Étendue des utilisateurs ou des groupes à provisionner avec des filtres d’étendue

Découvrez comment utiliser les filtres de portée dans le service de provisionnement Microsoft Entra pour définir des règles basées sur les attributs. Les règles servent à déterminer quels utilisateurs ou groupes sont approvisionnés.

Cas d’utilisation du filtre d’étendue

Vous utilisez des filtres d’étendue pour empêcher des objets dans les applications qui prennent en charge le provisionnement automatisé des utilisateurs d’être provisionnés si l’un d’eux ne répond pas à vos besoins métier. Un filtre d’étendue vous permet d’inclure ou d’exclure tout utilisateur ayant un attribut qui correspond à une valeur spécifique. Par exemple, lors du provisionnement d'utilisateurs de Microsoft Entra ID vers une application SaaS utilisée par une équipe commerciale, vous pouvez spécifier que seuls les utilisateurs avec un attribut « Département » de « Ventes » doivent être concernés par le provisionnement.

Les filtres d’étendue peuvent être utilisés différemment en fonction du type du connecteur d’approvisionnement :

• Approvisionnement sortant de Microsoft Entra ID vers des applications SaaS. Lorsque Microsoft Entra ID est le système source, les affectations d'utilisateurs et de groupes constituent la méthode la plus courante pour déterminer quels utilisateurs sont concernés par le provisionnement. Ces affectations sont également utilisées pour activer l’authentification unique et fournissent une méthode unique pour gérer l’accès et l’approvisionnement. Les filtres d’étendue peuvent être utilisés si vous le souhaitez, en plus des affectations ou à leur place, afin de filtrer les utilisateurs selon des valeurs d’attribut.

  Conseil

  Plus il y a d’utilisateurs et de groupes dans l’étendue du provisionnement, plus le processus de synchronisation peut prendre du temps. La définition de l’étendue pour synchroniser les utilisateurs et les groupes affectés, la limitation du nombre de groupes affectés à l’application et la limitation de la taille des groupes réduiront le temps nécessaire pour synchroniser toutes les personnes dans l’étendue.

• Provisionnement entrant des applications HCM vers Microsoft Entra ID et Active Directory. Lorsqu'une application HCM telle que Workday est le système source, les filtres de portée constituent la principale méthode permettant de déterminer quels utilisateurs doivent être provisionnés depuis l'application HCM vers Active Directory ou Microsoft Entra ID.

Par défaut, les connecteurs de provisionnement Microsoft Entra ne disposent d’aucun filtre de portée basé sur les attributs configuré.

Lorsque Microsoft Entra ID est le système source, les affectations d'utilisateurs et de groupes constituent la méthode la plus courante pour déterminer quels utilisateurs sont concernés par le provisionnement. La réduction du nombre d’utilisateurs dans l’étendue améliore les performances et il est recommandé de synchroniser les utilisateurs et les groupes attribués au lieu de synchroniser l’ensemble des utilisateurs et des groupes.

Les filtres d’étendue peuvent être utilisés éventuellement, en plus de l’étendue par affectation. Un filtre de portée permet au service de provisionnement Microsoft Entra d'inclure ou d'exclure tous les utilisateurs dont l'attribut correspond à une valeur spécifique. Par exemple, lors du provisionnement des utilisateurs d’une équipe de vente, vous pouvez spécifier que seuls les utilisateurs dont l’attribut « Département » est « Ventes » doivent faire partie du provisionnement.

Construction d’un filtre d’étendue

Un filtre d’étendue se compose d’une ou plusieurs clauses. Les clauses déterminent quels utilisateurs sont autorisés à traverser le filtre d’étendue en évaluant les attributs de chaque utilisateur. Par exemple, l’une de vos clauses peut exiger que l’attribut « État » d’un utilisateur soit égal à « New York », afin que seuls les utilisateurs de New York soient approvisionnés dans l’application.

Une seule clause définit une condition unique pour une seule valeur d’attribut. Si plusieurs clauses sont créées dans un seul filtre d’étendue, ils sont évalués ensemble en utilisant la logique « ET ». La logique « ET » signifie que chacune des clauses doit être considérée « vraie » pour qu’un utilisateur soit approvisionné.

Enfin, plusieurs filtres d’étendue peuvent être créés pour une seule application. Si plusieurs filtres d’étendue sont présents, ils sont évalués ensemble en utilisant la logique « OU ». La logique « OR »signifie que si toutes les clauses, présentes dans un seul des filtres d’étendue configurés, sont considérées « vrai », l’utilisateur est approvisionné.

Chaque utilisateur ou groupe traité par le service de provisionnement Microsoft Entra est toujours évalué individuellement par rapport à chaque filtre de portée.

Par exemple, considérez le filtre d’étendue suivant :

D’après ce filtre d’étendue, les utilisateurs doivent satisfaire aux critères suivants pour être approvisionnés :

• Ils doivent être de New York.
• Ils doivent travailler dans le service Ingénierie.
• Leur ID d’employé de leur société doit être compris entre 1 000 000 et 2 000 000.
• Leur poste ne doit être null ou vide.

Créer des filtres d’étendue

Les filtres de portée sont configurés dans le cadre des mappages d'attributs pour chaque connecteur de provisionnement d'utilisateur Microsoft Entra. La procédure suivante suppose que l’approvisionnement automatique soit déjà configuré pour l’une des applications prises en chargeet que vous lui ajoutez un filtre d’étendue.

