Поделиться через

Microsoft Entra Connect Sync: расширения каталогов

Вы можете использовать расширения каталогов для расширения схемы в Microsoft Entra ID с собственными атрибутами из локальной службы Active Directory. Эта функция позволяет создавать бизнес-приложения, потребляя атрибуты, которыми вы по-прежнему управляете локально. Эти атрибуты могут использоваться через расширения. Доступные атрибуты можно просмотреть с помощью Microsoft Graph Explorer, пакета SDK Microsoft Graph PowerShell или Microsoft Entra PowerShell. В настоящее время рабочие нагрузки Microsoft 365 не используют эти атрибуты, но эту функцию можно использовать с динамическими членствами в группах в Microsoft Entra ID.

Выбор атрибутов для синхронизации с идентификатором Microsoft Entra

Вы настраиваете расширенные атрибуты, которые требуется синхронизировать с помощью мастера настройки Microsoft Entra Connect, в пользовательских параметрах.

Мастер расширения схемы

Мастер показывает атрибуты, которые являются допустимыми кандидатами для использования с расширениями каталогов:

  • Типы объектов пользователей и групп
  • Однозначные атрибуты: строка, логическое значение, целое число, двоичное значение.
  • Многозначные атрибуты: строка, двоичное значение.

Важные рекомендации при использовании расширений каталогов

  • Список атрибутов считывается из схемы Active Directory во время первоначальной установки Microsoft Entra Connect. Если вы расширяете схему Active Directory с дополнительными настраиваемыми атрибутами, необходимо обновить схему , прежде чем эти новые атрибуты видны.

  • Если вы экспортировали конфигурацию, содержащую пользовательское правило, используемое для синхронизации атрибутов расширения каталога и пытаетесь импортировать это правило в новую или существующую установку Microsoft Entra Connect, это правило создается во время импорта, но атрибуты расширения каталога не будут сопоставлены. Необходимо повторно выбрать атрибуты расширения каталога и повторно связать их с правилом или воссоздать правило полностью, чтобы исправить это.

  • Не все функции в идентификаторе Microsoft Entra поддерживают многозначные атрибуты расширения. Ознакомьтесь с документацией по функции, в которой планируется использовать эти атрибуты для подтверждения их поддержки.

  • Объект в идентификаторе Microsoft Entra может содержать до 100 атрибутов для расширений каталогов. Максимальная длина составляет 250 символов. Если значение атрибута длиннее, модуль синхронизации усечет его.

  • Не поддерживается синхронизация созданных атрибутов, таких как msDS-UserPasswordExpiryTimeComputed. Если вы обновляете старую версию Microsoft Entra Connect, эти атрибуты по-прежнему отображаются в мастере установки, их нельзя включить, так как его значение не будет синхронизироваться с идентификатором Microsoft Entra. Режим обучения.

  • Не поддерживается синхронизация нереплицированных атрибутов, таких как badPwdCount, Last-Logon и Last-Logoff, так как их значения не синхронизируются с идентификатором Microsoft Entra.

  • Не поддерживается управление локальными расширениями каталогов за пределами мастера Microsoft Entra Connect. Изменение или клонирование правил синхронизации для расширений каталогов может привести к проблемам синхронизации.

  • Не поддерживается синхронизация значений атрибутов из Microsoft Entra Connect с атрибутами расширения, которые не создаются Microsoft Entra Connect. Это может привести к проблемам с производительностью и непредвиденным результатам.

Изменения конфигурации в идентификаторе Microsoft Entra, внесенные мастером

Во время установки Microsoft Entra Connect приложение регистрируется, где настроены эти атрибуты. Это приложение можно увидеть в Центре администрирования Microsoft Entra под именем Tenant Schema Extension App. Убедитесь, что выбраны все приложения , чтобы увидеть это приложение.

Приложение для расширения схемы

Примечание.

Приложение расширения схемы клиента — это системное приложение, которое невозможно удалить. Удаление объекта-службы, связанного с приложением расширения схемы клиента нарушает синхронизацию. Чтобы восстановить синхронизацию расширений каталогов, восстановите обратимо удалённый служебный принципал или создайте новый.

Просмотр расширенных атрибутов в идентификаторе Microsoft Entra

Формат расширенных атрибутов extension_{ApplicationId}_<attributeName>, где ApplicationId является идентификатором вашего Приложения Расширения Схемы Клиента. Это значение требуется для всех остальных сценариев в этом разделе.

Использование API Microsoft Graph

Эти атрибуты доступны через API Microsoft Graph с помощью Microsoft Graph Explorer.

В API Microsoft Graph необходимо запрашивать возвращаемые атрибуты. Явным образом выберите такие атрибуты:

https://graph.microsoft.com/beta/users/[email protected]?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

Дополнительные сведения см. в разделе Microsoft Graph: Использование параметров запроса.

Использование пакета SDK Microsoft Graph PowerShell

  1. Получите приложение Tenant Schema Extension App:
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
  1. Перечислить все атрибуты расширения для Приложения расширения схемы арендатора:
Get-MgDirectoryObjectAvailableExtensionProperty
  1. Перечислить все атрибуты расширения для объекта пользователя:
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

Использование Microsoft Entra PowerShell

  1. Получите идентификатор приложения расширения схемы арендатора:
Get-EntraApplication -SearchString "Tenant Schema Extension App"
  1. Список всех атрибутов расширения для приложения расширения схемы арендатора :
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
  1. Перечислить все атрибуты расширения для объекта пользователя:
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

Использование атрибутов в динамических группах членства

Одним из наиболее полезных сценариев является использование атрибутов расширения в динамических группах безопасности или группах Microsoft 365.

  1. Создайте группу в идентификаторе Microsoft Entra. Присвойте ему имя и убедитесь, что тип членства является динамическим пользователем.

    Снимок с новой группой

  2. Выберите Добавить динамический запрос. При просмотре свойств эти расширенные атрибуты отсутствуют, так как их сначала нужно добавить. Щелкните Получить настраиваемые свойства расширения, введите идентификатор приложения и нажмите кнопку Обновить свойства.

    Снимок с добавленными расширениями каталога

  3. Откройте раскрывающийся список свойств и обратите внимание, что добавленные атрибуты теперь отображаются.

    Снимок с новыми атрибутами, отображающимися в интерфейсе пользователя

  4. Чтобы соответствовать вашим требованиям, выполните выражение. В нашем примере для правила задано значение:

    (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")

  5. После создания группы предоставьте Microsoft Entra некоторое время, чтобы заполнить список участников, а затем просмотрите участников.

    Снимок с членами динамической группы

Следующие шаги

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Connect.

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.

  • Last updated on