gebeurtenis
9 apr, 15 - 10 apr, 12
Codeer de toekomst met AI en maak verbinding met Java-peers en experts op JDConf 2025.
Nu registrerenBereik van gebruikers of groepen die moeten worden ingericht met bereikfilters
Meer informatie over het gebruik van bereikfilters in de Microsoft Entra-inrichtingsservice om regels op basis van kenmerken te definiëren. De regels worden gebruikt om te bepalen welke gebruikers of groepen worden ingericht.
U gebruikt bereikfilters om te voorkomen dat objecten in toepassingen die ondersteuning bieden voor geautomatiseerde inrichting van gebruikers, worden ingericht als een object niet voldoet aan uw bedrijfsvereisten. Met een bereikfilter kunt u alle gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde. Als u bijvoorbeeld gebruikers van Microsoft Entra-id inricht voor een SaaS-toepassing die wordt gebruikt door een verkoopteam, kunt u opgeven dat alleen gebruikers met het kenmerk 'Afdeling' van 'Verkoop' binnen het bereik van inrichting moeten vallen.
Bereikfilters kunnen verschillend worden gebruikt, afhankelijk van het type inrichtingsconnector:
Uitgaande inrichting van Microsoft Entra-id voor SaaS-toepassingen. Wanneer Microsoft Entra ID het bronsysteem is, zijn gebruikers- en groepstoewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Deze toewijzingen worden ook gebruikt voor het inschakelen van eenmalige aanmelding en bieden één methode voor het beheren van toegang en inrichting. Bereikfilters kunnen optioneel worden gebruikt, naast toewijzingen of in plaats daarvan, om gebruikers te filteren op basis van kenmerkwaarden.
Tip
Hoe meer gebruikers en groepen binnen het bereik van inrichting vallen, hoe langer het synchronisatieproces kan duren. Als u het bereik instelt op gesynchroniseerde gebruikers en groepen, het beperken van het aantal groepen dat aan de app is toegewezen, en het beperken van de grootte van de groepen, vermindert u de tijd die nodig is om iedereen binnen het bereik te synchroniseren.
Binnenkomende inrichting van HCM-toepassingen naar Microsoft Entra-id en Active Directory. Wanneer een HCM-toepassing zoals Workday het bronsysteem is, zijn bereikfilters de primaire methode om te bepalen welke gebruikers van de HCM-toepassing moeten worden ingericht voor Active Directory of Microsoft Entra-id.
Standaard zijn voor Microsoft Entra-inrichtingsconnectors geen bereikfilters op basis van kenmerken geconfigureerd.
Wanneer Microsoft Entra ID het bronsysteem is, zijn gebruikers- en groepstoewijzingen de meest voorkomende methode om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Het verminderen van het aantal gebruikers in het bereik verbetert de prestaties en het synchroniseren van toegewezen gebruikers en groepen in plaats van het synchroniseren van alle gebruikers en groepen wordt aanbevolen.
Bereikfilters kunnen optioneel worden gebruikt, naast bereik door toewijzing. Met een bereikfilter kan de Microsoft Entra-inrichtingsservice gebruikers opnemen of uitsluiten die een kenmerk hebben dat overeenkomt met een specifieke waarde. Wanneer u bijvoorbeeld gebruikers van een verkoopteam inricht, kunt u opgeven dat alleen gebruikers met het kenmerk 'Afdeling' van 'Verkoop' binnen het bereik van inrichting moeten vallen.
Een bereikfilter bestaat uit een of meer componenten. Met componenten wordt bepaald welke gebruikers het bereikfilter mogen doorgeven door de kenmerken van elke gebruiker te evalueren. U hebt bijvoorbeeld een component die vereist dat het kenmerk 'Staat' van een gebruiker gelijk is aan 'New York', dus alleen New York-gebruikers worden ingericht in de toepassing.
Eén component definieert één voorwaarde voor één kenmerkwaarde. Als er meerdere componenten worden gemaakt in één bereikfilter, worden deze samen geëvalueerd met behulp van 'AND'-logica. De logica 'AND' betekent dat alle componenten 'true' moeten evalueren om een gebruiker in te richten.
Ten slotte kunnen er meerdere bereikfilters worden gemaakt voor één toepassing. Als er meerdere bereikfilters aanwezig zijn, worden deze samen geëvalueerd met behulp van OR-logica. De or-logica betekent dat als alle componenten in een van de geconfigureerde bereikfilters 'waar' evalueren, de gebruiker wordt ingericht.
Elke gebruiker of groep die door de Microsoft Entra-inrichtingsservice wordt verwerkt, wordt altijd afzonderlijk geëvalueerd op basis van elk bereikfilter.
Bekijk bijvoorbeeld het volgende bereikfilter:
Volgens dit bereikfilter moeten gebruikers voldoen aan de volgende criteria die moeten worden ingericht:
- Ze moeten in New York zijn.
- Ze moeten werkzaam zijn op de technische afdeling.
- Hun werknemers-id van het bedrijf moet tussen 1.000.000 en 2.000.000 zijn.
- De functie mag niet null of leeg zijn.
Bereikfilters worden geconfigureerd als onderdeel van de kenmerktoewijzingen voor elke Microsoft Entra-gebruikersinrichtingsconnector. In de volgende procedure wordt ervan uitgegaan dat u automatische inrichting al hebt ingesteld voor een van de ondersteunde toepassingen en dat u er een bereikfilter aan toevoegt.
- Meld u als toepassingsbeheerder aan bij het Microsoft Entra-beheercentrum.
Blader naar >>Alle toepassingen.
Selecteer de toepassing waarvoor u automatische inrichting hebt geconfigureerd, bijvoorbeeld 'ServiceNow'.
Bladeren naar >configuraties voor synchronisatie>tussen tenants
Selecteer uw configuratie.
- Selecteer het tabblad Inrichten.
- Selecteer in de sectie Toewijzingen de toewijzing waarvoor u een bereikfilter wilt configureren, bijvoorbeeld 'Microsoft Entra-gebruikers synchroniseren met ServiceNow'.
- Selecteer in de sectie Toewijzingen de toewijzing waarvoor u een bereikfilter wilt configureren, bijvoorbeeld 'Microsoft Entra-gebruikers inrichten'.
Selecteer het menu Bereik van bronobject.
Selecteer Bereikfilter toevoegen.
Definieer een component door een bronkenmerknaam, een operator en een kenmerkwaarde te selecteren waarmee moet worden vergeleken. De volgende operators worden ondersteund:
a. & Component retourneert 'true' als het geëvalueerde kenmerk bestaat in de invoertekenreekswaarde.
b. !&. Component retourneert 'true' als het geëvalueerde kenmerk niet bestaat in de invoertekenreekswaarde.
c. ENDS_WITH. Component retourneert 'true' als het geëvalueerde kenmerk eindigt op de invoertekenreekswaarde.
d. IS GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk exact overeenkomt met de waarde van de invoertekenreeks (hoofdlettergevoelig).
e. Greater_Than. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
f. Greater_Than_OR_EQUALS. Component retourneert 'true' als het geëvalueerde kenmerk groter is dan of gelijk is aan de waarde. De waarde die is opgegeven in het bereikfilter moet een geheel getal zijn en het kenmerk van de gebruiker moet een geheel getal [0,1,2,...].
g. Bevat. Component retourneert 'true' als het geëvalueerde kenmerk de tekenreekswaarde (hoofdlettergevoelig) bevat, zoals hier wordt beschreven.
h. IS ONWAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van false bevat.
i. IS NIET NULL. Component retourneert 'true' als het geëvalueerde kenmerk niet leeg is.
j. IS NULL. Component retourneert 'true' als het geëvalueerde kenmerk leeg is.
k. IS WAAR. Component retourneert 'true' als het geëvalueerde kenmerk een Booleaanse waarde van true bevat.
l. IS NIET GELIJK AAN. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met de invoertekenreekswaarde (hoofdlettergevoelig).
m. GEEN REGEX-OVEREENKOMST. Component retourneert 'true' als het geëvalueerde kenmerk niet overeenkomt met een normaal expressiepatroon. Het retourneert 'false' als het kenmerk null/leeg is.
n. REGEX MATCH. Component retourneert 'true' als het geëvalueerde kenmerk overeenkomt met een normaal expressiepatroon. Bijvoorbeeld:
([1-9][0-9])komt overeen met een getal tussen 10 en 99 (hoofdlettergevoelig).
