Bereik van gebruikers of groepen die moeten worden ingericht met bereikfilters

  • Artikel

Meer informatie over het gebruik van bereikfilters in de Microsoft Entra-inrichtingsservice om regels op basis van kenmerken te definiëren. De regels worden gebruikt om te bepalen welke gebruikers of groepen worden ingericht.

Verkennende gebruiksvoorbeelden voor filters

U gebruikt bereikfilters om te voorkomen dat objecten in toepassingen die ondersteuning bieden voor geautomatiseerde inrichting van gebruikers, worden ingericht als een object niet voldoet aan uw bedrijfsvereisten. Met een bereikfilter kunt u alle gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde. Als u bijvoorbeeld gebruikers van Microsoft Entra-id inricht voor een SaaS-toepassing die wordt gebruikt door een verkoopteam, kunt u opgeven dat alleen gebruikers met het kenmerk 'Afdeling' van 'Verkoop' binnen het bereik van inrichting moeten vallen.

Bereikfilters kunnen verschillend worden gebruikt, afhankelijk van het type inrichtingsconnector:

  • Uitgaande inrichting van Microsoft Entra-id voor SaaS-toepassingen. Wanneer Microsoft Entra ID het bronsysteem is, zijn gebruikers- en groepstoewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Deze toewijzingen worden ook gebruikt voor het inschakelen van eenmalige aanmelding en bieden één methode voor het beheren van toegang en inrichting. Bereikfilters kunnen optioneel worden gebruikt, naast toewijzingen of in plaats daarvan, om gebruikers te filteren op basis van kenmerkwaarden.

    Tip

    Hoe meer gebruikers en groepen binnen het bereik van inrichting vallen, hoe langer het synchronisatieproces kan duren. Als u het bereik instelt op gesynchroniseerde gebruikers en groepen, het beperken van het aantal groepen dat aan de app is toegewezen, en het beperken van de grootte van de groepen, vermindert u de tijd die nodig is om iedereen binnen het bereik te synchroniseren.

  • Binnenkomende inrichting van HCM-toepassingen naar Microsoft Entra-id en Active Directory. Wanneer een HCM-toepassing zoals Workday het bronsysteem is, zijn bereikfilters de primaire methode om te bepalen welke gebruikers van de HCM-toepassing moeten worden ingericht voor Active Directory of Microsoft Entra-id.

Standaard zijn voor Microsoft Entra-inrichtingsconnectors geen bereikfilters op basis van kenmerken geconfigureerd.

Wanneer Microsoft Entra ID het bronsysteem is, zijn gebruikers- en groepstoewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Het verminderen van het aantal gebruikers in het bereik verbetert de prestaties en het synchroniseren van toegewezen gebruikers en groepen in plaats van het synchroniseren van alle gebruikers en groepen wordt aanbevolen.

Bereikfilters kunnen optioneel worden gebruikt, naast bereik door toewijzing. Met een bereikfilter kan de Microsoft Entra-inrichtingsservice gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde. Wanneer u bijvoorbeeld gebruikers van een verkoopteam inricht, kunt u opgeven dat alleen gebruikers met het kenmerk 'Afdeling' van 'Verkoop' binnen het bereik van inrichting moeten vallen.

Bereikfilterconstructie

Een bereikfilter bestaat uit een of meer componenten. Met componenten wordt bepaald welke gebruikers het bereikfilter mogen doorgeven door de kenmerken van elke gebruiker te evalueren. U hebt bijvoorbeeld een component die vereist dat het kenmerk 'Staat' van een gebruiker gelijk is aan 'New York', dus alleen New York-gebruikers worden ingericht in de toepassing.

Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere componenten worden gemaakt in één bereikfilter, worden deze samen geëvalueerd met behulp van 'AND'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.

Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor één toepassing. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De or-logica betekent dat als alle componenten in een van de geconfigureerde bereikfilters 'waar' evalueren, de gebruiker wordt ingericht.

Elke gebruiker of groep die door de Microsoft Entra-inrichtingsservice wordt verwerkt, wordt altijd afzonderlijk geëvalueerd op basis van elk bereikfilter.

Bekijk bijvoorbeeld het volgende bereikfilter:

Scoping filter

Volgens dit bereikfilter moeten gebruikers voldoen aan de volgende criteria die moeten worden ingericht:

  • Ze moeten in New York zijn.
  • Ze moeten werkzaam zijn op de technische afdeling.
  • Hun werknemers-id van het bedrijf moet tussen 1.000.000 en 2.000.000 zijn.
  • De functie mag niet null of leeg zijn.

