Microsoft Entra Connect Sync: расширения каталогов
Вы можете использовать расширения каталогов для расширения схемы в Microsoft Entra ID с собственными атрибутами из локальной службы Active Directory. Эта функция позволяет создавать бизнес-приложения с помощью атрибутов, которыми вы по-прежнему можете управлять локально. Эти атрибуты могут использоваться через расширения. Вы можете просмотреть доступные атрибуты, используя Microsoft Graph Explorer. Эту функцию также можно использовать для создания динамических групп членства в идентификаторе Microsoft Entra.
В настоящее время в рабочих нагрузках Microsoft 365 эти атрибуты не используются.
Внимание
Если вы экспортировали конфигурацию, содержащую настраиваемое правило, используемое для синхронизации атрибутов расширения каталога и пытаетесь импортировать это правило в новую или существующую установку Microsoft Entra Connect, это правило будет создано во время импорта, но атрибуты расширения каталога не будут сопоставлены. Необходимо повторно выбрать атрибуты расширения каталога и повторно связать их с правилом или повторно создать правило, чтобы исправить это.
Настройка атрибутов для синхронизации с идентификатором Microsoft Entra
В мастере установки вы настраиваете, какие дополнительные атрибуты вы хотите синхронизировать в пути пользовательских настроек.
Примечание.
Изменение или клонирование правил синхронизации для расширений каталогов может привести к проблемам синхронизации. Не поддерживается управление расширениями каталогов за пределами этой страницы мастера.
В установке отображаются следующие атрибуты, которые являются допустимыми кандидатами:
- Типы объектов пользователей и групп
- Однозначные атрибуты: строка, логическое значение, целое число, двоичное значение.
- Многозначные атрибуты: строка, двоичное значение.
Примечание.
Не все функции в идентификаторе Microsoft Entra поддерживают многозначные атрибуты расширения. Ознакомьтесь с документацией по функции, в которой планируется использовать эти атрибуты для подтверждения их поддержки.
Список атрибутов считывается из кэша схем, созданного во время установки Microsoft Entra Connect. Если в схему Active Directory добавлены дополнительные атрибуты, они будут отображаться только после обновления схемы.
Объект в идентификаторе Microsoft Entra может содержать до 100 атрибутов для расширений каталогов. Максимальная длина составляет 250 символов. Если значение атрибута длиннее, модуль синхронизации усечет его.
Примечание.
Не поддерживается синхронизация созданных атрибутов, таких как msDS-UserPasswordExpiryTimeComputed. Если вы обновляете старую версию Microsoft Entra Connect, эти атрибуты по-прежнему отображаются в мастере установки, их нельзя включить. Если это сделать, их значение не будет синхронизироваться с Microsoft Entra ID. Дополнительные сведения о созданных атрибутах см. в этой статье. Кроме того, не следует пытаться синхронизировать нереплицированные атрибуты, например badPwdCount, Last-Logon и Last-Logoff, так как их значения не будут синхронизированы с идентификатором Microsoft Entra ID.
Изменения конфигурации в идентификаторе Microsoft Entra, внесенные мастером
Во время установки Microsoft Entra Connect приложение регистрируется, где доступны эти атрибуты. Это приложение можно увидеть в Центре администрирования Microsoft Entra. Оно всегда называется Tenant Schema Extension App.
Примечание.
Приложение расширения схемы клиента — это системное приложение, которое невозможно удалить.
Чтобы отобразить это приложение, убедитесь в том, что выбран параметр Все приложения.
Атрибуты имеют префикс extension _{ApplicationId}_. ApplicationId имеет одинаковое значение для всех атрибутов в клиенте Microsoft Entra. Это значение потребуется для всех остальных сценариев в этом разделе.
Просмотр атрибутов с использованием API Microsoft Graph
Эти атрибуты теперь доступны в API Microsoft Graph при использовании Microsoft Graph Explorer.
Примечание.
В API Microsoft Graph необходимо запрашивать возвращаемые атрибуты. Выберите атрибуты явно таким образом: https://graph.microsoft.com/beta/users/[email protected]?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.
Дополнительные сведения см. в разделе Microsoft Graph: Использование параметров запроса.
Примечание.
Не поддерживается синхронизация значений атрибутов из Microsoft Entra Connect с атрибутами расширения, которые не создаются Microsoft Entra Connect. Это может привести к проблемам с производительностью и непредвиденным результатам. Поддерживается синхронизация только тех атрибутов расширений, которые созданы описанным выше образом.
Использование атрибутов в динамических группах членства
Одним из наиболее полезных сценариев является использование этих атрибутов в динамических группах безопасности или в группах Microsoft 365.
Создайте группу в идентификаторе Microsoft Entra. Присвойте ей понятное имя и проверьте, что параметр Тип членства имеет значение Динамический пользователь.
Выберите Добавить динамический запрос. Если вы посмотрите на свойства, вы не увидите эти расширенные атрибуты. Сначала необходимо добавить их. Щелкните Получить настраиваемые свойства расширения, введите идентификатор приложения и нажмите кнопку Обновить свойства.
Откройте раскрывающийся список свойств и обратите внимание, что добавленные атрибуты теперь отображаются.
Заполните выражение в соответствии со своими требованиями. В нашем примере задано правило (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Продажи и маркетинг").
После создания группы предоставьте Microsoft Entra некоторое время для пополнения ее участников, а затем просмотрите их.
Следующие шаги
Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.
Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.