Share via


Bereikfilter- en kenmerktoewijzing - Microsoft Entra-id voor Active Directory

U kunt de standaardtoewijzingen van kenmerken aanpassen op basis van de behoeften van uw bedrijf. Dit betekent dat u bestaande kenmerktoewijzingen kunt wijzigen of verwijderen, of nieuwe kenmerktoewijzingen kunt maken.

Schermopname van het bereik op basis van kenmerken.

In het volgende document wordt u begeleid bij kenmerkbereiken met Microsoft Entra Cloud Sync voor inrichting van Microsoft Entra-id naar Active Directory. Als u informatie zoekt over kenmerktoewijzing van AD naar Microsoft Entra-id, raadpleegt u Kenmerktoewijzing - Active Directory naar Microsoft Entra-id.

Schema voor Microsoft Entra-id voor Active Directory-configuraties

Momenteel is het AD-schema niet detecteerbaar en is er een vaste set toewijzingen. De volgende tabel bevat de standaardtoewijzingen en het schema voor de Microsoft Entra-id voor Active Directory-configuraties.

Doelkenmerk Bronkenmerk Toewijzingstype Opmerkingen
Admindescription Append("Group_";[objectId]) Expression KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface: NIET BIJWERKEN

WORDT GEBRUIKT VOOR het filteren van AD naar cloudsynchronisatie

Niet zichtbaar in de gebruikersinterface
cn Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId];25;12)) Expression
beschrijving Left(Trim([description]),448) Expression
displayName displayName Direct
isSecurityGroup Waar Constante KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN

NIET zichtbaar in de gebruikersinterface
lid leden Direct KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN

NIET zichtbaar in de gebruikersinterface
msDS-ExternalDirectoryObjectId Append("Group_";[objectId]) Expression KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface - NIET BIJWERKEN

Wordt gebruikt voor deelname - overeenkomend in AD

niet zichtbaar in de gebruikersinterface
ObjectGUID KAN NIET BIJWERKEN IN DE GEBRUIKERSinterface - NIET ALLEEN-LEZEN BIJWERKEN

- anker in AD

Niet zichtbaar in de gebruikersinterface
parentDistinguishedName OU=Users,DC=<domain selected at configuration start,DC>=com Constante Standaard in de gebruikersinterface
UniversalScope Waar Constante KAN NIET BIJWERKEN IN DE GEBRUIKERSINTERFACE: NIET BIJWERKEN

NIET zichtbaar in de gebruikersinterface

Houd er rekening mee dat niet alle bovenstaande toewijzingen zichtbaar zijn in de portal. Zie kenmerktoewijzing voor meer informatie over het toevoegen van een kenmerktoewijzing.

Bereikfilterdoelcontainer

De standaarddoelcontainer is OU=User,DC=<domain selected at configuration start>,DC=com. U kunt dit wijzigen in uw eigen aangepaste container.

Meerdere doelcontainers kunnen ook worden geconfigureerd met behulp van een kenmerktoewijzingsexpressie met de functie Switch(). Als met deze expressie de waarde displayName Marketing of Sales is, wordt de groep gemaakt in de bijbehorende organisatie-eenheid. Als er geen overeenkomst is, wordt de groep gemaakt in de standaard-organisatie-eenheid.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Schermopname van de bereikfilterexpressie.

Hieronder ziet u nog een voorbeeld. Stel dat u de volgende drie groepen hebt en dat ze de volgende waarden voor het displayName-kenmerk hebben:

  • NA-Sales-Contoso
  • SA-Sales-Contoso
  • EU-Sales-Contoso

U kunt de volgende schakelinstructie gebruiken om de groepen te filteren en in te richten:

Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")

Met deze instructie worden standaard alle groepen ingericht voor de OE=Groepen,DC=contoso,DC=com-container in Active Directory. Als de groep echter begint met NA, wordt de groep ingericht voor OU=NorthAmerica,DC=contoso,DC=com. Als de groep begint met SA naar OU=SouthAmerica,DC=contoso,DC=com en EU naar OU=Europa,DC=contoso,DC=com.

