Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez comment utiliser les filtres d’étendue dans le service d’approvisionnement Microsoft Entra pour définir des règles basées sur les attributs. Les règles servent à déterminer quels utilisateurs ou groupes sont provisionnés.
Cas d’utilisation du filtre d’étendue
Vous utilisez des filtres d’étendue pour empêcher des objets dans les applications qui prennent en charge le provisionnement automatisé des utilisateurs d’être provisionnés si l’un d’eux ne répond pas à vos besoins métier. Un filtre d’étendue vous permet d’inclure ou d’exclure tout utilisateur ayant un attribut qui correspond à une valeur spécifique. Par exemple, lors d’une attribution d’utilisateurs depuis Microsoft Entra ID vers une application SaaS utilisée par une équipe de vente, vous pouvez spécifier que seuls les utilisateurs dont l’attribut « Département » est « Ventes » sont concernés par l’attribution.
Les filtres d’étendue peuvent être utilisés différemment en fonction du type du connecteur d’approvisionnement :
Approvisionnement sortant de Microsoft Entra ID vers des applications SaaS. Lorsque Microsoft Entra ID est le système source, les affectations d’utilisateurs et de groupes sont la méthode la plus courante pour déterminer quels utilisateurs sont dans l’étendue de l’approvisionnement. Ces affectations sont également utilisées pour activer l’authentification unique et fournissent une méthode unique pour gérer l’accès et l’approvisionnement. Les filtres d’étendue peuvent être utilisés si vous le souhaitez, en plus des affectations ou à leur place, afin de filtrer les utilisateurs selon des valeurs d’attribut.
Conseil
Plus il y a d’utilisateurs et de groupes dans l’étendue du provisionnement, plus le processus de synchronisation peut prendre du temps. La définition de l’étendue pour synchroniser les utilisateurs et les groupes affectés, la limitation du nombre de groupes affectés à l’application et la limitation de la taille des groupes réduiront le temps nécessaire pour synchroniser toutes les personnes dans l’étendue.
Approvisionnement entrant à partir d’applications HCM vers Microsoft Entra ID et Active Directory. Lorsqu’une application HCM telle que Workday est le système source, les filtres d’étendue sont la méthode principale pour déterminer quels utilisateurs doivent être approvisionnés à partir de l’application HCM vers Active Directory ou Microsoft Entra ID.
Par défaut, les connecteurs d’attribution Microsoft Entra ne disposent pas de filtres d’étendue basés sur les attributs configurés.
Lorsque Microsoft Entra ID est le système source, les affectations d’utilisateurs et de groupes sont la méthode la plus courante pour déterminer quels utilisateurs sont dans l’étendue de l’approvisionnement. La réduction du nombre d’utilisateurs dans l’étendue améliore les performances et il est recommandé de synchroniser les utilisateurs et les groupes attribués au lieu de synchroniser l’ensemble des utilisateurs et des groupes.
Les filtres d’étendue peuvent être utilisés éventuellement, en plus de l’étendue par affectation. Un filtre d’étendue permet au service d’attribution Microsoft Entra d’inclure ou d’exclure tous les utilisateurs dont un attribut correspond à une valeur spécifique. Par exemple, lors du provisionnement des utilisateurs d’une équipe de vente, vous pouvez spécifier que seuls les utilisateurs dont l’attribut « Département » est « Ventes » doivent faire partie du provisionnement.
Construction d’un filtre d’étendue
Un filtre d’étendue se compose d’une ou plusieurs clauses. Les clauses déterminent quels utilisateurs sont autorisés à traverser le filtre d’étendue en évaluant les attributs de chaque utilisateur. Par exemple, l’une de vos clauses peut exiger que l’attribut « État » d’un utilisateur soit égal à « New York », afin que seuls les utilisateurs de New York soient approvisionnés dans l’application.
Une seule clause définit une condition unique pour une seule valeur d’attribut. Si plusieurs clauses sont créées dans un seul filtre d’étendue, elles sont évaluées ensemble avec la logique « AND ». La logique « AND » signifie que chacune des clauses doit être considérée comme « true » pour qu’un utilisateur soit attribué.
Enfin, plusieurs filtres d’étendue peuvent être créés pour une seule application. Si plusieurs filtres d’étendue sont présents, ils sont évalués ensemble en utilisant la logique « OU ». La logique « OR » signifie que si toutes les clauses présentes dans un seul des filtres d’étendue configurés sont considérées « true », l’utilisateur est attribué.
Chaque utilisateur ou groupe traité par le service d’approvisionnement Microsoft Entra est toujours évalué individuellement par rapport à chaque filtre d’étendue.
Par exemple, considérez le filtre d’étendue suivant :
D’après ce filtre d’étendue, les utilisateurs doivent satisfaire aux critères suivants pour être approvisionnés :
- Ils doivent être de New York.
- Ils doivent travailler dans le service Ingénierie.
- Leur ID d’employé de leur société doit être compris entre 1 000 000 et 2 000 000.
- Leur poste ne doit être null ou vide.
Créer des filtres d’étendue
Les filtres d’étendue sont configurés comme parties des mappages d’attributs pour chaque connecteur d’attribution d’utilisateurs Microsoft Entra. La procédure suivante suppose que vous avez déjà configuré l’approvisionnement automatique pour l’une des applications prises en charge et que vous ajoutez un filtre d’étendue à celle-ci.
Créer un filtre d’étendue
- Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins.
Accédez à Entra ID>Applications d'entreprise>Toutes les applications.
Sélectionnez l’application pour laquelle vous avez configuré l’approvisionnement automatique. Par exemple, « ServiceNow ».
