Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung

Microsoft Entra ID muss alle zum Erstellen eines Benutzerprofils erforderlichen Daten (Attribute) enthalten, wenn Benutzerkonten aus Microsoft Entra ID in einer SaaS-App oder in einer lokalen Anwendung bereitgestellt werden. Beim Anpassen von Attributzuordnungen für die Benutzerbereitstellung wird das Attribut, das Sie zuordnen möchten, möglicherweise nicht in der Quellattribut-Liste in Microsoft Entra ID angezeigt. In diesem Artikel wird gezeigt, wie Sie das fehlende Attribut hinzufügen.

Bestimmen, wo die Erweiterungen hinzugefügt werden müssen

Das Hinzufügen fehlender Attribute, die für eine Anwendung erforderlich sind, beginnt entweder lokal in Active Directory oder in Microsoft Entra ID – je nachdem, wo sich die Benutzerkonten befinden und wie sie in Microsoft Entra ID eingebunden werden.

Identifizieren Sie zunächst, welche Benutzerkonten in Ihrem Microsoft Entra-Mandanten Zugriff auf die Anwendung benötigen und daher in der Anwendung bereitgestellt werden müssen.

Ermitteln Sie als Nächstes, was die Quelle des Attributs und die Topologie für die Verwendung dieser Benutzerkonten in Microsoft Entra ID ist.

Quelle des Attributs	Topologie	Erforderliche Schritte
Personalsystem	Mitarbeitende aus dem HR-System werden als Benutzerkonten in Microsoft Entra ID bereitgestellt.	Erstellen Sie ein Erweiterungsattribut in Microsoft Entra ID. Aktualisieren Sie die eingehende HR-Zuordnung, um das Erweiterungsattribut für Microsoft Entra ID-Benutzerkonten aus dem HR-System aufzufüllen.
Personalsystem	Mitarbeitende aus dem HR-System werden als Benutzerkonten in Windows Server AD bereitgestellt. Die Microsoft Entra Connect-Cloudsynchronisierung synchronisiert sie mit Microsoft Entra ID.	Erweitern Sie das AD-Schema bei Bedarf. Erstellen Sie ein Erweiterungsattribut in Microsoft Entra ID mithilfe der Cloudsynchronisierung. Aktualisieren Sie die eingehende HR-Zuordnung, um das Erweiterungsattribut für das AD-Benutzerkonto aus dem HR-System aufzufüllen.
Personalsystem	Mitarbeitende aus dem HR-System werden als Benutzerkonten in Windows Server AD bereitgestellt. Microsoft Entra Connect synchronisiert sie mit Microsoft Entra ID.	Erweitern Sie das AD-Schema bei Bedarf. Erstellen Sie ein Erweiterungsattribut in Microsoft Entra ID mit Microsoft Entra Connect. Aktualisieren Sie die eingehende HR-Zuordnung, um das Erweiterungsattribut für das AD-Benutzerkonto aus dem HR-System aufzufüllen.

Wenn sich die Benutzerkonten Ihrer Organisation bereits in lokalem Active Directory befinden oder Sie sie in Active Directory erstellen, müssen Sie die Benutzerkonten aus Active Directory mit Microsoft Entra ID synchronisieren. Sie können Benutzerkonten und Attribute mithilfe von Microsoft Entra Connect oder der Microsoft Entra Connect-Cloudsynchronisierungsynchronisieren.

1. Erkundigen Sie sich bei den Domänenadmins des lokalen Active Directory, ob die erforderlichen Attribute Teil Objektklasse User des AD DS-Schemas sind. Falls nicht, erweitern Sie das Active Directory Domain Services-Schema in den Domänen, in denen diese Benutzerinnen und Benutzer über Konten verfügen.
2. Konfigurieren Sie Microsoft Entra Connect oder die Microsoft Entra Connect-Cloudsynchronisierung, um die Benutzer mit ihrem Erweiterungsattribut aus Active Directory mit Microsoft Entra ID zu synchronisieren. Beide Lösungen synchronisieren automatisch bestimmte Attribute mit Microsoft Entra ID, aber nicht alle Attribute. Darüber hinaus werden einige standardmäßig synchronisierte Attribute wie etwa sAMAccountName ggf. nicht mit der Graph-API verfügbar gemacht. In diesen Fällen können Sie die Verzeichniserweiterungsfunktion von Microsoft Entra Connect verwenden, um das Attribut mit Microsoft Entra ID zu synchronisieren oder die Microsoft Entra Connect Cloudsynchronisierung verwenden. Auf diese Weise wird das Attribut über die Graph-API und den Microsoft Entra-Bereitstellungsdienst angezeigt.
3. Wenn die Benutzerkonten im lokalen Active Directory noch nicht über die erforderlichen Attribute verfügen, müssen sie in Active Directory aktualisiert werden. Dieses Update kann entweder durch Lesen der Eigenschaften aus Workday oder SAP SuccessFactors oder bei Verwendung eines anderen Personalsystems mithilfe der Inbound HR-API erreicht werden.
4. Warten Sie, bis Microsoft Entra Connect oder die Microsoft Entra Connect-Cloudsynchronisierung die im Active Directory-Schema vorgenommenen Aktualisierungen und die Active Directory-Benutzerkonten mit Microsoft Entra ID synchronisiert hat.

