可以根据业务需求自定义默认的属性映射。 因此,可以更改或删除现有属性映射或者创建新的属性映射。
以下文档将指导你完成 Microsoft Entra Cloud Sync 的属性范围管理,以便将 Microsoft Entra ID 中的属性同步到 Active Directory。 如果要查找有关从 AD 到 Microsoft Entra ID 的属性映射的信息,请参阅属性映射 - Active Directory 到 Microsoft Entra ID。
Microsoft Entra ID 到 Active Directory 配置的模式
目前,AD 架构不可发现,并且存在固定的映射集。 下表提供了 Microsoft Entra ID 到 Active Directory 配置的默认映射和架构。
| 目标属性 | 源属性 | 映射类型 | 备注 |
|---|---|---|---|
| adminDescription | Append(“Group_”,[objectId]) | 表达式 | 无法在 UI 中更新 - 请勿更新 用于筛选 AD 到云同步 在 UI 中不可见 |
| cn | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | 表达式 | |
| 说明 | Left(Trim([description]),448) | 表达式 | |
| displayName | displayName | 直接 | |
| isSecurityGroup | True | 恒定 | 无法在 UI 中更新 - 请勿在 UI 中显示更新 |
| 成员 | members | 直接 | 无法在 UI 中更新 - 请勿在 UI 中显示更新 |
| msDS-ExternalDirectoryObjectId | Append(“Group_”,[objectId]) | 表达式 | 无法在 UI 中更新 - 请勿更新 用于在 AD 中联接 - 匹配 在 UI 中不可见 |
| ObjectGUID | 无法在 UI 中更新 - 请勿更新 只读 - 锚点位于 AD 中,在 UI 中不可见 |
||
| parentDistinguishedName (父级杰出名称) | OU=Users,DC=配置开始时选择的域<,DC=com> | 恒定 | UI 中的默认值 |
| UniversalScope | True | 恒定 | 无法在 UI 中更新 - 请勿更新 在 UI 中不可见 |
请注意,并非所有上述映射在门户中都可见。 有关如何添加属性映射的详细信息,请参阅 属性映射。
sAmAccountName 自定义映射
默认情况下,sAMAccount 属性不会从 Microsoft Entra ID 同步到 Active Directory。 因此,在 Active Directory 中创建新组时,会为其提供随机生成的名称。
如果要为 sAMAccountName 创建自己的唯一值,则可以使用表达式创建自定义到 sAMAccountName 的映射。 例如,可以执行以下操作: Join("_", [displayName], "Contoso_Group")
这将采用 displayName 值并向其添加“Contoso_Group”。 因此,新的 sAMAccountName 类似于,“Marketing_Contoso_Group”
重要
如果决定为 sAMAccountName 创建自定义属性映射,则必须确保它在 Active Directory 中是唯一的。
作用域过滤器目标容器
默认目标容器是 OU=User,DC=<domain,DC=com,这是在配置开始时选择的。 可以将其更改为自己的自定义容器。
还可以使用具有 Switch() 函数的属性映射表达式来配置多个目标容器。 使用此表达式时,如果 displayName 值为 Marketing 或 Sales,则会在相应的 OU 中创建该组。 如果没有匹配项,则会在默认 OU 中创建该组。
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
下面显示了另一个示例。 假设你有以下 3 个组,它们具有以下 displayName 属性值:
- NA-Sales-Contoso
- SA-Sales-Contoso
- 欧盟-Sales-Contoso
可以使用以下 switch 语句来筛选和配置组:
Switch(Left(Trim([displayName]), 2), "OU=Groups,DC=contoso,DC=com", "NA","OU=NorthAmerica,DC=contoso,DC=com", "SA","OU=SouthAmerica,DC=contoso,DC=com", "EU", "OU=Europe,DC=contoso,DC=com")
