Поделиться через

Microsoft Entra Connect Sync: Directory extensions

  • Статья

Вы можете использовать расширения каталогов для расширения схемы в Microsoft Entra ID с собственными атрибутами из локальной службы Active Directory. This feature enables you to build LOB apps by consuming attributes that you continue to manage on-premises. These attributes can be consumed through extensions. Доступные атрибуты можно просмотреть с помощью Microsoft Graph Explorer, пакета SDK Microsoft Graph PowerShell или Microsoft Entra PowerShell. Currently, no Microsoft 365 workload consumes these attributes, but you can use this feature with dynamic group memberships in Microsoft Entra ID.

Выбор атрибутов для синхронизации с идентификатором Microsoft Entra

Вы настраиваете расширенные атрибуты, которые требуется синхронизировать с помощью мастера настройки Microsoft Entra Connect, в пользовательских параметрах.

Мастер расширения схемы

Мастер показывает атрибуты, которые являются допустимыми кандидатами для использования с расширениями каталогов:

  • Типы объектов пользователей и групп
  • Однозначные атрибуты: строка, логическое значение, целое число, двоичное значение.
  • Многозначные атрибуты: строка, двоичное значение.

Важные рекомендации при использовании расширений каталогов

  • Список атрибутов считывается из схемы Active Directory во время первоначальной установки Microsoft Entra Connect. Если вы расширяете схему Active Directory с дополнительными настраиваемыми атрибутами, необходимо обновить схему , прежде чем эти новые атрибуты видны.

  • Если вы экспортировали конфигурацию, содержащую пользовательское правило, используемое для синхронизации атрибутов расширения каталога и пытаетесь импортировать это правило в новую или существующую установку Microsoft Entra Connect, это правило создается во время импорта, но атрибуты расширения каталога не будут сопоставлены. Необходимо повторно выбрать атрибуты расширения каталога и повторно связать их с правилом или воссоздать правило полностью, чтобы исправить это.

  • Не все функции в идентификаторе Microsoft Entra поддерживают многозначные атрибуты расширения. Ознакомьтесь с документацией по функции, в которой планируется использовать эти атрибуты для подтверждения их поддержки.

  • Объект в идентификаторе Microsoft Entra может содержать до 100 атрибутов для расширений каталогов. Максимальная длина составляет 250 символов. Если значение атрибута длиннее, модуль синхронизации усечет его.

  • Не поддерживается синхронизация созданных атрибутов, таких как msDS-UserPasswordExpiryTimeComputed. Если вы обновляете старую версию Microsoft Entra Connect, эти атрибуты по-прежнему отображаются в мастере установки, их нельзя включить, так как его значение не будет синхронизироваться с идентификатором Microsoft Entra. Режим обучения.

  • Не поддерживается синхронизация нереплицированных атрибутов, таких как badPwdCount, Last-Logon и Last-Logoff, так как их значения не синхронизируются с идентификатором Microsoft Entra.

  • Не поддерживается управление локальными расширениями каталогов за пределами мастера Microsoft Entra Connect. Изменение или клонирование правил синхронизации для расширений каталогов может привести к проблемам синхронизации.

  • Не поддерживается синхронизация значений атрибутов из Microsoft Entra Connect с атрибутами расширения, которые не создаются Microsoft Entra Connect. Это может привести к проблемам с производительностью и непредвиденным результатам.

Изменения конфигурации в идентификаторе Microsoft Entra, внесенные мастером

Во время установки Microsoft Entra Connect приложение регистрируется, где настроены эти атрибуты. Это приложение можно увидеть в Центре администрирования Microsoft Entra под именем Tenant Schema Extension App. Убедитесь, что выбраны все приложения , чтобы увидеть это приложение.

Приложение для расширения схемы

Примечание.

The Tenant Schema Extension App is a system-only application that can't be deleted. Deleting the Service Principal associated with Tenant Schema Extension App breaks the synchronization. To recover Directory Extensions synchronization, restore the soft-deleted Service Principal or re-create a new one.

Просмотр расширенных атрибутов в идентификаторе Microsoft Entra

The format of extended attributes is extension_{ApplicationId}_<attributeName>, where ApplicationId is the application identifier of your Tenant Schema Extension App. Это значение требуется для всех остальных сценариев в этом разделе.

Использование API Microsoft Graph

Эти атрибуты доступны через API Microsoft Graph с помощью Microsoft Graph Explorer.

В API Microsoft Graph необходимо запрашивать возвращаемые атрибуты. Явным образом выберите такие атрибуты:

https://graph.microsoft.com/beta/users/[email protected]?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

Дополнительные сведения см. в разделе Microsoft Graph: Использование параметров запроса.

Использование пакета SDK Microsoft Graph PowerShell

  1. Получите приложение Tenant Schema Extension App:
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
  1. List all extension attributes for the Tenant Schema Extension App:
Get-MgDirectoryObjectAvailableExtensionProperty
  1. List all extension attributes for a user object:
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

Использование Microsoft Entra PowerShell

  1. Get the Tenant Schema Extension App application identifier:
Get-EntraApplication -SearchString "Tenant Schema Extension App"
  1. List all extension attributes for Tenant Schema Extension App application:
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
  1. List all extension attributes for a user object:
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

Использование атрибутов в динамических группах членства

Одним из наиболее полезных сценариев является использование атрибутов расширения в динамических группах безопасности или группах Microsoft 365.

  1. Создайте группу в идентификаторе Microsoft Entra. Присвойте ему имя и убедитесь, что тип членства является динамическим пользователем.

    Screenshot with a new group

  2. Выберите Добавить динамический запрос. При просмотре свойств эти расширенные атрибуты отсутствуют, так как их сначала нужно добавить. Щелкните Получить настраиваемые свойства расширения, введите идентификатор приложения и нажмите кнопку Обновить свойства.

    Снимок с добавленными расширениями каталога

  3. Откройте раскрывающийся список свойств и обратите внимание, что добавленные атрибуты теперь отображаются.

    Снимок с новыми атрибутами, отображающимися в интерфейсе пользователя

  4. To suit your requirements, complete the expression. В нашем примере для правила задано значение:

    (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")

  5. После создания группы предоставьте Microsoft Entra некоторое время, чтобы заполнить список участников, а затем просмотрите участников.

    Снимок с членами динамической группы

Следующие шаги

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.