Bereikfilters maken

Bereikfilters worden geconfigureerd als onderdeel van de kenmerktoewijzingen voor elke Microsoft Entra-gebruikersinrichtingsconnector. In de volgende procedure wordt ervan uitgegaan dat u automatische inrichting al hebt ingesteld voor een van de ondersteunde toepassingen en dat u er een bereikfilter aan toevoegt.

Een bereikfilter maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een toepassings-Beheer istrator.

  1. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>>Alle toepassingen.

  2. Selecteer de toepassing waarvoor u automatische inrichting hebt geconfigureerd, bijvoorbeeld 'ServiceNow'.

  1. Bladeren naar >configuraties voor synchronisatie>van externe identiteiten>tussen tenants

  2. Selecteer uw configuratie.

  1. Selecteer het tabblad Inrichten.
  1. Selecteer in de sectie Toewijzingen de toewijzing waarvoor u een bereikfilter wilt configureren, bijvoorbeeld 'Microsoft Entra-gebruikers synchroniseren met ServiceNow'.
  1. Selecteer in de sectie Toewijzingen de toewijzing waarvoor u een bereikfilter wilt configureren, bijvoorbeeld 'Microsoft Entra-gebruikers inrichten'.

  1. Selecteer het menu Bereik van bronobject.

  2. Selecteer Bereikfilter toevoegen.

  3. Definieer een component door een bronkenmerknaam, een operator en een kenmerkwaarde te selecteren waarmee moet worden vergeleken. De volgende operators worden ondersteund:

    a. & Component retourneert 'true' als het geëvalueerde kenmerk bestaat in de invoertekenreekswaarde.

    b. !&. Component retourneert 'true' als het geëvalueerde kenmerk niet bestaat in de invoertekenreekswaarde.

    c. ENDS_WITH. Component retourneert 'true' als het geëvalueerde kenmerk eindigt op de invoertekenreekswaarde.

    d. IS GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk exact overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig).

    e. Greater_Than. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].

    f. Greater_Than_OR_EQUALS. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].

    g. Bevat. Component retourneert 'true' als het geëvalueerde kenmerk de tekenreekswaarde (hoofdlettergevoelig) bevat, zoals hier wordt beschreven.

    h. IS ONWAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat.

    i. IS NIET NULL. Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is.

    j. IS NULL. Component retourneert 'true' als het geëvalueerde kenmerk leeg is.

    k. IS WAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat.

    l. IS NIET GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de invoertekenreekswaarde (hoofdlettergevoelig).

    m. GEEN REGEX-OVEREENKOMST. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is.

    n. REGEX MATCH. Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld: ([1-9][0-9]) komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig).

Belangrijk

  • Het IsMemberOf-filter wordt momenteel niet ondersteund.
  • Het ledenkenmerk voor een groep wordt momenteel niet ondersteund.
  • Filteren wordt niet ondersteund voor kenmerken met meerdere waarden.
  • Bereikfilters retourneren 'false' als de waarde null/leeg is.

  1. Herhaal eventueel stap 7-8 om meer bereikclausules toe te voegen.

  2. Voeg in Bereikfiltertitel een naam toe voor het bereikfilter.

  3. Selecteer OK.

  4. Selecteer opnieuw OK in het scherm Bereikfilters . Herhaal eventueel stap 6-11 om nog een bereikfilter toe te voegen.

  5. Selecteer Opslaan op het scherm Kenmerktoewijzing .

Belangrijk

Als u een nieuw bereikfilter opslaat, wordt een nieuwe volledige synchronisatie voor de toepassing geactiveerd, waarbij alle gebruikers in het bronsysteem opnieuw worden geëvalueerd op basis van het nieuwe bereikfilter. Als een gebruiker in de toepassing eerder binnen het bereik voor inrichting was, maar buiten het bereik valt, wordt het account uitgeschakeld of de inrichting ervan ongedaan gemaakt in de toepassing. Als u dit standaardgedrag wilt overschrijven, raadpleegt u Verwijdering overslaan voor gebruikersaccounts die buiten het bereik vallen.

Algemene bereikfilters

Doelkenmerk Operator Weergegeven als Beschrijving
userPrincipalName REGEX-OVEREENKOMST .*\@domain.com Alle gebruikers met userPrincipal het domein @domain.com hebben het bereik voor inrichting.
userPrincipalName GEEN REGEX-OVEREENKOMST .*\@domain.com Alle gebruikers met userPrincipal het domein @domain.com vallen buiten het bereik voor inrichting.
afdeling IS GELIJK AAN sales Alle gebruikers van de verkoopafdeling zijn binnen het bereik voor inrichting
workerID REGEX-OVEREENKOMST (1[0-9][0-9][0-9][0-9][0-9][0-9]) Alle werknemers met workerID tussen 1000000 en 2000000 zijn binnen het bereik voor inrichting.