Microsoft Entra Bağlan'da değiştirilen varsayılan kuralları düzeltme
Microsoft Entra Bağlan eşitleme için varsayılan kuralları kullanır. Ne yazık ki bu kurallar tüm kuruluşlar için evrensel olarak geçerli değildir. Gereksinimlerinize göre bunları değiştirmeniz gerekebilir. Bu makalede, en yaygın özelleştirmelerin iki örneği ele alınmaktadır ve bu özelleştirmeleri başarmak için doğru yol açıklanmaktadır.
Dekont
Gerekli bir özelleştirmeye ulaşmak için mevcut varsayılan kuralların değiştirilmesi desteklenmez. Bunu yaparsanız, bu kuralların gelecek sürümlerde en son sürüme güncelleştirilmesini engeller. İhtiyacınız olan hata düzeltmelerini veya yeni özellikleri almazsınız. Bu belgede, var olan varsayılan kuralları değiştirmeden aynı sonucun nasıl elde edilileceği açıklanmaktadır.
Değiştirilen varsayılan kuralları tanımlama
Microsoft Entra Bağlan'nin 1.3.7.0 sürümünden başlayarak, değiştirilen varsayılan kuralı kolayca belirleyebilirsiniz. Masaüstünde Uygulamalar'a gidin ve Eşitleme Kuralları Düzenleyicisi'ni seçin.
Düzenleyici'de, değiştirilen varsayılan kurallar adın önünde bir uyarı simgesiyle gösterilir.
Yanında aynı ada sahip devre dışı bırakılmış bir kural da görünür (bu, standart varsayılan kuraldır).
Yaygın özelleştirmeler
Varsayılan kurallarda yaygın özelleştirmeler şunlardır:
- Öznitelik akışını değiştirme
- Kapsam filtresini değiştirme
- Birleştirme koşulunu değiştirme
Kuralları değiştirmeden önce:
Eşitleme zamanlayıcısını devre dışı bırakın. Zamanlayıcı varsayılan olarak her 30 dakikada bir çalışır. Değişiklik yaparken ve yeni kurallarınızla ilgili sorunları giderirken başlamadığından emin olun. Zamanlayıcıyı geçici olarak devre dışı bırakmak için PowerShell'i başlatın ve çalıştırın
Set-ADSyncScheduler -SyncCycleEnabled $false.
Kapsam filtresindeki değişiklik, hedef dizindeki nesnelerin silinmesine neden olabilir. Nesnelerin kapsamını değiştirmeden önce dikkatli olun. Etkin sunucuda değişiklik yapmadan önce bir hazırlama sunucusunda değişiklik yapmanızı öneririz.
Yeni bir kural ekledikten sonra Eşitleme Kuralını Doğrula bölümünde belirtildiği gibi tek bir nesne üzerinde önizleme çalıştırın.
Yeni bir kural ekledikten veya herhangi bir özel eşitleme kuralını değiştirdikten sonra tam eşitlemeyi çalıştırın. Bu eşitleme tüm nesnelere yeni kurallar uygular.
Öznitelik akışını değiştirme
Öznitelik akışını değiştirmek için üç farklı senaryo vardır:
- Yeni bir öznitelik ekleniyor.
- Mevcut bir özniteliğin değerini geçersiz kılma.
- Mevcut bir özniteliği eşitlememek için seçme.
Standart varsayılan kuralları değiştirmeden bunları yapabilirsiniz.
Yeni öznitelik ekleme
Bir özniteliğin kaynak dizininizden hedef dizine akmadığını fark ederseniz, bunu düzeltmek için Microsoft Entra Bağlan Sync: Dizin uzantılarını kullanın.
Uzantılar işinize yaramazsa, aşağıdaki bölümlerde açıklanan iki yeni eşitleme kuralı eklemeyi deneyin.
Gelen eşitleme kuralı ekleme
Gelen eşitleme kuralı, özniteliğin kaynağının bir bağlayıcı alanı ve hedef ise meta veri kümesi olduğu anlamına gelir. Örneğin, şirket içi Active Directory'dan Microsoft Entra Id'ye yeni bir öznitelik akışına sahip olmak için yeni bir gelen eşitleme kuralı oluşturun. Eşitleme Kuralları Düzenleyicisi'ni başlatın, yön olarak Gelen'i seçin ve Yeni kural ekle'yi seçin.
Kuralı adlandırmak için kendi adlandırma kuralınızı izleyin. Burada AD - Kullanıcı'dan Özel Gelen'i kullanacağız. Bu, kuralın özel bir kural olduğu ve Active Directory bağlayıcı alanından meta veri kümesine gelen bir kural olduğu anlamına gelir.
Kuralın gelecekteki bakımının kolay olması için kuralın kendi açıklamasını sağlayın. Örneğin, açıklama kuralın amacını ve neden gerekli olduğunu temel alabilir.
Bağlan Sistem, Bağlan Sistem Nesne Türü ve MetaVerse Nesne Türü alanları için seçimlerinizi yapın.