Zie Naslaginformatie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra-id voor meer informatie.

Filteren van kenmerkbereik

Filteren op basis van kenmerkbereik wordt ondersteund. U kunt groepen bereiken op basis van bepaalde kenmerken. Houd er echter rekening mee dat de sectie kenmerktoewijzing voor een Microsoft Entra-id voor Active Directory-configuratie iets anders is dan de traditionele kenmerktoewijzingssectie.

Schermopname van het bereik op basis van kenmerken.

Ondersteunde componenten

Een bereikfilter bestaat uit een of meer componenten. Met componenten wordt bepaald welke groepen het bereikfilter mogen passeren door de kenmerken van elke groep te evalueren. U hebt bijvoorbeeld één component waarvoor een kenmerk displayName gelijk is aan 'Marketing', zodat alleen marketinggroepen worden ingericht.

De standaardbeveiligingsgroepering

De standaardbeveiligingsgroepering wordt toegepast op elke component die is gemaakt en maakt gebruik van de logica 'AND'. Het bevat de volgende voorwaarden:

  • securityEnabled IS True AND
  • dirSyncEnabled IS FALSE EN
  • mailEnabled IS ONWAAR

De standaardbeveiligingsgroepering wordt ALTIJD eerst toegepast en gebruikt de AND-logica bij het werken met één component. De component volgt vervolgens de logica die hieronder wordt beschreven.

Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere componenten worden gemaakt in één bereikfilter, worden deze samen geëvalueerd met behulp van 'AND'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.

Schermopname van het bereik op basis van het kenmerk AND-component.

Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor een groep. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De OR-logica betekent dat als een van de componenten in een van de geconfigureerde bereikfilters 'waar' oplevert, de groep wordt ingericht.

Schermopname van het bereik op basis van het kenmerk OR-component.

Niet-ondersteunde operators

De volgende operators worden ondersteund:

Operator Beschrijving
&
ENDS_WITH
IS GELIJK AAN Component retourneert 'true' als het geëvalueerde kenmerk exact overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig).
GREATER_THAN Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
GREATER_THAN_OR_EQUALS Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
BEVAT
IS ONWAAR Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat.
IS_MEMBER_OF
IS NOT NULL Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is.
IS NULL Component retourneert 'true' als het geëvalueerde kenmerk leeg is.
IS WAAR Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat.
!&L
IS NIET GELIJK AAN Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de invoertekenreekswaarde (hoofdlettergevoelig).
GEEN REGEX-OVEREENKOMST Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is.
AANWEZIG
REGEX-OVEREENKOMST Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig).
GELDIGE CERTIFICAATOVEREENKOMST

Reguliere expressies gebruiken om op te filteren

Een geavanceerder filter kan een REGEX MATCH gebruiken. Hiermee kunt u een kenmerk doorzoeken als een tekenreeks voor een subtekenreeks van dat kenmerk. Stel dat u meerdere groepen hebt en dat ze allemaal de volgende beschrijvingen hebben:

Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US

Nu wilt u alleen de groepen Verkoop, Marketing en Operations inrichten voor Active Directory. U kunt een REGEX MATCH gebruiken om dit te bereiken.

REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)

Deze REGEX MATCH doorzoekt de beschrijvingen op een van de volgende woorden die we hebben opgegeven en richt alleen deze groepen in.

Schermopname van bereik op basis van REGEX MATCH.

Een filter op basis van kenmerken maken

Gebruik de volgende stappen om een filter op basis van kenmerken te maken:

  1. Klik op Kenmerkfilter toevoegen
  2. Geef in het vak Naam een naam op voor het filter
  3. Selecteer in de vervolgkeuzelijst onder Doelkenmerk het doelkenmerk
  4. Selecteer onder Operator een operator.
  5. Geef onder Waarde een waarde op.
  6. Klik op Opslaan.

Schermopname van het bereik op basis van het instellen van kenmerken.

Zie kenmerktoewijzing en verwijzing voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie.

Volgende stappen