Accédez à Entra ID>External Identities>Cross-tenant Synchronization>Configurations
Sélectionnez votre configuration.
- Sélectionnez l’onglet Approvisionnement .
- Dans la section Mappages , sélectionnez le mappage pour lequel vous souhaitez configurer un filtre d’étendue : par exemple, « Synchroniser les utilisateurs De Microsoft Entra sur ServiceNow ».
- Dans la section Mappings, sélectionnez le mappage pour lequel vous souhaitez configurer un filtre d’étendue : par exemple, « Attribuer les utilisateurs Microsoft Entra ».
Sélectionnez le menu Étendue de l’objet source .
Sélectionnez Ajouter un filtre d’étendue.
Définissez une clause en sélectionnant un nom d’attribut source, un opérateur et une valeur d’attribut à mettre en correspondance. Les opérateurs suivants sont pris en charge :
a) &. La clause renvoie « true » si l’attribut évalué existe dans la valeur de la chaîne d’entrée.
b. !& La clause renvoie « true » si l’attribut évalué n’existe pas dans la valeur de la chaîne d’entrée.
c. ENDS_WITH. La clause renvoie « true » si l’attribut évalué se termine par la valeur de la chaîne d’entrée.
d. EQUALS. La clause renvoie « true » si l’attribut évalué correspond exactement à la valeur de chaîne d’entrée (respecte la casse).
e. Greater_Than. La clause renvoie « true » si l’attribut évalué est supérieur à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].
f. Greater_Than_OR_EQUALS. La clause renvoie « true » si l’attribut évalué est supérieur ou égal à la valeur. La valeur indiquée dans le filtre d’étendue doit être un nombre entier et l’attribut de l’utilisateur doit être un nombre entier [0, 1, 2,...].
g. Includes. La clause renvoie « true » si l’attribut évalué contient la valeur de chaîne (respecte la casse) comme décrit ici.
h. EST FAUX. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.
i. N’EST PAS NULL. La clause renvoie « true » si l’attribut évalué n’est pas vide.
j. IS NULL. La clause renvoie « true » si l’attribut évalué est vide.
k. EST VRAI. La clause renvoie « true » si l’attribut évalué contient une valeur booléenne True.
l. NOT EQUALS. La clause renvoie « true » si l’attribut évalué ne correspond pas à la valeur de chaîne d’entrée (respecte la casse).
m. NOT REGEX MATCH. La clause renvoie « true » si l’attribut évalué ne correspond pas à un modèle d’expression régulière. La valeur « false » est retournée si l’attribut est null/vide.
n. REGEX MATCH. La clause renvoie « true » si l’attribut évalué correspond à un modèle d’expression régulière. Exemple :
([1-9][0-9])correspond à tout nombre compris entre 10 et 99 (sensible à la casse).
Importante
- Le filtre IsMemberOf n’est pas pris en charge actuellement.
- L’attribut members d’un groupe n’est pas pris en charge actuellement.
- Le filtrage n’est pas pris en charge pour les attributs multi-valeurs.
- Les filtres de délimitation retournent « false » si la valeur est null/vide.
Si vous le souhaitez, répétez les étapes 7 et 8 pour ajouter d’autres clauses d’étendues.
Dans Le titre du filtre d’étendue, ajoutez un nom pour votre filtre d’étendue.
Sélectionnez OK.
Sélectionnez OK à nouveau sur l’écran Filtres d’étendue. Si vous le souhaitez, répétez les étapes 6 et 11 pour ajouter d’autres filtres d’étendue.
Sélectionnez Enregistrer dans l’écran Mappage d’attributs .
Importante
L’enregistrement d’un nouveau filtre d’étendue déclenche une nouvelle synchronisation complète pour l’application, avec une comparaison de tous les utilisateurs dans le système source par rapport au nouveau filtre d’étendue. Si un utilisateur dans l’application répondait précédemment aux exigences d’un approvisionnement, mais que ce n’est plus le cas maintenant, son compte est désactivé ou déprovisionné dans l’application. Pour remplacer ce comportement par défaut, reportez-vous à Ignorer la suppression des comptes d’utilisateur qui ne sont plus dans le périmètre.
Filtres d’étendue communs
| Attribut cible | Opérateur | Valeur | Descriptif |
|---|---|---|---|
| Nom d'utilisateur principal | REGEX MATCH | .*\@domain.com |
Tous les utilisateurs avec userPrincipal dont le domaine est @domain.com sont concernés par l’attribution. |
| Nom d'utilisateur principal | NOT REGEX MATCH | .*\@domain.com |
Tous les utilisateurs avec userPrincipal dont le domaine est @domain.com ne sont pas concernés par l’attribution. |
| department | EQUALS | sales |
Tous les utilisateurs du service commercial sont concernés par l’approvisionnement |
| identifiant de travailleur | REGEX MATCH | (1[0-9][0-9][0-9][0-9][0-9][0-9]) |
Tous les employés avec des workerID entre 1 000 000 et 2 000 000 sont concernés par l’attribution. |
Articles connexes
- Automatiser l’approvisionnement et le déprovisionnement des utilisateurs pour les applications SaaS
- Personnaliser les mappages d’attributs pour l’attribution d’utilisateurs
- Écrire des expressions pour les mappages d’attributs
- Notifications d’approvisionnement de compte
- Utiliser SCIM pour activer l’approvisionnement automatique d’utilisateurs et de groupes de Microsoft Entra ID vers des applications
- Liste des didacticiels sur l’intégration d’applications SaaS