Belangrijk
- Het IsMemberOf-filter wordt momenteel niet ondersteund.
- Het ledenkenmerk voor een groep wordt momenteel niet ondersteund.
- Filteren wordt niet ondersteund voor kenmerken met meerdere waarden.
- Bereikfilters retourneren 'false' als de waarde null/leeg is.
Herhaal eventueel stap 7-8 om meer bereikclausules toe te voegen.
Voeg in Bereikfiltertitel een naam toe voor het bereikfilter.
Selecteer OK.
Selecteer opnieuw OK in het scherm Bereikfilters . Herhaal eventueel stap 6-11 om nog een bereikfilter toe te voegen.
Selecteer Opslaan op het scherm Kenmerktoewijzing .
Belangrijk
Als u een nieuw bereikfilter opslaat, wordt een nieuwe volledige synchronisatie voor de toepassing geactiveerd, waarbij alle gebruikers in het bronsysteem opnieuw worden geëvalueerd op basis van het nieuwe bereikfilter. Als een gebruiker in de toepassing eerder binnen het bereik voor inrichting was, maar buiten het bereik valt, wordt het account uitgeschakeld of de inrichting ervan ongedaan gemaakt in de toepassing. Als u dit standaardgedrag wilt overschrijven, raadpleegt u Verwijdering overslaan voor gebruikersaccounts die buiten het bereik vallen.
| Doelkenmerk | Operator | Weergegeven als | Beschrijving |
|---|---|---|---|
| userPrincipalName | REGEX-OVEREENKOMST | .*\@domain.com |
Alle gebruikers met userPrincipal het domein @domain.com hebben het bereik voor inrichting. |
| userPrincipalName | GEEN REGEX-OVEREENKOMST | .*\@domain.com |
Alle gebruikers met userPrincipal het domein @domain.com vallen buiten het bereik voor inrichting. |
| afdeling | IS GELIJK AAN | sales |
Alle gebruikers van de verkoopafdeling zijn binnen het bereik voor inrichting |
| workerID | REGEX-OVEREENKOMST | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
Alle werknemers met workerID tussen 1000000 en 2000000 zijn binnen het bereik voor inrichting. |
- Inrichting en ongedaan maken van inrichting van gebruikers automatiseren voor SaaS-toepassingen
- Kenmerktoewijzingen aanpassen voor het inrichten van gebruikers
- Expressies schrijven voor kenmerktoewijzingen
- Meldingen over accountinrichting
- SCIM gebruiken om automatische inrichting van gebruikers en groepen van Microsoft Entra-id in te schakelen voor toepassingen
- Lijst met handleidingen voor het integreren van SaaS-apps
Aanvullende resources
Training
Module
Manage synchronized identities - Training
This module examines how to manage user identities when you configure Microsoft Entra Connect Sync, how to manage users and groups in Microsoft 365 with Microsoft Entra Connect Sync, and how to maintain directory synchronization.
Certificering
Microsoft Gecertificeerd: Identiteits- en Toegangsbeheerbeheerder Associate - Certifications
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.
Documentatie
-
Meer informatie over kenmerktoewijzingen voor SaaS-apps (Software as a Service) in Microsoft Entra Application Provisioning. Meer informatie over de kenmerken en hoe u deze kunt wijzigen om te voldoen aan de behoeften van uw bedrijf.
-
Meer informatie over het inrichten van gebruikers op aanvraag in Microsoft Entra ID.
-
Wat is geautomatiseerde inrichting van app-gebruikers in Microsoft Entra ID - Microsoft Entra ID
Een inleiding tot hoe u Microsoft Entra ID kunt gebruiken om gebruikersaccounts automatisch in te richten, de inrichting ongedaan te maken en continu bij te werken in meerdere toepassingen van derden.