Hatókörszűrő és attribútumleképezés – Microsoft Entra-azonosító az Active Directoryhoz
Az alapértelmezett attribútumleképezéseket az üzleti igényeinek megfelelően szabhatja testre. Így módosíthatja vagy törölheti a meglévő attribútumleképezéseket, vagy létrehozhat új attribútumleképezéseket.
Az alábbi dokumentum végigvezeti a Microsoft Entra Cloud Sync attribútumainak hatókörén a Microsoft Entra ID-ból az Active Directoryba való kiépítéshez. Ha az AD-ről a Microsoft Entra ID-ra való attribútumleképezéssel kapcsolatos információkat keresi, tekintse meg az Attribútumleképezés – Active Directory és a Microsoft Entra ID között című témakört.
A Microsoft Entra ID sémája az Active Directory-konfigurációkhoz
Az AD-séma jelenleg nem felderíthető, és rögzített leképezések vannak. Az alábbi táblázat a Microsoft Entra-azonosító és az Active Directory-konfigurációk alapértelmezett leképezéseit és sémáit tartalmazza.
Célattribútum | Forrásattribútum | Leképezés típusa | Jegyzetek |
---|---|---|---|
Admindescription | Append("Group_";[objectId]) | Expression | A FELHASZNÁLÓI FELÜLETEN NEM FRISSÍTHETŐ – NEM FRISSÍTHETŐ Az AD felhőbeli szinkronizálásra való szűréséhez használatos, nem látható a felhasználói felületen |
Cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Expression | |
leírás | Bal(Vágás([leírás]),448) | Expression | |
displayName | displayName | Közvetlen | |
isSecurityGroup | Igaz | Állandó | NEM FRISSÍTHETŐ A felhasználói felületen – NEM FRISSÍTHETŐ A felhasználói felületen nem látható |
tag | tagok | Közvetlen | NEM FRISSÍTHETŐ A felhasználói felületen – NEM FRISSÍTHETŐ A felhasználói felületen nem látható |
msDS-ExternalDirectoryObjectId | Append("Group_";[objectId]) | Expression | NEM FRISSÍTHETŐ a felhasználói felületen – CSATLAKOZÁSHOZ NEM HASZNÁLHATÓ FRISSÍTÉS – egyeztetés az AD-ben Nem látható a felhasználói felületen |
ObjectGUID | NEM FRISSÍTHETŐ a felhasználói felületen – NEM FRISSÍTHETŐ csak olvasás – horgony az AD-ben Nem látható a felhasználói felületen |
||
parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Állandó | Alapértelmezés a felhasználói felületen |
UniversalScope | Igaz | Állandó | NEM FRISSÍTHETŐ A felhasználói felületen – NEM FRISSÍTHETŐ A felhasználói felületen nem látható |
Vegye figyelembe, hogy a portálon nem minden fenti leképezés látható. További információ az attribútumleképezés hozzáadásáról: attribútumleképezés.
Hatókörszűrő céltárolója
Az alapértelmezett céltároló: OU=User,DC=<domain selected at configuration start>DC=com. Ezt módosíthatja saját egyéni tárolóként.
Több céltároló is konfigurálható attribútumleképezési kifejezéssel a Switch() függvénnyel. Ezzel a kifejezéssel, ha a displayName érték marketing vagy értékesítés, a csoport a megfelelő szervezeti egységben jön létre. Ha nincs egyezés, akkor a csoport az alapértelmezett szervezeti egységben jön létre.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Erre egy másik példa alább látható. Tegyük fel, hogy a következő 3 csoport van, és a következő displayName attribútumértékekkel rendelkeznek:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
A csoportok szűréséhez és kiépítéséhez a következő kapcsolóutasítást használhatja:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Ez az utasítás alapértelmezés szerint az összes csoportot kiépíti az Active Directory OU=Groups,DC=contoso,DC=com tárolójába. Ha azonban a csoport NA-val kezdődik, akkor a csoportot az OU=NorthAmerica,DC=contoso,DC=com értékre építi ki. Hasonlóképpen, ha a csoport sa–OU=SouthAmerica,DC=contoso,DC=com és EU–OU=Europe,DC=contoso,DC=com névvel kezdődik.
További információkért tekintse meg a Microsoft Entra ID attribútumleképezéseinek kifejezéseinek írására vonatkozó referencia című témakört.
Attribútum hatókörének szűrése
Az attribútumalapú hatókörszűrés támogatott. Bizonyos attribútumok alapján hatókörcsoportokat is megadhat. Vegye figyelembe azonban, hogy a Microsoft Entra-azonosítók Active Directory-konfigurációra vonatkozó attribútumleképezési szakasza kissé eltér a hagyományos attribútumleképezési szakasztól.
Támogatott záradékok
A hatókörszűrők egy vagy több záradékból állnak. A záradékok az egyes csoportok attribútumainak kiértékelésével határozzák meg, hogy mely csoportok léphetnek át a hatókörszűrőn. Előfordulhat például, hogy egy záradék megköveteli, hogy a csoportok "displayName" attribútuma "Marketing" legyen, ezért csak marketingcsoportok vannak kiépítve.
Az alapértelmezett biztonsági csoportosítás
A rendszer az alapértelmezett biztonsági csoportosítást alkalmazza minden létrehozott záradékra, és az "AND" logikát használja. A következő feltételeket tartalmazza:
- securityEnabled IS True AND
- dirSyncEnabled IS FAL Standard kiadás ÉS
- mailEnabled IS FAL Standard kiadás
Az alapértelmezett biztonsági csoportosítást először az ALWAYS alkalmazza, és az AND logikát használja egyetlen záradék használatakor. A záradék ezután az alábbi logikát követi.
Egyetlen záradék egyetlen feltételt határoz meg egyetlen attribútumértékhez. Ha egyetlen hatókörszűrőben több záradék is létrejön, a rendszer az "AND" logikával együtt értékeli ki őket. Az "AND" logika azt jelenti, hogy az összes záradéknak "igaz" értékre kell kiértékelnie a felhasználó üzembe helyezéséhez.
Végül több hatókörszűrő is létrehozható egy csoporthoz. Ha több hatókörszűrő van jelen, a rendszer az "OR" logikával együtt értékeli ki őket. Az "OR" logika azt jelenti, hogy ha a konfigurált hatókörszűrők bármelyikének záradékai "true" értéket adnak, a csoport ki lesz építve.
Támogatott operátorok
A következő operátorok támogatottak:
Operátor | Leírás |
---|---|
& | |
ENDS_WITH | |
EGYENLŐ | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum pontosan megfelel a bemeneti sztring értékének (a kis- és nagybetűk megkülönböztetése). |
GREATER_THAN | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb, mint az érték. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...]. |
GREATER_THAN_OR_EQUALS | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nagyobb vagy egyenlő az értékkel. A hatókörszűrőben megadott értéknek egész számnak kell lennie, a felhasználó attribútumának pedig egész számnak kell lennie [0,1,2,...]. |
TARTALMAZZA | |
A FAL Standard kiadás | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum hamis logikai értéket tartalmaz. |
IS_MEMBER_OF | |
NEM NULL ÉRTÉKŰ | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem üres. |
NULL ÉRTÉKŰ | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum üres. |
IGAZ | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum igaz logikai értéket tartalmaz. |
!&L | |
NEM EGYENLŐ | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem egyezik a bemeneti sztring értékével (kis- és nagybetűk megkülönböztetése). |
NEM REGEX EGYEZÉS | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum nem egyezik meg egy reguláris kifejezésmintával. "false" értéket ad vissza, ha az attribútum null / üres. |
PRE Standard kiadás NT | |
REGEX EGYEZÉS | A záradék "true" értéket ad vissza, ha a kiértékelt attribútum megegyezik egy reguláris kifejezésmintával. Például: ([1-9][0-9]) egyezik a 10 és 99 közötti számokkal (kis- és nagybetűk megkülönböztetése). |
ÉRVÉNYES TANÚSÍTVÁNYEGYEZÉS |
Reguláris kifejezések használata a szűréshez
Egy fejlettebb szűrő regex MATCH-et használhat. Ez lehetővé teszi, hogy sztringként keressen egy attribútumot az attribútum részsztringjeként. Tegyük fel például, hogy több csoport is van, és mindegyikhez a következő leírások tartoznak:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Most már csak a Sales, Marketing és Operations csoportokat szeretné kiépíteni az Active Directoryban. Ehhez HASZNÁLHAT REGEX MATCH-et.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Ez a REGEX MATCH az alábbi szavak leírásában keres, és csak azokat a csoportokat építi ki.
Attribútumalapú szűrő létrehozása
Attribútumalapú szűrő létrehozásához kövesse az alábbi lépéseket:
- Kattintson az Attribútumszűrő hozzáadása elemre
- A Név mezőben adja meg a szűrő nevét
- A legördülő menüBen a Cél attribútum alatt válassza ki a célattribútumot
- Az Operátor területen válasszon ki egy operátort.
- Az Érték csoportban adjon meg egy értéket.
- Kattintson a Mentés gombra.
További információ: attribútumleképezés és kifejezésírási referencia az attribútumleképezésekhez a Microsoft Entra ID-ban.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: