Поделиться через

Подготовка пользователей или групп с помощью фильтров области

Узнайте, как использовать фильтры области в службе подготовки Microsoft Entra для определения правил на основе атрибутов. Правила используются для определения подготовленных пользователей или групп.

Варианты использования фильтра области

Фильтры области используются для предотвращения подготовки объектов в приложениях, поддерживающих автоматическую подготовку пользователей, если объект не соответствует вашим бизнес-требованиям. Фильтр области позволяет включать или исключать всех пользователей, у которых есть атрибут, соответствующий определенному значению. Например, при подготовке пользователей из идентификатора Microsoft Entra в приложение SaaS, используемое командой продаж, можно указать, что только пользователи с атрибутом "Отдел" "Продажи" должны находиться в области подготовки.

Фильтры области можно использовать по-разному в зависимости от типа соединителя подготовки.

  • Исходящее предоставление из Microsoft Entra ID в SaaS-приложения. Если идентификатор Microsoft Entra является исходной системой, назначения пользователей и групп являются наиболее распространенным способом определения того, какие пользователи находятся в области назначения. Эти назначения также используются для включения единого входа и обеспечивают единый метод для управления доступом и подготовкой. Фильтры области можно использовать наряду с назначениями или же вместо них, чтобы фильтровать пользователей на основе значений атрибутов.

    Совет

    Чем больше пользователей и групп в области подготовки, тем более долгий процесс синхронизации может потребоваться. Установка области для синхронизации назначенных пользователей и групп, ограничение количества групп, назначенных приложению, и ограничение размера групп позволит сократить время, необходимое для синхронизации всех объектов в данной области.

  • Входящее снабжение из приложений управления человеческими ресурсами (HCM) в Microsoft Entra ID и Active Directory. Если приложение HCM, такое как Workday, является исходной системой, фильтры определения области являются основным методом для определения того, какие пользователи должны быть настроены для предоставления доступа в Active Directory или в Microsoft Entra ID из приложения HCM.

По умолчанию соединители подготовки Microsoft Entra не имеют фильтров области на основе атрибутов.

Если идентификатор Microsoft Entra является исходной системой, назначения пользователей и групп является самым распространенным методом определения пользователей, которые подлежат подготовке. Сокращение числа пользователей в области повышает производительность и синхронизацию назначенных пользователей и групп вместо синхронизации всех пользователей и групп рекомендуется.

Фильтры области можно использовать при необходимости в дополнение к области по назначению. Фильтр области позволяет службе подготовки Microsoft Entra включать или исключать всех пользователей, у которых есть атрибут, соответствующий определенному значению. Например, при подготовке пользователей из группы продаж можно указать, что только пользователи с атрибутом "Отдел" "Продажи" должны находиться в области подготовки.

Создание фильтра области

Фильтр области видимости состоит из одного или нескольких условий. Предложения оценивают атрибуты каждого пользователя и определяют, какие пользователи могут проходить через фильтр области. Например, вы можете создать предложение, требующее, чтобы атрибут пользователя "Штат" имел значение "Нью-Йорк". Тогда только пользователи из штата Нью-Йорк будут подготовлены для работы с приложением.

Отдельное предложение определяет одно условие для одного значения атрибута. Если в одном фильтре области создается несколько предложений, они вычисляются вместе с помощью логики AND. Логика "AND" означает, что все предложения должны оцениваться как true, чтобы пользователь был подготовлен.

Наконец, для одного приложения можно создать несколько фильтров области. При наличии нескольких фильтров области они вычисляются вместе с применением логического оператора "ИЛИ". Логика "OR" означает, что если все предложения в любом из настроенных фильтров области оцениваются как true, пользователь подготавливается.

Каждый пользователь или группа, обрабатываемые службой подготовки Microsoft Entra, всегда оценивается по отдельности по каждому фильтру области.

Рассмотрим пример фильтра области.

Фильтр ограничения

Этот фильтр области определяет, что подготовке подлежат только пользователи, которые отвечают следующим условиям:

  • они должны находиться в Нью-Йорке;
  • они должны работать в отделе разработки;
  • идентификатор сотрудника компании должен быть в диапазоне от 1 000 000 до 2 000 000;
  • название должности не должно быть пустым или иметь значение NULL.

Создание фильтров области

Фильтры области настраиваются как часть сопоставлений атрибутов для каждого соединителя подготовки пользователей Microsoft Entra. Следующая процедура предполагает, что вы уже настроили автоматическое обеспечение для одного из поддерживаемых приложений и добавляете для него фильтр области.

Создание фильтра области

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор приложений.

  1. Перейдите к Entra ID>Корпоративные приложения>Все приложения.

  2. Выберите приложение, для которого настроена автоматическая подготовка, например ServiceNow.

  1. Перейдите к Entra ID>Внешние удостоверения>Синхронизация между клиентами>Конфигурации

  2. Выберите конфигурацию.

  1. Перейдите на вкладку "Подготовка ".
  1. В разделе "Сопоставления" выберите сопоставление, для которого нужно установить фильтр охвата, например, "Синхронизация пользователей Microsoft Entra с ServiceNow".
  1. В разделе "Сопоставления" выберите сопоставление, для которого нужно настроить фильтр ограничения области действия, например "Подключение пользователей Microsoft Entra".

  1. Выберите меню области исходного объекта.

  2. Выберите Добавить фильтр области.

  3. Определите предложение, выбрав исходное имя атрибута, оператор и значение атрибута для сопоставления. Поддерживаются следующие операторы:

    a. &. Предложение возвращает значение true, если вычисляемое атрибут существует в входном строковом значении.

    б. !&. Предложение возвращает значение true, если вычисляемое атрибут не существует в входном строковом значении.

    с. ENDS_WITH. Предложение возвращает значение true, если вычисляемое атрибут заканчивается входным строковым значением.

    д. РАВНО. Предложение возвращает значение true, если оцениваемый атрибут точно совпадает со значением входной строки (с учетом регистра).

    д) Greater_Than. Предложение возвращает true, если вычисленный атрибут больше этого значения. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    е) Больше_Или_Равно. Предложение возвращает true, если вычисленный атрибут больше этого значения или равен ему. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...].

    ж. Включает. Условие возвращает "true", если вычисляемый атрибут содержит строковое значение (с учетом регистра), как описано здесь.

    х. ЯВЛЯЕТСЯ ЛОЖНЫМ. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение false.

    и. НЕ ИМЕЕТ ЗНАЧЕНИЯ NULL. Предложение возвращает значение true, если вычисленный атрибут имеет не пустое значение.

    ж. ИМЕЕТ ЗНАЧЕНИЕ NULL. Предложение возвращает значение true, если вычисленный атрибут имеет пустое значение.

    k. ИСТИНА. Предложение возвращает значение true, если вычисленный атрибут содержит логическое значение true.

    л. НЕ РАВНО. Предложение возвращает значение true, если оцениваемый атрибут не совпадает со значением входной строки (с учетом регистра).

    m. НЕ REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут не соответствует шаблону регулярного выражения. Возвращает значение false, если атрибут имеет значение NULL или пусто.

    о. REGEX MATCH. Предложение возвращает значение true, если вычисленный атрибут соответствует шаблону регулярного выражения. Например: ([1-9][0-9]) соответствует любому числу от 10 до 99 (учитывается регистр).

Внимание

  • Фильтр IsMemberOf в настоящее время не поддерживается.
  • Атрибут members в группе в настоящее время не поддерживается.
  • Фильтрация не поддерживается для атрибутов с несколькими значениями.
  • Фильтры области возвращают false, если значение равно NULL или не указано.

  1. При необходимости повторите шаги 7–8, чтобы добавить дополнительные предложения для ограничения области.

  2. В заголовке фильтра области добавьте имя фильтра области.

  3. Нажмите кнопку "ОК".

  4. Нажмите "ОК" снова на экране Фильтры области. При необходимости повторите шаги 6–11, чтобы добавить еще один фильтр области.

  5. Нажмите кнопку "Сохранить " на экране сопоставления атрибутов .

Внимание

Сохранение нового фильтра области активирует полную синхронизацию для приложения. Все пользователи в исходной системе будут повторно оценены с применением нового фильтра области. Если ранее пользователь приложения сначала соответствовал области для подготовки, а затем перестал соответствовать, его учетная запись в приложении будет отключена или отозвана. Чтобы изменить это поведение по умолчанию, обратитесь к разделу "Пропуск удаления учетных записей пользователей, которые выходят за пределы области".

Распространенные фильтры областей

Целевой атрибут Оператор значение Описание
ИмяОсновногоПользователя REGEX MATCH .*\@domain.com Все пользователи с userPrincipal доменом @domain.com находятся в области подготовки.
ИмяОсновногоПользователя НЕ СОВПАДАЕТ С REGEX .*\@domain.com Все пользователи с userPrincipal доменом @domain.com находятся вне области подготовки.
отдел РАВНО sales Все пользователи из отдела продаж находятся в области подготовки
идентификатор сотрудника REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) Все сотрудники с workerID 10000000 по 2000000 находятся в области подготовки.