen von Bereichsfiltern

Bereichsfilter werden im Rahmen der Attributzuordnungen für jeden Bereitstellungsconnector für Microsoft Entra-Benutzer*innen konfiguriert. In der folgenden Prozedur wird davon ausgegangen, dass Sie bereits die automatische Bereitstellung für eine der unterstützten Anwendungen eingerichtet haben und dafür nun einen Bereichsfilter hinzufügen möchten.

Erstellen eines Bereichsfilters

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Anwendungsadministrator an.

2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen>Alle Anwendungen.

3. Wählen Sie die Anwendung aus, für die Sie die automatische Bereitstellung konfiguriert haben (beispielsweise „ServiceNow“).

2. Wechseln Sie zu Identität>Externe Identitäten>Mandantenübergreifende Synchronisierung>Konfigurationen

3. Wählen Sie Ihre Konfiguration aus.

4. Wählen Sie die Registerkarte Bereitstellung.

5. Wählen Sie im Abschnitt Zuordnungen die Zuordnung aus, für die Sie einen Bereichsfilter konfigurieren möchten (beispielsweise „Microsoft Entra-Benutzer*innen mit ServiceNow synchronisieren“).

5. Wählen Sie im Abschnitt Zuordnungen die Zuordnung aus, für die Sie einen Bereichsfilter konfigurieren möchten: z. B. „Bereitstellen von Microsoft Entra-Benutzern“.

6. Wählen Sie das Menü Quellobjektbereich.

7. Wählen Sie Bereichsfilter hinzufügen.

8. Definieren Sie eine Klausel, indem Sie als Quelle einen Attributnamen, einen Operator und einen Attributwert für den Abgleich auswählen. Die folgenden Operatoren werden unterstützt:

   a. &. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut in der Eingabezeichenfolge enthalten ist.

   b. !&. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht in der Eingabezeichenfolge enthalten ist.

   c. ENDS_WITH. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut mit der Eingabezeichenfolge endet.

   d. EQUALS: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut exakt dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt).

   e. Greater_Than. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer als der Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein.

   f. Greater_Than_OR_EQUALS. Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut größer oder gleich als dem Wert ist. Der für den Bereichsfilter angegebene Wert muss eine ganze Zahl sein, und das-Attribut für den Benutzer muss ebenfalls eine ganze Zahl [0, 1, 2,...] sein.

   g. Includes: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den Zeichenfolgewert enthält, wie hier beschrieben. (Bei der Auswertung wird die Groß-/Kleinschreibung berücksichtigt.)

   h. IS FALSE: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „false“ enthält.

   i. IS NOT NULL: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht leer ist.

   j. IS NULL: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut leer ist.

   k. IS TRUE: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut den booleschen Wert „true“ enthält.

   l. NOT EQUALS: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht dem Wert der Eingabezeichenfolge entspricht (Groß-/Kleinschreibung wird berücksichtigt).

   m. NOT REGEX MATCH: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut nicht mit einem Muster für reguläre Ausdrücke übereinstimmt. Sie gibt „false“ zurück, wenn das Attribut NULL/leer ist.

   n. REGEX MATCH: Die Klausel gibt „true“ zurück, wenn das ausgewertete Attribut mit einem Muster für reguläre Ausdrücke übereinstimmt. Beispiel: ([1-9][0-9]) entspricht einer beliebigen Zahl zwischen 10 und 99 (Groß-/Kleinbuchstaben wird beachtet).

Wichtig

• Der IsMemberOf-Filter wird aktuell nicht unterstützt.
• Das Members-Attribut für eine Gruppe wird derzeit nicht unterstützt.
• Die Filterung wird für mehrwertige Attribute nicht unterstützt.
• Von Bereichsfiltern wird „false“ zurückgegeben, wenn der Wert NULL bzw. leer ist.

9. Optional: Wiederholen Sie die Schritte 7 und 8, um weitere Bereichsklauseln hinzuzufügen.

10. Fügen Sie unter Bereichsfiltertitel einen Namen für Ihren Bereichsfilter hinzu.

11. Klicken Sie auf OK.

12. Klicken Sie auf dem Bildschirm Bereichsfilter erneut auf OK. Optional: Wiederholen Sie die Schritte 6 bis 11, um einen weiteren Bereichsfilter hinzuzufügen.

13. Klicken Sie auf dem Bildschirm Attributzuordnung auf Speichern.

Wichtig

Beim Speichern eines neuen Bereichsfilters wird eine neue vollständige Synchronisierung für die Anwendung ausgelöst, bei der alle Benutzer im Quellsystem für den neuen Bereichsfilter neu ausgewertet werden. Wenn ein Benutzer in der Anwendung im Bereitstellungsbereich enthalten war und sich dies ändert, wird sein Konto in der Anwendung deaktiviert (bzw. die Bereitstellung aufgehoben). Informationen zum Außerkraftsetzen dieses Standardverhaltens finden Sie unter Überspringen des Löschens von Benutzerkonten außerhalb des gültigen Bereichs.

Allgemeine Bereichsfilter

Zielattribut	Operator	Wert	BESCHREIBUNG
userPrincipalName	REGEX MATCH	.*\@domain.com	Alle Benutzer mit userPrincipal der Domäne „@domain.com“ befinden sich im Geltungsbereich für die Bereitstellung.
userPrincipalName	NOT REGEX MATCH	.*\@domain.com	Alle Benutzer mit userPrincipal der Domäne „@domain.com“ befinden sich außerhalb des Geltungsbereichs für die Bereitstellung.
department	EQUALS	sales	Alle Benutzer der Vertriebsabteilung befinden sich im Umfang der Bereitstellung.
workerID	REGEX MATCH	(1[0-9][0-9][0-9][0-9][0-9][0-9])	Alle Mitarbeiter mit workerID zwischen 1.000.000 und 2.000.000 befinden sich im Geltungsbereich der Bereitstellung.

Verwandte Artikel

• Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzern für SaaS-Anwendungen
• Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Azure Active Directory
• Schreiben von Ausdrücken für Attributzuordnungen in Azure Active Directory
• Kontobereitstellungsbenachrichtigungen
• Verwenden von SCIM für die automatische Bereitstellung von Benutzer*innen und Gruppen aus Microsoft Entra ID für Anwendungen
• Liste der Tutorials zur Integration von SaaS-Apps