Créer un filtre d’étendue

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

1. Connectez-vous au centre d’administration Microsoft Entra en tant qu’administrateur d’applications au moins.

2. Accédez à Identité>Applications>Applications d’entreprise>Toutes les applications.

3. Sélectionnez l’application pour laquelle vous avez configuré l’approvisionnement automatique. Par exemple, « ServiceNow ».

2. Accédez à Identité>External Identities>Synchronisation entre locataires>Configurations

3. Sélectionnez votre configuration.

4. Sélectionnez l’onglet Approvisionnement.

5. Dans la section Mappages, sélectionnez le mappage pour lequel vous souhaitez configurer un filtre de portée : par exemple, « Synchroniser les utilisateurs Microsoft Entra avec ServiceNow ».

5. Dans la section Mappages, sélectionnez le mappage pour lequel vous souhaitez configurer un filtre de portée : par exemple, « Approvisionner les utilisateurs Microsoft Entra ».

6. Sélectionnez le menu Étendue de l’objet source.

7. Sélectionnez Ajouter un filtre d’étendue.

8. Définissez une clause en sélectionnant un nom d’attribut source, un opérateuret une valeur d’attribut pour effectuer la comparaison. Les opérateurs suivants sont pris en charge :

   a. &. La clause renvoie « true » si l’attribut évalué existe dans la valeur de la chaîne d’entrée.

   b. !&. La clause renvoie « true » si l’attribut évalué n’existe pas dans la valeur de la chaîne d’entrée.

   c. ENDS_WITH. La clause renvoie « true » si l’attribut évalué se termine par la valeur de la chaîne d’entrée.

   d. EQUALS. La clause renvoie « true » si l’attribut évalué correspond exactement à la valeur de chaîne d’entrée (respecte la casse).

   e. Greater_Than. La clause renvoie « true » si l’attribut évalué est supérieur à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].

   f. Greater_Than_OR_EQUALS. La clause renvoie « true » si l’attribut évalué est supérieur ou égal à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].

   g. Includes. La clause renvoie « true » si l’attribut évalué contient la valeur de chaîne (respecte la casse) comme décrit ici.

   .h IS FALSE. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.

   i. IS NOT NULL. La clause renvoie « true » si l’attribut évalué n’est pas vide.

   j. IS NULL. La clause renvoie « true » si l’attribut évalué est vide.

   k. IS TRUE. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.

   l. NOT EQUALS. La clause renvoie « true » si l’attribut évalué ne correspond pas à la valeur de chaîne d’entrée (respecte la casse).

   m. NOT REGEX MATCH. La clause renvoie « true » si l’attribut évalué ne correspond pas à un modèle d’expression régulière. La valeur « false » est retournée si l’attribut est null/vide.

   n. REGEX MATCH. La clause renvoie « true » si l’attribut évalué correspond à un modèle d’expression régulière. Exemple : ([1-9][0-9]) correspond à tout nombre compris entre 10 et 99 (sensible à la casse).

Important

• Le filtre IsMemberOf n’est pas pris en charge actuellement.
• L’attribut members d’un groupe n’est pas pris en charge actuellement.
• Le filtrage n’est pas pris en charge pour les attributs multi-valeurs.
• Les filtres de délimitation retournent « false » si la valeur est null/vide.

9. Si vous le souhaitez, répétez les étapes 7 et 8 pour ajouter d’autres clauses d’étendues.

10. Dans Titre du filtre d’étendue, saisissez un nom pour votre filtre d’étendue.

11. Sélectionnez OK.

12. Sélectionnez OK à nouveau sur l’écran Filtres d’étendue. Si vous le souhaitez, répétez les étapes 6 et 11 pour ajouter d’autres filtres d’étendue.

13. Sélectionnez Enregistrer sur l’écran de mappage d’attributs.

Important

L’enregistrement d’un nouveau filtre d’étendue déclenche une nouvelle synchronisation complète pour l’application, avec une comparaison de tous les utilisateurs dans le système source par rapport au nouveau filtre d’étendue. Si un utilisateur dans l’application répondait précédemment aux exigences d’un approvisionnement, mais que ce n’est plus le cas maintenant, son compte est désactivé ou déprovisionné dans l’application. Pour remplacer ce comportement par défaut, consultez Ignorer la suppression des comptes d’utilisateurs qui sortent de l’étendue.

Filtres d’étendue communs

Attribut cible	Opérateur	Valeur	Description
userPrincipalName	REGEX MATCH	.*\@domain.com	Tous les utilisateurs avec userPrincipal, dont le domaine est @domain.com, sont concernés par l’approvisionnement.
userPrincipalName	NOT REGEX MATCH	.*\@domain.com	Tous les utilisateurs avec userPrincipal, dont le domaine est @domain.com, ne sont pas concernés par l’approvisionnement.
department	EQUALS	sales	Tous les utilisateurs du service commercial sont concernés par l’approvisionnement
workerID	REGEX MATCH	(1[0-9][0-9][0-9][0-9][0-9][0-9])	Tous les employés, dont les workerID sont compris entre 1000000 et 2000000, sont concernés par l’approvisionnement.

Articles connexes

• Automatisation de l’approvisionnement et de l’annulation de l’approvisionnement des utilisateurs pour les applications SaaS
• Personnaliser les mappages d’attributs pour l’approvisionnement des utilisateurs
• Écrire des expressions pour les mappages d’attributs
• Notifications d’approvisionnement de comptes
• Utilisez SCIM pour activer le provisionnement automatique des utilisateurs et des groupes de Microsoft Entra ID vers les applications
• Liste des didacticiels sur l’intégration des applications SaaS