Wenn keines der Benutzerkonten, die Zugriff auf die Anwendung benötigen, aus dem lokalen Active Directory stammt, müssen Sie in Microsoft Entra ID mithilfe von PowerShell oder Microsoft Graph Schemaerweiterungen erstellen, bevor Sie die Bereitstellung für Ihre Anwendung konfigurieren.

In den folgenden Abschnitten erfahren Sie, wie Erweiterungsattribute für einen Mandanten mit reinen Cloudbenutzern und für einen Mandanten mit Active Directory-Benutzern erstellt werden.

Erstellen eines Erweiterungsattributs in einem Mandanten mit reinen Cloudbenutzern

Sie können Microsoft Graph und PowerShell verwenden, um das Benutzerschema für Benutzer in Microsoft Entra ID zu erweitern. Dies ist erforderlich, wenn Sie Benutzerkonten haben, die dieses Attribut benötigen, und keine davon aus dem lokalen Active Directory stammen oder davon synchronisiert werden. (Wenn Sie über Active Directory verfügen, erfahren Sie in diesem Abschnitt weiter unten, wie Sie das Attribut mithilfe der Verzeichniserweiterungsfunktion von Microsoft Entra Connect mit Microsoft Entra ID synchronisieren.)

Nach der Erstellung von Schemaerweiterungen werden diese Erweiterungsattribute in den meisten Fällen beim nächsten Besuch der Bereitstellungsseite im Microsoft Entra Admin Center automatisch erkannt.

Wenn Sie über mehr als 1000 Dienstprinzipale verfügen, stellen Sie möglicherweise fest, dass in der Liste der Quellattribute Erweiterungen fehlen. Wenn ein von Ihnen erstelltes Attribut nicht automatisch angezeigt wird, vergewissern Sie sich, dass das Attribut erstellt wurde, und fügen Sie es dem Schema manuell hinzu. Bestätigen Sie mit Microsoft Graph und Graph-Explorer, dass es erstellt wurde. Informationen zum manuellen Hinzufügen des Attributs zu Ihrem Schema finden Sie unter Bearbeiten der Liste unterstützter Attribute.

Erstellen eines Erweiterungsattributs für reine Cloudbenutzer mithilfe von Microsoft Graph

Sie können das Schema der Microsoft Entra-Benutzer mithilfe von Microsoft Grapherweitern.

Listen Sie zuerst die Apps in Ihrem Mandanten auf, um die ID der APP zu erhalten, an der Sie arbeiten. Weitere Informationen finden Sie unter Auflisten von extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Erstellen Sie als nächstes das Erweiterungsattribut. Ersetzen Sie die ID-Eigenschaft unten durch die ID, die Sie im vorherigen Schritt abgerufen haben. Sie müssen das ID-Attribut und nicht die appId verwenden. Weitere Informationen finden Sie unter [Erstellen von „extensionProperty“]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

Die vorherige Anforderung hat ein Erweiterungsattribut mit dem Format erstellt extension_appID_extensionName . Sie können jetzt einen Benutzer mit diesem Erweiterungsattribut aktualisieren. Weitere Informationen finden Sie unter Aktualisieren des Benutzers.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Überprüfen Sie abschließend das Attribut für den Benutzer. Weitere Informationen finden Sie unter Benutzer erhalten. Graph v1.0 gibt standardmäßig keinerlei Verzeichniserweiterungsattribute von Benutzer*innen zurück, es sei denn, die Attribute werden in der Anforderung als eine der zurückzugebenden Eigenschaften angegeben.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Erstellen eines Erweiterungsattributs für reine Cloudbenutzerkonten mithilfe von PowerShell

Sie können eine benutzerdefinierte Erweiterung mithilfe von PowerShell erstellen.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

#Connect to your Azure AD tenant
Connect-AzureAD

#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp

#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId

#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”

Optional können Sie testen, dass Sie die Erweiterungseigenschaft nur für ein Cloudbenutzerkonto festlegen können.

#List users in your tenant to determine the objectid for your user
Get-AzureADUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”

#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty

Erstellen eines Erweiterungsattributs mithilfe der Cloudsynchronisierung

Wenn Sie Benutzerkonten in Active Directory haben und die Microsoft Entra Connect-Cloudsynchronisierung verwenden, ermittelt die Cloudsynchronisierung automatisch Ihre Erweiterungen in lokalem Active Directory, wenn Sie eine neue Zuordnung hinzufügen. Wenn Sie die Microsoft Entra Connect-Synchronisierung verwenden, lesen Sie im nächsten Abschnitt Erstellen eines Erweiterungsattributs mit Microsoft Entra Connect.

