Kontozuordnung
Was Zuordnungsregeln bewirken
Kontozuordnungsregeln definieren, wie entdeckte Konten bestehenden Eigentümern zugeordnet werden. Jede Regel legt eine Übereinstimmungseigenschaft (z. B. E-Mail, Anzeigename), optionale Filter und ein RegEx-Muster zur Transformation von Attributen fest. Zuordnungsregeln ordnen Konten bestehenden Eigentümern zu. Eigentümererstellung-Regeln erzeugen neue Eigentümer, wenn keine Übereinstimmung gefunden wird.
Die Kontozuordnungsregeln ermöglichen es Benutzern zu konfigurieren, wie ein entdecktes Konto einem Eigentümer zugeordnet wird. Die Regel mit der höchsten übereinstimmenden Priorität bestimmt den Eigentümer, dem ein Konto zugeordnet wird.
Um die Tabellenansicht zu filtern, verwenden Sie die Kontrollkästchen zum Aktivieren/Deaktivieren von Ansichtsoptionen, wie
- Standardregeln: Dies sind die mitgelieferten Standardregeln von Hydden, sie können angezeigt, aber nicht bearbeitet werden.
- Benutzerdefinierte Regeln: Dies sind Regeln, die in Ihrem Mandanten erstellt wurden.
Verwenden Sie die Suche, um die Ansicht auf einen bestimmten Kontext einzugrenzen.
Übereinstimmungseigenschaften
Die folgenden Eigenschaften stehen für die Zuordnung von Konten zu Eigentümern zur Verfügung:
| Eigenschaft | Beschreibung |
|---|---|
| Display Name | Übereinstimmung basierend auf dem Anzeigenamen des Kontos |
| Primary Email | Übereinstimmung basierend auf der primären E-Mail-Adresse des Kontos |
| UPN | Übereinstimmung basierend auf dem User Principal Name des Kontos |
| Custom | Übereinstimmung basierend auf einem benutzerdefinierten Attribut in den Kontodaten |
| IGA | Übereinstimmung basierend auf einer Identity Governance & Administration-Systemkennung |
Operatoren
Bei der Definition von Übereinstimmungskriterien stehen die folgenden Operatoren zur Verfügung:
| Operator | Beschreibung |
|---|---|
| Contains | Der Eigenschaftswert enthält die angegebene Zeichenkette |
| Starts with | Der Eigenschaftswert beginnt mit der angegebenen Zeichenkette |
| Ends with | Der Eigenschaftswert endet mit der angegebenen Zeichenkette |
| Equals | Der Eigenschaftswert stimmt exakt mit der angegebenen Zeichenkette überein |
Strategie zur Regelreihenfolge
Regelpriorität
Zuordnungsregeln werden in Prioritätsreihenfolge ausgewertet (niedrigste Zahl = höchste Priorität). Die erste übereinstimmende Regel bestimmt die Konto-zu-Eigentümer-Zuordnung. Berücksichtigen Sie die folgende Strategie:
- Höchste Priorität: Regeln für exakte Übereinstimmung (z. B. Primary Email abgleichen, UPN abgleichen), die am zuverlässigsten sind
- Mittlere Priorität: Musterbasierte Regeln (z. B. Name abgleichen: first.last) für gängige Namenskonventionen
- Niedrigere Priorität: Breitere Auffangregeln (z. B. beliebigen E-Mail-Alias abgleichen), die permissiver sind
Verwenden Sie die Vorschau-Funktion, um zu testen, wie Regeln zusammenwirken, bevor Sie sie in der Produktionsumgebung aktivieren.
Interaktion zwischen Zuordnungs- und Erstellungsregeln
Kontozuordnungs- und Eigentümererstellungsregeln arbeiten in der folgenden Reihenfolge zusammen:
- Zuordnungsregeln werden zuerst in Prioritätsreihenfolge ausgewertet. Wenn eine Zuordnungsregel einen bestehenden Eigentümer findet, wird das Konto diesem zugeordnet.