0 ile 99 arasında öncelik değerini belirtin (sayı ne kadar düşükse öncelik de o kadar yüksek olur). Etiket, Parola Eşitlemeyi Etkinleştir ve Devre Dışı alanları için varsayılan seçimleri kullanın.
Kapsam belirleme filtresini boş tutun. Bu, kuralın Active Directory Bağlan sistem ile meta veri deposu arasında birleştirilen tüm nesneler için geçerli olduğu anlamına gelir.
Birleştirme kurallarını boş tutun. Bu, bu kuralın standart varsayılan kuralda tanımlanan birleştirme koşulunu kullandığı anlamına gelir. Bu, standart varsayılan kuralı devre dışı bırakmamak veya silmemek için başka bir nedendir. Birleştirme koşulu yoksa öznitelik akışı yapılmaz.
Özniteliğiniz için uygun dönüştürmeleri ekleyin. Hedef özniteliğinize sabit değer akışı yapmak için bir sabit atayabilirsiniz. Kaynak veya hedef özniteliği arasında doğrudan eşlemeyi kullanabilirsiniz. Veya özniteliği için bir ifade kullanabilirsiniz. Kullanabileceğiniz çeşitli ifade işlevleri aşağıdadır.
Giden eşitleme kuralı ekleme
Özniteliği hedef dizine bağlamak için bir giden kuralı oluşturmanız gerekir. Bu, kaynağın meta veri deposu, hedefin ise bağlı sistem olduğu anlamına gelir. Giden kuralı oluşturmak için Eşitleme Kuralları Düzenleyicisi'ni başlatın, Yönü Giden olarak değiştirin ve Yeni kural ekle'yi seçin.
Gelen kuralında olduğu gibi, kuralı adlandırmak için kendi adlandırma kuralınızı kullanabilirsiniz. Bağlan Sistem'i Microsoft Entra kiracısı olarak seçin ve öznitelik değerini ayarlamak istediğiniz bağlı sistem nesnesini seçin. Önceliği 0 ile 99 arasında ayarlayın.
Kapsam belirleme filtresini ve Birleştirme kurallarını boş tutun. Dönüştürmeyi sabit, doğrudan veya ifade olarak doldurun.
Artık Active Directory'den Microsoft Entra Id'ye kullanıcı nesnesi akışı için yeni bir öznitelik oluşturmayı biliyorsunuz. Herhangi bir nesneden kaynak ve hedefe herhangi bir özniteliği eşlemek için bu adımları kullanabilirsiniz. Daha fazla bilgi için bkz . Özel eşitleme kuralları oluşturma ve Kullanıcıları sağlamaya hazırlanma.
Mevcut özniteliğin değerini geçersiz kılma
Zaten eşlenmiş bir özniteliğin değerini geçersiz kılmak isteyebilirsiniz. Örneğin, her zaman Microsoft Entra ID'de bir özniteliğe null değer ayarlamak istiyorsanız, yalnızca gelen kuralı oluşturmanız yeterlidir. ifade değerini AuthoritativeNullhedef özniteliğe akıtın.
Dekont
Bu durumda yerine Null kullanınAuthoritativeNull. Bunun nedeni, null olmayan değerin, daha düşük önceliğe (kuralda daha yüksek bir sayı değeri) sahip olsa bile null değerin yerini almadır. AuthoritativeNulldiğer taraftan, diğer kurallar tarafından null olmayan bir değerle değiştirilmez.
Mevcut özniteliği eşitleme
Bir özniteliği eşitlemenin dışında tutmak istiyorsanız, Microsoft Entra Bağlan'da sağlanan öznitelik filtreleme özelliğini kullanın. Masaüstü simgesinden Microsoft Entra Bağlan başlatın ve eşitleme seçeneklerini özelleştir'i seçin.
Microsoft Entra uygulaması ve öznitelik filtrelemesi'nin seçili olduğundan emin olun ve İleri'yi seçin.
Eşitlemeden dışlamak istediğiniz öznitelikleri temizleyin.
Kapsam filtresini değiştirme
Azure AD Eşitleme nesnelerin çoğuyla ilgilenir. Standart varsayılan eşitleme kurallarını değiştirmeden nesnelerin kapsamını azaltabilir ve dışarı aktarılacak nesne sayısını azaltabilirsiniz.
Eşitlediğiniz nesnelerin kapsamını azaltmak için aşağıdaki yöntemlerden birini kullanın:
- cloudFiltered özniteliği
- Kuruluş birimi filtreleme
Eşitlenen kullanıcıların kapsamını azaltırsanız, filtrelenen kullanıcılar için parola karması eşitlemesi de durdurulur. Nesneler zaten eşitleniyorsa, kapsamı azalttığınızda filtrelenen nesneler hedef dizinden silinir. Bu nedenle kapsamı çok dikkatli bir şekilde incelediğinizden emin olun.
