Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Сопоставление атрибутов по умолчанию можно настроить в соответствии с потребностями вашего бизнеса. Поэтому можно изменить или удалить существующие сопоставления атрибутов или создать новые.
В следующем документе вам показывается установление области действия атрибутов с помощью Microsoft Entra Cloud Sync для подготовки к синхронизации данных из Microsoft Entra ID в Active Directory. Если вы ищете сведения о сопоставлении атрибутов из AD с идентификатором Microsoft Entra, см. сопоставление атрибутов — Active Directory с идентификатором Microsoft Entra.
Схема для идентификатора Microsoft Entra в конфигурации Active Directory
В настоящее время схема AD не обнаруживается и существует фиксированный набор сопоставлений. В следующей таблице приведены сопоставления и схемы по умолчанию для идентификатора Microsoft Entra с конфигурациями Active Directory.
| Целевой атрибут | Атрибут источника | Тип сопоставления | Примечания. |
|---|---|---|---|
| Описание админа | Добавить("Group_",[objectId]) | Выражение | не удается обновить в пользовательском интерфейсе - не обновлять используется для фильтрации синхронизации AD с облаком не отображается в пользовательском интерфейсе. |
| цн | Append(Append(Left(Trim([displayName]),51),"_"),Mid([objectId],25,12)) | Выражение | |
| описание | Левый(Обрезать([описание]),448) | Выражение | |
| ОтображаемоеИмя | ОтображаемоеИмя | Напрямую | |
| isSecurityGroup | Истина | Константа | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе - НЕ обновляйте Не видно в пользовательском интерфейсе |
| член | члены | Напрямую | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе - НЕ обновляйте Не видно в пользовательском интерфейсе |
| msDS-ExternalDirectoryObjectId | Добавить("Group_",[objectId]) | Выражение | НЕ УДАЕТСЯ ОБНОВИТЬ В UI. НЕ ОБНОВЛЯЙТЕ. Используется для объединения - сопоставления в AD Не видно в UI |
| ObjectGUID | Невозможно обновить в UI — не обновлять Только для чтения — якорь в AD Не отображается в UI |
||
| ЗаголовокИмениРодителя (parentDistinguishedName) | OU=Users,DC=<домен выбран при запуске конфигурации>,DC=com | Константа | Значение по умолчанию в пользовательском интерфейсе |
| UniversalScope | Истина | Константа | НЕ УДАЕТСЯ ОБНОВИТЬ В пользовательском интерфейсе - НЕ обновляйте Не видно в пользовательском интерфейсе |
Помните, что на портале отображаются не все приведенные выше сопоставления. Дополнительные сведения о добавлении сопоставления атрибутов см. в разделе "Сопоставление атрибутов".
Настраиваемое сопоставление sAmAccountName
Атрибут sAMAccount по умолчанию не синхронизируется из Microsoft Entra ID в Active Directory. Из-за этого при создании новой группы в Active Directory он получает случайно созданное имя.
Если требуется уникальное значение для sAMAccountName, можно создать настраиваемое сопоставление с sAMAccountName с помощью выражения. Например, можно сделать следующее: Join("_", [displayName], "Contoso_Group")
Это возьмёт значение displayName и добавит к нему "Contoso_Group". Таким образом, новый sAMAccountName будет, например, Marketing_Contoso_Group
Внимание
Если вы решите создать сопоставление настраиваемых атрибутов для sAMAccountName, необходимо убедиться, что он уникален в Active Directory.
Целевой контейнер для фильтра по области
Целевой контейнер по умолчанию — OU=User,DC=<domain, выбранный при настройке start>DC=com. Это можно изменить, чтобы сделать вашим собственным пользовательским контейнером.
Можно также настроить несколько целевых контейнеров с помощью выражения сопоставления атрибутов с функцией Switch(). При использовании этого выражения, если значение displayName равно Marketing или Sales, группа создается в соответствующей организационной единице. Если совпадения нет, группа создается в OU по умолчанию.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
Ниже показан еще один пример. Представьте, что у вас есть следующие 3 группы, и они имеют следующие значения атрибута displayName:
- NA-Sales-Contoso
- SA-Sales-Contoso
- ЕС-Sales-Contoso
Для фильтрации и подготовки групп можно использовать следующую инструкцию switch:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
Эта инструкция будет по умолчанию подготавливать все группы в контейнере OU=Groups,DC=contoso,DC=com в Active Directory. Однако, если группа начинается с NA, она поместит группу в OU=NorthAmerica,DC=contoso,DC=com. Аналогичным образом, если группа начинается с SA в OU=SouthAmerica,DC=contoso,DC=com и ЕС в OU=Europe,DC=contoso,DC=com.
Дополнительные сведения см. в справочнике по написанию выражений для сопоставлений атрибутов в идентификаторе Microsoft Entra.
