將使用者或群組的範圍設定為以範圍篩選布建

  • 發行項

瞭解如何在 Microsoft Entra 布建服務中使用範圍篩選來定義屬性型規則。 規則可用來判斷布建哪些使用者或群組。

範圍篩選使用案例

您可以使用範圍篩選來防止應用程式中支援自動化使用者布建的物件,如果物件不符合您的商務需求,則無法布建。 範圍篩選可讓您包含或排除具有符合特定值之屬性的任何使用者。 例如,將使用者從 Microsoft Entra ID 佈建到銷售小組所使用的 SaaS 應用程式時,您可以指定只有具有 “Sales” 屬性的使用者才應在布建範圍內。

根據布建連接器的類型,範圍篩選可以有不同的使用方式:

  • 從 Microsoft Entra 識別碼到 SaaS 應用程式的輸出布建。 當 Microsoft Entra ID 是來源系統時, 使用者和群組指派 是判斷哪些用戶位於布建範圍內最常見的方法。 這些指派也可用來啟用單一登錄,並提供單一方法來管理存取和布建。 除了指派之外,也可以選擇性地使用範圍篩選條件,而非指派篩選條件,根據屬性值來篩選使用者。

    提示

    布建範圍中的使用者和群組越多,同步處理程式所需的時間就越長。 將範圍設定為同步指派的使用者和群組、限制指派給應用程式的群組數目,以及限制群組大小會減少同步處理範圍內每個人所需的時間。

  • 從 HCM 應用程式到 Microsoft Entra ID 和 Active Directory 的輸入布建。 當 Workday 之類的 HCM 應用程式是來源系統時,範圍篩選器是決定哪些使用者應該從 HCM 應用程式佈建到 Active Directory 或 Microsoft Entra ID 的主要方法。

根據預設,Microsoft Entra 布建連接器不會設定任何以屬性為基礎的範圍篩選。

當 Microsoft Entra ID 是來源系統時, 使用者和群組指派 是判斷哪些用戶位於布建範圍內最常見的方法。 減少範圍中的用戶數目可改善效能,並同步處理指派的使用者和群組,而不是同步處理所有使用者和群組。

除了指派範圍之外,您也可以選擇性地使用範圍篩選。 範圍篩選可讓 Microsoft Entra 布建服務包含或排除具有符合特定值之屬性的任何使用者。 例如,從銷售小組布建使用者時,您可以指定只有具有 “Sales” 屬性的使用者應位於布建範圍內。

範圍篩選建構

範圍篩選包含一或多個 子句。 子句會藉由評估每個使用者的屬性,判斷哪些用戶能夠通過範圍篩選。 例如,您可能有一個子句要求使用者的 「State」 屬性等於 「New York」 ,因此只有紐約使用者布建到應用程式中。

單一子句會定義單一屬性值的單一條件。 如果在單一範圍篩選條件中建立多個子句,則會使用 「AND」 邏輯一起評估這些子句。 “AND” 邏輯表示所有子句都必須評估為 “true”,才能布建使用者。

最後,可以針對單一應用程式建立多個範圍篩選。 如果有多個範圍篩選存在,則會使用 「OR」 邏輯來一起評估這些篩選條件。 “OR” 邏輯表示,如果任何已設定範圍篩選條件中的所有子句評估為 “true”,則會布建使用者。

Microsoft Entra 布建服務所處理的每個使用者或群組,一律會根據每個範圍篩選個別評估。

例如,請考慮下列範圍篩選條件:

Scoping filter

根據此範圍篩選條件,用戶必須滿足下列準則才能布建:

  • 他們必須在紐約。
  • 他們必須在工程部門工作。
  • 其公司員工標識碼必須介於 1,000,000 到 2,000,000 之間。
  • 其職稱不得為 Null 或空白。

建立範圍篩選

範圍篩選條件會設定為每個 Microsoft Entra 使用者布建連接器屬性對應的一部分。 下列程式假設您已經為 其中一個支援的應用程式 設定自動布建,並且正在為其新增範圍篩選。