- Wenn keine Zuordnungsregel erfolgreich ist, werden Erstellungsregeln in Prioritätsreihenfolge ausgewertet. Wenn die Kriterien einer Erstellungsregel erfüllt sind, wird ein neuer Eigentümer erstellt und das Konto diesem zugeordnet.
- Wenn weder Zuordnungs- noch Erstellungsregeln ein Ergebnis liefern, bleibt das Konto nicht zugeordnet.
NOTE
Sowohl Zuordnungs- als auch Erstellungsregeln müssen auf jeder Datenquelle separat aktiviert werden, um aktiv zu sein.
Erstellen einer Kontozuordnungsregel
Zweck: Definieren Sie eine benutzerdefinierte Regel, um entdeckte Konten bestehenden Eigentümern zuzuordnen.
Navigieren Sie zu Konfiguration | Identifizieren und wählen Sie die Registerkarte Kontozuordnung.
Klicken Sie auf + Regel hinzufügen.
Geben Sie die Regelpriorität an. Eine niedrigere Zahl bedeutet eine höhere Priorität in der Auswertungsreihenfolge. Standardmäßig öffnet sich das Modal mit dem Wert 1 (höchste Priorität).
Geben Sie einen Namen und eine Beschreibung für Ihre Regel zur organisatorischen Klarheit ein.
Wählen Sie im Feld Konten abgleichen mit Eigenschaft die Übereinstimmungseigenschaft aus (Display Name, Primary Email, UPN, Custom oder IGA).
Wählen Sie bei Bedarf aus, ob der alternative Name und/oder die E-Mail des zugeordneten Kontos bei der Zuordnung aktualisiert werden sollen.
Geben Sie im Abschnitt Anforderungen für die Kontozuordnung Folgendes an:
Der Kontotyp (optional) kann sein:
- User Account (Standard)
- Service Account
- Resource Account
- Computer Account
- Vaulted Account
- Federated Account
Wenn nicht angegeben, gelten alle Typen.
NOTE
Wenn sowohl Kontotyp als auch Kontoklassifizierung konfiguriert sind, gilt die Regel nur für Konten, die beide Bedingungen erfüllen. Ein Konto muss sowohl den Kontotyp-Filter als auch den Klassifizierungsfilter erfüllen, damit die Regel gilt.
Eine Kontoclassification, falls konfiguriert. Dies ist ein optionales Feld.
Ein RegEx-Muster, das von der Regel abgeglichen werden soll.
Eine RegEx-Ersetzung, die in der Regel verwendet werden soll.
Verwenden Sie Test, um zu überprüfen, ob Ihre Regel wie beabsichtigt funktioniert.
Sobald Sie bereit sind, die Regel in Ihrer Umgebung zu verwenden, aktivieren Sie das Kontrollkästchen Regel aktivieren oben im Modal. Die Aktionsspalte zeigt an, ob eine benutzerdefinierte Regel aktiviert oder deaktiviert ist. Sie zeigt entweder ein Häkchen für aktiviert oder ein X für deaktiviert an. Sie können den Status ändern, indem Sie auf das X oder Häkchen klicken, um eine Regel zu aktivieren oder zu deaktivieren, ohne die Modale Benutzerdefinierte bearbeiten oder Standard-Kontozuordnungsregel anzeigen zu öffnen.
Zuordnungsregeln müssen auf jeder [Datenquelle](/de/discover/config/discover/data-sources/overview) separat aktiviert werden, um aktiv zu sein.
Klicken Sie auf Hinzufügen, um die Regel zu speichern und Ihrer Umgebung hinzuzufügen.
Testen einer RegEx-Regel
RegEx-Tests sind über die Schaltfläche Test im Modal zum Hinzufügen oder Bearbeiten einer Kontozuordnungsregel verfügbar. Speichern Sie den Test, wenn Sie ihn mit der Regel verknüpft behalten möchten.