Фильтрация области атрибутов
Поддерживается фильтрация области на основе атрибутов. Группы можно определять на основе определенных атрибутов. Однако помните, что раздел сопоставления атрибутов для идентификатора Microsoft Entra с конфигурацией Active Directory немного отличается от традиционного раздела сопоставления атрибутов.
Поддерживаемые предложения
Фильтр области состоит из одного или нескольких условий. Пункты определяют, какие группы могут проходить через фильтр диапазона, оценивая атрибуты каждой группы. Например, у вас может быть одно условие, требующее, чтобы атрибут displayName равен "Marketing", таким образом, предоставляются только маркетинговые группы.
Группирование безопасности по умолчанию
Группирование безопасности по умолчанию применяется поверх каждого предложения, созданного и использует логику AND. Он содержит следующие условия:
- безопасностьВключена равен True И
- dirSyncEnabled ЛОЖЬ И
- mailEnabled ЛОЖЬ
Группирование безопасности по умолчанию применяется всегда и использует логику AND при работе с одним предложением. Затем предложение будет следовать логике, описанной ниже.
Отдельное предложение определяет одно условие для одного значения атрибута. Если в одном фильтре области создается несколько предложений, они вычисляются вместе с помощью логики AND. Логика "AND" означает, что все условия должны оцениваться как "истина", чтобы пользователь был предоставлен.
Наконец, для группы можно создать несколько фильтров области видимости. При наличии нескольких фильтров области они оцениваются вместе с применением логического оператора "ИЛИ". Логика "OR" означает, что если одно из условий в любом из настроенных фильтров охвата оценивается как "true", группа подготавливается.
Поддерживаемые операторы
Поддерживаются следующие операторы:
| Оператор | Описание |
|---|---|
| & | |
| заканчивается на | |
| РАВНО | Условие возвращает значение "true", если оцениваемый атрибут точно совпадает со значением входной строки (с учетом регистра). |
| БОЛЬШЕ ЧЕМ | Выражение возвращает "true", если вычисленный атрибут больше значения. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...]. |
| БОЛЬШЕ_ИЛИ_РАВНО | Клауз возвращает "true", если вычисленный атрибут больше или равен значению. Значение, указанное в фильтре области, должно быть целым числом, и атрибут пользователя должен быть целым числом [0, 1, 2,...]. |
| ВКЛЮЧАЕТ | |
| ЯВЛЯЕТСЯ ЛОЖНЫМ | Условие возвращает значение true, если вычисленный атрибут содержит логическое значение false. |
| ЯВЛЯЕТСЯ_ЧЛЕНОМ | |
| не является NULL | Условие возвращает "true", если вычисленный атрибут не пустой. |
| ЯВЛЯЕТСЯ NULL | Условие возвращает значение true, если вычисленный атрибут пуст. |
| ЯВЛЯЕТСЯ ИСТИННЫМ | Условие возвращает значение "true", если вычисленный атрибут содержит логическое значение "true". |
| !&L | |
| НЕ РАВНО | Условие возвращает значение true, если оцениваемый атрибут не совпадает со значением входной строки (с учетом регистра). |
| НЕ СОВПАДАЕТ С REGEX | Условие возвращает значение true, если вычисленный атрибут не соответствует шаблону регулярного выражения. Возвращает значение false, если атрибут имеет значение NULL или пусто. |
| подарок | |
| СОВПАДЕНИЕ REGEX | Условие возвращает true, если вычисленный атрибут соответствует шаблону регулярного выражения. Пример: Выражение ([1-9][0-9]) соответствует любому числу от 10 до 99. |
| ДЕЙСТВИТЕЛЬНОЕ СООТВЕТСТВИЕ СЕРТИФИКАТА |
Использование регулярных выражений для фильтрации
Более расширенный фильтр может использовать REGEX MATCH. Это позволяет выполнять поиск атрибута в виде строки для подстроки этого атрибута. Например, можно сказать, что у вас есть несколько групп, и все они имеют следующие описания:
Contoso-Продажи-США Contoso-Маркетинг-США Contoso-Операции-США Contoso-LT-США
Теперь вы хотите назначить только группы продаж, маркетинга и операций в Active Directory. Для этого можно использовать REGEX MATCH.
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
Этот REGEX MATCH будет выполнять поиск по описаниям на предмет наличия любых из перечисленных ниже слов, которые мы предоставили, и обрабатывать только соответствующие группы.
Создание фильтра на основе атрибутов
Чтобы создать фильтр на основе атрибутов, выполните следующие действия.
- Щелкните " Добавить фильтр атрибутов"
- В поле "Имя" укажите имя фильтра
- В раскрывающемся списке в разделе "Целевой атрибут " выберите целевой атрибут.
- В разделе "Оператор" выберите оператор.
- В разделе "Значение" укажите значение.
- Нажмите кнопку Сохранить.
Дополнительные сведения см. в разделе "Сопоставление атрибутов" и "Справочник по написанию выражений" для сопоставлений атрибутов в идентификаторе Microsoft Entra ID.