Önemli
Microsoft Entra Bağlan tarafından yapılandırılan nesnelerin kapsamının artırılması önerilmez. Bunu yapmak, Microsoft destek ekibinin özelleştirmeleri anlamasını zorlaştırır. Nesnelerin kapsamını artırmanız gerekiyorsa, var olan kuralı düzenleyin, kopyalayın ve özgün kuralı devre dışı bırakın.
cloudFiltered özniteliği
Bu özniteliği Active Directory'de ayarlayamazsınız. Yeni bir gelen kuralı ekleyerek bu özniteliğin değerini ayarlayın. Bu özniteliği meta veri kümesinde ayarlamak için Dönüştürme ve İfade'yi kullanabilirsiniz. Aşağıdaki örnekte, bölüm adı HRD (büyük/küçük harfe duyarsız) ile başlayan tüm kullanıcıları eşitlemek istemediğiniz gösterilmektedir:
cloudFiltered <= IIF(Left(LCase([department]), 3) = "hrd", True, NULL)
Önce bölümü kaynaktan (Active Directory) küçük harfe dönüştürdük. Ardından işlevini kullanarak Left yalnızca ilk üç karakteri aldık ve ile hrdkarşılaştırdık. Eşleşirse, değeri olarak ayarlanır True, aksi takdirde NULL. Değeri null olarak ayarlarken, daha düşük önceliğe sahip başka bir kural (daha yüksek bir sayı değeri) farklı bir koşulla buna yazabilir. Eşitleme kuralını doğrulama bölümünde belirtildiği gibi, eşitleme kuralını doğrulamak için önizlemeyi tek bir nesnede çalıştırın.
Kuruluş birimi filtreleme
Bir veya daha fazla kuruluş birimi (OU) oluşturabilir ve eşitlemek istemediğiniz nesneleri bu OU'larla taşıyabilirsiniz. Ardından Microsoft Entra Bağlan'da OU filtrelemesini yapılandırın. Masaüstü simgesinden Microsoft Entra Bağlan başlatın ve aşağıdaki seçenekleri belirleyin. Microsoft Entra Bağlan yüklenirken OU filtrelemesini de yapılandırabilirsiniz.
Sihirbazı izleyin ve eşitlemek istemediğiniz OU'ları temizleyin.
Birleştirme koşulunu değiştirme
Microsoft Entra Bağlan tarafından yapılandırılan varsayılan birleştirme koşullarını kullanın. Varsayılan birleştirme koşullarını değiştirmek, Microsoft desteğinin özelleştirmeleri anlamasını ve ürünü desteklemesini zorlaştırır.
Eşitleme kuralını doğrulama
Tam eşitleme döngüsünü çalıştırmadan önizleme özelliğini kullanarak yeni eklenen eşitleme kuralını doğrulayabilirsiniz. Microsoft Entra Bağlan'da Eşitleme Hizmeti'ne tıklayın.
Meta Veri Deposu Arama'yı seçin. Kapsam nesnesini kişi olarak seçin, Yan Tümce Ekle'yi seçin ve arama ölçütlerinizden bahsedin. Ardından Ara'yı seçin ve arama sonuçlarında nesneye çift tıklayın. Bu adımı çalıştırmadan önce ormanda içeri aktarma ve eşitleme çalıştırarak Microsoft Entra Bağlan verilerinizin bu nesne için güncel olduğundan emin olun.
MetaVerse Nesne Özellikleri'nde Bağlan or'ları seçin, ilgili bağlayıcıdaki (orman) nesneyi seçin ve Özellikler.... öğesini seçin.
Önizleme'yi seçin ...
Önizleme penceresinde sol bölmede Önizleme Oluştur ve Öznitelik Akışını İçeri Aktar'ı seçin.
Burada, yeni eklenen kuralın nesne üzerinde çalıştırıldığını ve özniteliğini cloudFiltered true olarak ayarladığını görebilirsiniz.
Değiştirilen kuralı varsayılan kuralla karşılaştırmak için, her iki kuralı da metin dosyaları olarak ayrı olarak dışarı aktarın. Bu kurallar PowerShell betik dosyası olarak dışarı aktarılır. Değişiklikleri görmek için herhangi bir dosya karşılaştırma aracını (örneğin windiff) kullanarak bunları karşılaştırabilirsiniz.
Değiştirilen kuralda özniteliğin msExchMailboxGuid Doğrudan yerine İfade türüne değiştirildiğine dikkat edin. Ayrıca, değer NULL ve ExecuteOnce seçeneği olarak değiştirilir. Tanımlanan ve Öncelik farklarını yoksayabilirsiniz.
Kurallarınızı varsayılan ayarlara geri döndürmek üzere düzeltmek için, değiştirilen kuralı silin ve varsayılan kuralı etkinleştirin. Başarmaya çalıştığınız özelleştirmeyi kaybetmediğinizden emin olun. Hazır olduğunuzda Tam Eşitleme'yi çalıştırın.
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin