Kapsam belirleme filtresi ve öznitelik eşlemesi - Microsoft Entra Id to Active Directory
Varsayılan öznitelik eşlemelerini iş gereksinimlerinize göre özelleştirebilirsiniz. Bu nedenle, mevcut öznitelik eşlemelerini değiştirebilir veya silebilir ya da yeni öznitelik eşlemeleri oluşturabilirsiniz.
Aşağıdaki belge, Microsoft Entra Id'den Active Directory'ye sağlama için Microsoft Entra Cloud Sync ile öznitelik kapsamını belirleme konusunda size yol gösterir. AD'den Microsoft Entra Id'ye öznitelik eşlemesi hakkında bilgi arıyorsanız bkz . Öznitelik eşleme - Active Directory'den Microsoft Entra Kimliği'ne.
Microsoft Entra Id ile Active Directory yapılandırmaları için şema
Şu anda AD Şeması bulunamıyor ve sabit eşleme kümesi var. Aşağıdaki tablo, Microsoft Entra Id ile Active Directory yapılandırmaları için varsayılan eşlemeleri ve şemayı sağlar.
| Hedef öznitelik | Kaynak özniteliği | Eşleme türü | Notlar |
|---|---|---|---|
| adminDescription | Append("Group_",[objectId]) | Expression | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - GÜNCELLEŞTIRME YAPMA AD'yi bulut eşitlemesine filtrelemek için kullanılır Kullanıcı arabiriminde görünmez |
| Cn | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Expression | |
| açıklama | Sol(Kırp([açıklama]),448) | Expression | |
| displayName | displayName | Direct | |
| isSecurityGroup | True | Sabit | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - GÜNCELLEŞTIRME YAPILMADI Kullanıcı arabiriminde görünmüyor |
| üye | üyeler | Direct | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - GÜNCELLEŞTIRME YAPILMADI Kullanıcı arabiriminde görünmüyor |
| msDS-ExternalDirectoryObjectId | Append("Group_",[objectId]) | Expression | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - KATıLMA için kullanılan GÜNCELLEŞTIRME YAPMAYIN - AD'de eşleştirme Kullanıcı arabiriminde görünmüyor |
| Objectguıd | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - SALT OKUNUR GÜNCELLEŞTIRME YAPMAYIN - AD'de bağlantı Kullanıcı arabiriminde görünmüyor |
||
| parentDistinguishedName | OU=Users,DC=<domain selected at configuration start,DC>=com | Sabit | Kullanıcı arabiriminde varsayılan |
| UniversalScope | True | Sabit | KULLANıCı ARABIRIMINDE GÜNCELLEŞTIRILEMIYOR - GÜNCELLEŞTIRME YAPILMADI Kullanıcı arabiriminde görünmüyor |
Yukarıdaki eşlemelerin tümünün portalda görünmediğini unutmayın. Öznitelik eşlemesi ekleme hakkında daha fazla bilgi için bkz . öznitelik eşlemesi.
Kapsam belirleme filtresi hedef kapsayıcısı
Varsayılan hedef kapsayıcı OU=User,DC=<domain selected at configuration start>,DC=com şeklindedir. Bunu kendi özel kapsayıcınız olacak şekilde değiştirebilirsiniz.
Switch() işleviyle bir öznitelik eşleme ifadesi kullanılarak birden çok hedef kapsayıcı da yapılandırılabilir. Bu ifadeyle, displayName değeri Pazarlama veya Satış ise, grup ilgili OU'da oluşturulur. Eşleşme yoksa, grup varsayılan OU'da oluşturulur.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Bunun için aşağıda başka bir örnek gösterilmiştir. Aşağıdaki 3 gruba sahip olduğunuzu ve bunların aşağıdaki displayName öznitelik değerlerine sahip olduğunu düşünün:
- NA-Sales-Contoso
- SA-Sales-Contoso
- EU-Sales-Contoso
Grupları filtrelemek ve sağlamak için aşağıdaki switch deyimini kullanabilirsiniz:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Bu deyim, varsayılan olarak tüm grupları Active Directory'deki OU=Groups,DC=contoso,DC=com kapsayıcısına sağlayacaktır. Ancak grup NA ile başlıyorsa, grubu OU=NorthAmerica,DC=contoso,DC=com'a sağlayacaktır. Benzer şekilde, grup SA ile başlıyorsa OU=SouthAmerica,DC=contoso,DC=com ve EU'dan OU=Europe'a,DC=contoso,DC=com'a.
Daha fazla bilgi için bkz . Microsoft Entra Id'de öznitelik eşlemeleri için ifade yazma başvurusu.
Öznitelik kapsamı filtreleme
Öznitelik tabanlı kapsam filtreleme desteklenir. Grupların kapsamını belirli özniteliklere göre ayarlayabilirsiniz. Ancak, Microsoft Entra Id ile Active Directory yapılandırmasının öznitelik eşleme bölümünün geleneksel öznitelik eşleme bölümünden biraz farklı olduğunu unutmayın.
Desteklenen yan tümceler
Kapsam filtresi bir veya daha fazla yan tümceden oluşur. Yan tümceler, her grubun özniteliklerini değerlendirerek hangi grupların kapsam filtresinden geçmesine izin verileceğini belirler. Örneğin, bir grup "displayName" özniteliğinin "Marketing" değerine eşit olmasını gerektiren bir yan tümceniz olabilir, bu nedenle yalnızca Pazarlama grupları sağlanır.
Varsayılan güvenlik gruplandırma
Varsayılan güvenlik gruplandırma, oluşturulan her yan tümcenin üzerine uygulanır ve "AND" mantığını kullanır. Aşağıdaki koşulları içerir:
- securityEnabled IS True AND
- dirSyncEnabled IS FALSE AND
- mailEnabled IS FALSE
Varsayılan güvenlik gruplandırma ilk önce ALWAYS uygulanır ve tek bir yan tümceyle çalışırken AND mantığını kullanır. Yan tümcesi daha sonra aşağıda özetlenen mantığı izler.
Tek yan tümcesi, tek bir öznitelik değeri için tek bir koşul tanımlar. Tek bir kapsam filtresinde birden çok yan tümce oluşturulursa, "AND" mantığı kullanılarak birlikte değerlendirilir. "AND" mantığı, bir kullanıcının sağlanması için tüm yan tümcelerin "true" olarak hesaplanması gerektiği anlamına gelir.
Son olarak, bir grup için birden çok kapsam filtresi oluşturulabilir. Birden çok kapsam filtresi varsa, bunlar "VEYA" mantığı kullanılarak birlikte değerlendirilir. "OR" mantığı, yapılandırılmış kapsam filtrelerinden herhangi birindeki yan tümcelerden biri "true" olarak değerlendirilirse grubun sağlandığı anlamına gelir.
Desteklenen işleçler
Aşağıdaki işleçler desteklenir:
| Operator | Açıklama |
|---|---|
| & | |
| ENDS_WITH | |
| EŞİT -TİR | Yan tümcesi, değerlendirilen öznitelik giriş dizesi değeriyle tam olarak eşleşiyorsa (büyük/küçük harfe duyarlı) "true" döndürür. |
| GREATER_THAN | Yan tümcesi, değerlendirilen öznitelik değerinden büyükse "true" döndürür. Kapsam belirleme filtresinde belirtilen değer tamsayı ve kullanıcı üzerindeki öznitelik ise [0,1,2,...] tamsayı olmalıdır. |
| GREATER_THAN_OR_EQUALS | Yan tümcesi, değerlendirilen öznitelik değerden büyük veya buna eşitse "true" döndürür. Kapsam belirleme filtresinde belirtilen değer tamsayı ve kullanıcı üzerindeki öznitelik ise [0,1,2,...] tamsayı olmalıdır. |
| IÇERİR | |
| IS FALSE | Değerlendirilen öznitelik false Boole değeri içeriyorsa yan tümce "true" döndürür. |
| IS_MEMBER_OF | |
| NULL DEĞİlDİ | Değerlendirilen öznitelik boş değilse yan tümce "true" döndürür. |
| IS NULL | Değerlendirilen öznitelik boşsa yan tümce "true" döndürür. |
| DOĞRU | Yan tümcesi, değerlendirilen öznitelik true Boole değeri içeriyorsa "true" döndürür. |
| !&L | |
| EŞIT DEĞİl | Yan tümcesi, değerlendirilen öznitelik giriş dizesi değeriyle eşleşmiyorsa (büyük/küçük harfe duyarlı) "true" döndürür. |
| REGEX EŞLEŞMESİ DEĞİl | Hesaplanan öznitelik normal ifade deseni ile eşleşmiyorsa yan tümce "true" döndürür. Öznitelik null / boş ise "false" döndürür. |
| MEVCUT | |
| REGEX MATCH | Hesaplanan öznitelik normal ifade deseni ile eşleşiyorsa yan tümce "true" döndürür. Örneğin: ([1-9][0-9]), 10 ile 99 arasındaki herhangi bir sayıyla eşleşir (büyük/küçük harfe duyarlı). |
| GEÇERLI SERTIFIKA EŞLEŞMESI |
Filtre uygulamak için Normal İfadeleri kullanma
Daha gelişmiş bir filtre REGEX MATCH kullanabilir. Bu, bir özniteliğin alt dizesini dize olarak aramanıza olanak tanır. Örneğin, birkaç grubunuz olduğunu ve hepsinin aşağıdaki açıklamalara sahip olduğunu varsayalım:
Contoso-Sales-US Contoso-Marketing-US Contoso-Operations-US Contoso-LT-US
Şimdi yalnızca Satış, Pazarlama ve İşlem gruplarını Active Directory'ye sağlamak istiyorsunuz. Bunu başarmak için BIR REGEX MATCH kullanabilirsiniz.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Bu REGEX MATCH, sağladığımız aşağıdaki sözcüklerden herhangi biri için açıklamalarda arama yapar ve yalnızca bu grupları sağlar.
Öznitelik tabanlı filtre oluşturma
Öznitelik tabanlı filtre oluşturmak için aşağıdaki adımları kullanın:
- Öznitelik filtresi ekle'ye tıklayın
- Ad kutusunda, filtreniz için bir ad belirtin
- Açılan listeden Hedef özniteliği'nin altında hedef özniteliği seçin
- İşleç'in altında bir işleç seçin.
- Değer'in altında bir değer belirtin.
- Kaydet'e tıklayın.
Daha fazla bilgi için bkz . Öznitelik eşlemesi ve Microsoft Entra Id'de öznitelik eşlemeleri için ifade yazma başvurusu.