Das RegEx-Muster wird verwendet, um das Konto anhand des ausgewählten Attributs (Name, E-Mail, UPN) abzugleichen. Wenn eine Übereinstimmung gefunden wird, liefert die Zeichenkette „Ersetzen durch" den Wert, der zur Zuordnung zu einem Eigentümer verwendet wird.
Beispiel 1: Extraktion des Admin-Kontonamens
- Muster:
(.+)\s*-\s*admin - Ersetzung:
$1 - Stimmt mit jedem Kontonamen überein, der mit „- admin" endet, z. B. „jane doe - admin"
- Ersetzt die übereinstimmende Zeichenkette durch die erste Erfassungsgruppe, d. h. „jane doe"
- Verwendet die resultierende Zeichenkette bei der Zuordnung des Kontos zu einem Eigentümer
Beispiel 2: UPN-Domänenextraktion
- Muster:
(.+)@.+ - Ersetzung:
$1 - Stimmt mit jedem UPN überein, z. B. „jane.doe@contoso.com"
- Extrahiert den Benutzernamenteil vor dem @-Zeichen, d. h. „jane.doe"
- Verwendet die resultierende Zeichenkette bei der Zuordnung des Kontos zu einem Eigentümer anhand des Anzeigenamens oder einer anderen Eigenschaft
Vergessen Sie nicht, Speichern zu drücken, um alle Änderungen am RegEx-Muster oder der Ersetzungszeichenkette zu speichern.
Vorschau einer Regel
Führen Sie eine Vorschau aus, um das Ergebnis der Regelanwendung anzuzeigen.
Dies führt eine Vorschau dieser Regel auf alle derzeit nicht zugeordneten Konten aus allen Datenquellen durch und meldet jedes übereinstimmende Konto.
- Für eine Erstellungs-Regel werden alle Konten gemeldet, die diese Regel einem neuen Eigentümer zuordnen könnte.
- Für eine Zuordnungs-Regel werden alle Konten gemeldet, die mit der Regel übereinstimmen, und für jedes Konto der Eigentümer (falls vorhanden), dem die Regel das Konto zuordnen wird.
Zuordnungsmigration
Zuvor (vor Version 1.3.0) verwendete die Kontozuordnung standardmäßig die folgenden Regeln:
- Wenn Übereinstimmungen bei der primären E-Mail und dem Konto-UPN gefunden wurden.
Mit den erweiterten Kontozuordnungsregeln liefert Hydden die folgenden Standard-Kontozuordnungs- und Eigentümererstellungsregeln.
NOTE
Um diese Regeln zu verwenden, müssen sie auf den konfigurierten Datenquellen aktiviert werden.
| Kontozuordnungsregeln: 13 | Identitätserstellungsregeln: 12 |
|---|---|
| Match Any Email Alias | Create Identity: Requires 2+ Accounts & a configured email |
| Match Exact Display Name | Create Identity: Requires 2+ Accounts & a configured Email & a space between names |
| Match Name: first last | Create Identity: Requires 2+ Accounts & a configured email or UPN |
| Match Name: first middle last | Create Identity: Requires 2+ Accounts & a configured Email or UPN & a space between names |
| Match Name: first.last | Create Identity: Requires 2+ Accounts & a configured UPN |
| Match Name: firstinital.secondinitial.last | Create Identity: Requires 2+ Accounts & a configured UPN & a space between names |
| Match Name: firstinitial last | Create Identity: Requires email |
| Match Name: firstinitial secondinitial last | Create Identity: Requires Email & a space between names |
| Match Name: firstinitial.last | Create Identity: Requires email or UPN |
| Match Name: last first | Create Identity: Requires Email or UPN & a space between names |
| Match Name: last.first | Create Identity: Requires UPN |
| Match Primary Email | Create Identity: Requires UPN & a space between names |
| Match UPN |