建立範圍篩選

提示

本文中的步驟可能會根據您從開始的入口網站稍有不同。

  1. 以至少應用程式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心

  1. 流覽至 [身分>識別應用程式>企業應用程式>] [所有應用程式]。

  2. 選取您已設定自動布建的應用程式:例如 「ServiceNow」。。

  1. 流覽至 [身分>識別外部身分>識別跨租使用者同步處理組態]>

  2. 選取您的設定。

  1. 選取 [ 布建] 索引 標籤。
  1. 在 [ 對應] 區段中,選取您要設定範圍篩選的對應,例如「將 Microsoft Entra 使用者同步處理至 ServiceNow」。
  1. 在 [ 對應] 區段中,選取您要設定範圍篩選的對應,例如「布建 Microsoft Entra 使用者」。

  1. 選取 [ 來源物件範圍 ] 選單。

  2. 選取 [ 新增範圍篩選]。

  3. 選取要比對的來源 屬性名稱運算子屬性值 ,以定義 子句。 支援下列運算子:

    a. &. 如果評估的屬性存在於輸入字串值中,子句會傳回 「true」。

    b. !& 如果評估的屬性不存在於輸入字串值中,子句會傳回 「true」。

    c. ENDS_WITH。 如果評估的屬性以輸入字串值結尾,子句會傳回 「true」。

    d. EQUALS。 如果評估的屬性完全符合輸入字串值,子句會傳回 「true」 (區分大小寫)。

    e. Greater_Than。 如果評估的屬性大於值,子句會傳回 「true」。 範圍篩選上指定的值必須是整數,而且使用者上的屬性必須是整數[0,1,2,...]。

    f. Greater_Than_OR_EQUALS。 如果評估的屬性大於或等於值,子句會傳回 「true」。 範圍篩選上指定的值必須是整數,而且使用者上的屬性必須是整數[0,1,2,...]。

    .g 包括。 如果評估的屬性包含字串值(區分大小寫),子句會傳回 「true」,如這裡所述

    h. 為 FALSE。 如果評估的屬性包含 false 的布爾值,子句會傳回 「true」。

    i. IS NOT NULL。 如果評估的屬性不是空的,子句會傳回 「true」。

    j. IS NULL。 如果評估的屬性是空的,子句會傳回 「true」。

    k. 為 TRUE。 如果評估的屬性包含 true 的布爾值,子句會傳回 「true」。

    l. 不等於。 如果評估的屬性不符合輸入字串值(區分大小寫),子句會傳回 「true」。

    m. NOT REGEX MATCH。 如果評估的屬性不符合正則表達式模式,子句會傳回 「true」。 如果屬性為 null /empty,則會傳回 “false”。

    n. REGEX MATCH。 如果評估的屬性符合正則表達式模式,子句會傳回 「true」。 例如: ([1-9][0-9]) 比對介於 10 到 99 之間的任何數位(區分大小寫)。

重要

  • 目前不支援IsMemberOf篩選。
  • 目前不支援群組上的 members 屬性。
  • 多重值屬性不支持篩選。
  • 如果值為 null /empty,範圍篩選條件會傳回 “false”。

  1. 選擇性地重複步驟 7-8 以新增更多範圍子句。

  2. [範圍篩選標題] 中,新增範圍篩選的名稱。

  3. 選取 [確定]。

  4. 在 [範圍篩選] 畫面上再次選取 [確定]。 或者,重複步驟 6-11 以新增另一個範圍篩選。

  5. 在 [屬性對應] 畫面上選取 [儲存]。

重要

儲存新的範圍篩選會觸發應用程式的新完整同步處理,其中來源系統中的所有用戶都會針對新的範圍篩選條件進行評估。 如果應用程式中的使用者先前在布建範圍內,但超出範圍,則會在應用程式中停用或取消布建其帳戶。 若要覆寫此預設行為,請參閱 略過超出範圍的使用者帳戶刪除。

常見的範圍篩選條件

目標屬性 運算子 Description
userPrincipalName REGEX MATCH .*\@domain.com 具有 userPrincipal 網域 @domain.com 的所有使用者都在布建範圍內。
userPrincipalName NOT REGEX MATCH .*\@domain.com 具有userPrincipal@domain.com網域的所有使用者都已脫離布建的範圍。
部門 EQUALS sales 銷售部門的所有使用者都在布建範圍內
workerID REGEX MATCH (1[0-9][0-9][0-9][0-9][0-9][0-9]) 布建範圍 workerID 介於 10000000 到 2000000 之間的所有員工。