默认情况下,此语句会将所有组预配到 Active Directory 中的 OU=Groups,DC=contoso,DC=com 容器。 但是,如果组以 NA 开头,它将组配置到 OU=NorthAmerica,DC=contoso,DC=com。 同样,如果组以 SA 开头,则为 OU=SouthAmerica,DC=contoso,DC=com 和 EU 到 OU=Europe,DC=contoso,DC=com。
有关详细信息,请参阅 参考,了解如何在 Microsoft Entra ID 中编写属性映射的表达式。
属性范围筛选
支持基于属性的范围筛选。 可以根据某些属性限定组的范围。 但是,请注意,Microsoft Entra ID 到 Active Directory 配置的属性映射部分与传统属性映射部分略有不同。
支持的子句
范围筛选器由一个或多个子句组成。 子句通过评估每个组的属性来确定允许哪些组通过范围筛选器。 例如,你可能有一个子句要求组“displayName”属性等于“Marketing”,因此仅预配市场营销组。
默认安全组
默认安全组将附加于创建的每个子语句,并使用“AND”逻辑。 它包含以下条件:
- securityEnabled 是 True 且
- dirSyncEnabled 为假且
- 邮件启用为假
默认安全组首先应用,在处理单个子句时使用 AND 逻辑。 然后,该条款将遵循以下所述的逻辑。
单个子句定义单个属性值的单个条件。 如果在单个范围筛选器中创建多个子句,则会使用“AND”逻辑一起评估这些子句。 “AND”逻辑表示,所有子句的计算结果必须为“true”,才能配置用户。
最后,可以为组创建多个范围筛选器。 如果存在多个范围筛选器,则会使用“OR”逻辑同时评估这些筛选器。 如果任何配置的范围筛选器中的任一子句计算结果为“true”,则“OR”逻辑表示将启用该组。
支持的运算符
支持以下运算符:
| Operator | 说明 |
|---|---|
| & | |
| ENDS_WITH | |
| EQUALS | 如果计算的属性与输入字符串值完全匹配(区分大小写),则子句返回“true”。 |
| GREATER_THAN | 如果计算的属性大于值,则子句返回“true”。 在范围筛选器中指定的值必须是整数,并且用户的属性必须是整数 [0,1,2,...]。 |
| 大于或等于 | 如果计算的属性大于或等于值,则子句返回“true”。 在范围筛选器中指定的值必须是整数,并且用户的属性必须是整数 [0,1,2,...]。 |
| 包括 | |
| 为假 | 如果被评估的属性包含布尔值 false,则子句返回 “true”。 |
| The original text is appropriate as is. No changes needed. | |
| 不是 NULL | 如果计算的属性不为空,则子句的返回值为“true”。 |
| IS NULL (为空) | 如果计算的属性为空,则子句返回“true”。 |
| 为真 | 如果计算的属性包含 true 的布尔值,则子句返回“true”。 |
| !&L | |
| 不等于 | 如果计算的属性与输入字符串值(区分大小写)不匹配,则子句将返回“true”。 |
| 非REGEX匹配 | 如果计算的属性与正则表达式模式不匹配,则子句返回“true”。 如果属性为 null/空,则返回“false”。 |
| 目前 | |
| REGEX MATCH | 如果计算的属性与正则表达式模式匹配,则子句返回“true”。 例如:([1-9][0-9])匹配介于 10 和 99 之间的任意数字(区分大小写)。 |
| 有效的证书匹配 |
使用正则表达式筛选
更高级的筛选器可能使用 REGEX MATCH。 这使您可以将属性作为字符串进行搜索,以查找该属性的子字符串。 例如,假设您有多个组,它们都有以下描述:
Contoso-销售-US Contoso-市场营销-US Contoso-运营-US Contoso-LT-US
现在,你只想将 Sales、Marketing 和 Operations 组预配到 Active Directory。 可以使用 REGEX MATCH 来实现此目的。
REGEX MATCH description (?:^|\W)Sales|Marketing|Operations(?:$|\W)
此 REGEX MATCH 将在我们提供的以下字词的说明中进行搜索,并仅配置这些群组。
创建基于属性的筛选器
若要创建基于属性的筛选器,请执行以下步骤:
- 单击“添加属性筛选器”
- 在“ 名称 ”框中,提供筛选器的名称
- 从下拉列表中,在 “目标”属性 下选择目标属性
- 在 “运算符”下,选择一个运算符。
- 在 “值”下,指定一个值。
- 单击“ 保存”。
有关详细信息,请参阅属性映射和在 Microsoft Entra ID 中编写属性映射表达式的参考。