使用範圍篩選設定要佈建的使用者或群組範圍
了解如何在 Microsoft Entra 佈建服務中使用範圍篩選來定義屬性型規則。 規則用來判斷要佈建的使用者或群組。
範圍篩選器使用案例
在支援使用者佈建自動化的應用程式中,您會使用範圍篩選來防止佈建未滿足商務需求的物件。 範圍篩選可讓您包括或排除任何具有符合特定值之屬性的使用者。 例如,將使用者從 Microsoft Entra ID 佈建至銷售團隊所使用的 SaaS 應用程式時,您可以指定只有 "Sales" 之 "Department" 屬性的使用者應該位於佈建範圍內。
範圍篩選條件的使用方式取決於佈建連接器的類型:
從 Microsoft Entra ID 向外佈建到 SaaS 應用程式。 Microsoft Entra ID 為來源系統時,使用者和群組指派是決定哪些使用者要納入佈建範圍內的最常用方法。 這些指派也用於啟用單一登入,並提供單一方法來管理存取與佈建。 根據屬性值,除了指派或取代之外,範圍篩選器可以選擇性地用於篩選使用者。
提示
佈建範圍中的使用者和群組越多,同步處理程序花的時間就越長。 設定範圍,使其同步已指派的使用者和群組、限制指派給應用程式的群組數目,並限制群組的大小。要同步處理範圍內的全員時,這些都會減少時間花費。
從 HCM 應用程式向內佈建到 Microsoft Entra ID 和 Active Directory。 HCM 應用程式 (例如 Workday) 為來源系統時,範圍篩選是決定應該將哪些使用者從 HCM 應用程式佈建到 Active Directory 或 Microsoft Entra ID 的主要方法。
根據預設,Microsoft Entra 佈建連接器未設定任何屬性型範圍篩選。
Microsoft Entra ID 為來源系統時,使用者和群組指派是決定哪些使用者要納入佈建範圍內的最常用方法。 減少範圍中的使用者數目可改善效能,並建議同步處理所指派的使用者和群組,而不是同步處理所有使用者和群組。
除了透過指派來界定範圍之外,也可以選擇性地使用範圍篩選。 範圍篩選可讓 Microsoft Entra 佈建服務包括或排除任何擁有符合特定值之屬性的使用者。 例如,佈建銷售團隊中的使用者時,您可以指定只有 "Department" 屬性為 "Sales" 的使用者才應該位於佈建範圍內。
範圍篩選器建構
範圍篩選條件包含一個或多個「子句」。 子句會評估每個使用者的屬性,以決定哪些使用者可以通過範圍篩選條件。 例如,您可能有一個子句規定使用者的 "State" 屬性必須等於 "New York",因此只會將 New York 使用者佈建到應用程式。
單一子句可定義單一屬性值的單一條件。 如果在單一範圍篩選器中建立多個子句,則系統會使用「AND」邏輯一起評估這些子句。 "AND" 邏輯表示所有子句都必須評估為 "true",才能佈建使用者。
最後,您可以針對單一應用程式建立多個範圍篩選條件。 如果有多個範圍篩選條件,則會使用 "OR" 邏輯一起評估這些篩選條件。 "OR" 邏輯表示,如果任何已設定範圍篩選中的所有子句都評估為 "true",則會佈建使用者。
Microsoft Entra 佈建服務所處理的每個使用者或群組,一律會根據每個範圍篩選來個別評估。
例如,假設有下列範圍篩選條件:
根據此範圍篩選條件,使用者必須滿足下列條件才能佈建:
- 他們必須住在紐約。
- 他們必須在工程部門上班。
- 他們的公司員工識別碼必須介於 1,000,000 到 2,000,000 之間。
- 他們的職稱不能是 Null 或空白。
建立範圍篩選條件
為每個 Microsoft Entra 使用者佈建連接器,將範圍篩選設定為屬性對應的一部分。 下列程序假設您已經針對其中一個支援的應用程式設定自動佈建,而現在要新增範圍篩選條件。
建立範圍篩選條件
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
- 以至少應用程式系統管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [應用程式] > [企業應用程式] > [所有應用程式]。
選取您已設定自動佈建的應用程式:例如,"ServiceNow"。
瀏覽至 [身分識別] > [外部身分識別] > [跨租用戶同步處理] > [設定]
選取您的設定。
- 選取 [佈建] 索引標籤。
- 在 [對應] 區段中,選取您想要設定範圍篩選的對應:例如,[將 Microsoft Entra 使用者同步處理至 ServiceNow]。
- 在 [對應] 區段中,選取您想要設定範圍篩選的對應,例如:[佈建Microsoft Entra 使用者]。
選取 [來源物件範圍] 功能表。
選取 [新增範圍篩選器]。
依序選取要比對的來源 [屬性名稱]、[運算子] 和 [屬性值],來定義子句。 支援下列運算子:
a. \. 如果所評估的屬性存在於輸入字串值中,則子句會傳回 "true"。
b. 如果所評估的屬性不存在於輸入字串值中,則子句會傳回 "true"。
c. ENDS_WITH。 如果所評估屬性的結尾為輸入字串值,則子句會傳回 "true"。
d. EQUALS。 如果評估的屬性完全符合輸入字串值 (區分大小寫),子句會傳回 "true"。
e. Greater_Than。 如果評估的屬性大於值,子句就會傳回 "true"。 範圍篩選上指定的值必須是整數,而且使用者的屬性必須是整數 [0,1,2,...]。
f. Greater_Than_OR_EQUALS。 如果評估的屬性大於或等於值,子句就會傳回 "true"。 範圍篩選上指定的值必須是整數,而且使用者的屬性必須是整數 [0,1,2,...]。
.g Includes。 如果評估的屬性包含字串值 (區分大小寫),子句就會傳回 "true",如此處所述。
h. IS FALSE。 如果評估的屬性包含布林值 false,子句會傳回 "true"。
i. IS NOT NULL。 如果評估的屬性不是空的,子句會傳回 "true"。
j. IS NULL。 如果評估的屬性是空的,子句會傳回 "true"。
k. IS TRUE。 如果評估的屬性包含布林值 true,子句會傳回 "true"。
l. NOT EQUALS。 如果評估的屬性不符合輸入字串值 (區分大小寫),子句會傳回 "true"。
m. NOT REGEX MATCH。 如果評估的屬性不符合規則運算式模式,子句會傳回 "true"。 如果屬性為 null/空的,則會傳回 "false"。
n. REGEX MATCH。 如果評估的屬性符合規則運算式模式,子句會傳回 "true"。 例如:
([1-9][0-9])
符合 10 與 99 之間的任何數字 (區分大小寫)。
重要
- 目前不支援 IsMemberOf 篩選。
- 目前不支援群組上的 members 屬性。
- 多重值屬性不支援篩選。
- 如果值為 null /empty,則範圍篩選器會傳回 "false"。
(選擇性) 重複步驟 7-8,新增更多範圍子句。
在 [範圍篩選器標題] 中,新增您範圍篩選器的名稱。
選取 [確定]。
在 [範圍篩選條件] 畫面上,再次選取 [確定]。 (選擇性) 重複步驟 6-11,新增另一個範圍篩選條件。
在 [屬性對應] 畫面上,選取 [儲存]。
重要
儲存新的範圍篩選器會為應用程式觸發新的完整同步處理,其中來源系統中的所有使用者都會根據新的範圍篩選器,再次進行估。 如果應用程式中的使用者先前在佈建範圍內,但已落在範圍外,則其帳戶在應用程式中會停用或解除佈建。 若要覆寫此預設行為,請參閱略過刪除超出範圍的使用者帳戶。
常見的範圍篩選
目標屬性 | 運算子 | 值 | Description |
---|---|---|---|
userPrincipalName | REGEX MATCH | .*\@domain.com |
具有 userPrincipal 且網域為 @domain.com 的所有使用者都在佈建範圍內。 |
userPrincipalName | NOT REGEX MATCH | .*\@domain.com |
具有 userPrincipal 且網域為 @domain.com 的所有使用者都超出佈建範圍。 |
部門 | EQUALS | sales |
銷售部門的所有使用者都在佈建範圍內 |
workerID | REGEX MATCH | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
workerID 介於 1000000 與 2000000 之間的所有員工都在佈建範圍內。 |