Führen Sie die folgenden Schritte aus, um diese Attribute automatisch zu ermitteln und eine entsprechende Zuordnung zu Microsoft Entra ID einzurichten.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
2. Navigieren Sie zu Identitäts->Hybridverwaltung>Microsoft Entra Connect>Cloud-Synchronisierung.
3. Wählen Sie die Konfiguration aus, der Sie das Erweiterungsattribut und die Zuordnung hinzufügen möchten.
4. Wählen Sie unter Attribute verwalten die Option Zum Bearbeiten von Zuordnungen klicken aus.
5. Wählen Sie Attributzuordnung hinzufügen aus. Die Attribute werden automatisch ermittelt.
6. Die neuen Attribute sind in der Dropdownliste unter Quellattribut verfügbar.
7. Geben Sie den gewünschten Zuordnungstyp ein, und wählen Sie Anwenden aus.

Weitere Informationen finden Sie unter Benutzerdefinierte Attributzuordnung bei der Microsoft Entra Connect-Cloudsynchronisierung.

Erstellen von Erweiterungsattributen mit Microsoft Entra Connect

Falls Benutzerkonten, die auf die Anwendungen zugreifen, aus dem lokalen Active Directory stammen, müssen die Attribute mit den Benutzerkonten aus Active Directory mit Microsoft Entra ID synchronisiert werden. Wenn Sie Microsoft Entra Connect verwenden, müssen Sie vor dem Konfigurieren der Bereitstellung für Ihre Anwendung die folgenden Aufgaben ausführen.

1. Erkundigen Sie sich bei den Domänenadmins des lokalen Active Directory, ob die erforderlichen Attribute Teil Objektklasse User des AD DS-Schemas sind. Falls nicht, erweitern Sie das Active Directory Domain Services-Schema in den Domänen, in denen diese Benutzerinnen und Benutzer über Konten verfügen.

2. Öffnen Sie den Microsoft Entra Connect-Assistenten, wählen Sie „Tasks“ aus, und klicken Sie auf Synchronisierungsoptionen anpassen.

3. Melden Sie sich als globaler Administrator an.

4. Wählen Sie auf der Seite Optionale FeaturesVerzeichniserweiterungen-Attributsynchronisierung aus.

5. Wählen Sie das Attribut bzw. die Attribute aus, die Sie mit Microsoft Entra ID erweitern möchten.

   Hinweis

   Bei der Suche im Feld Verfügbare Attribute wird die Groß-/Kleinschreibung berücksichtigt.

6. Beenden Sie den Microsoft Entra Connect-Assistenten, und führen Sie einen vollständigen Synchronisierungszyklus aus. Nach Abschluss des Synchronisierungszyklus wird das Schema erweitert, und die neuen Werte werden zwischen Ihrem lokalen AD und Microsoft Entra ID synchronisiert.

Hinweis

Die Möglichkeit des Bereitstellens von Verweisattributen aus lokalen AD-Instanzen (z. B. managedBy oder DN/DistinguishedName) wird derzeit nicht unterstützt. Sie können dieses Feature über User Voice anfordern.

Befüllen und Verwenden des neuen Attributs

Während der Bearbeitung von Benutzerattributzuordnungen im Microsoft Entra Admin Center für einmaliges Anmelden oder Bereitstellen von Microsoft Entra ID an eine Anwendung enthält die Liste Quellattribute nun das hinzugefügte Attribut im Format <attributename> (extension_<appID>_<attributename>), wobei „appID“ der Bezeichner einer Platzhalteranwendung in Ihrem Mandanten ist. Wählen Sie das Attribut aus, und ordnen Sie es der Zielanwendung für die Bereitstellung zu.

Anschließend müssen Sie diese Benutzerkonten, die der Anwendung zugewiesen sind, mit dem erforderlichen Attribut auffüllen, bevor Sie die Bereitstellung für die Anwendung aktivieren. Wenn das Attribut nicht aus Active Directory stammt, gibt es fünf Möglichkeiten, die Benutzerkonten im großen Maßstab zu befüllen:

• Wenn die Eigenschaften in einem HR-System stammen und Sie die Mitarbeitenden aus diesem HR-System als Benutzerkonten in Active Directory bereitstellen, konfigurieren Sie eine Zuordnung von Workday,SAP SuccessFactors oder wenn Sie ein anderes HR-System verwenden, indem Sie die Inbound HR-API zum Active Directory-Attribut verwenden. Warten Sie dann, bis Microsoft Entra Connect die im Active Directory-Schema vorgenommenen Aktualisierungen und die Active Directory-Benutzerkonten mit Microsoft Entra ID synchronisiert hat.
• Wenn die Eigenschaften aus einem HR-System stammen und Sie Active Directory nicht verwenden, können Sie eine Zuordnung von Workday, SAP SuccessFactors oder anderen über die Inbound-API zum Microsoft Entra-Benutzerattribut konfigurieren.
• Wenn die Eigenschaften aus einem anderen lokalen System stammen, können Sie den MIM-Connector für Microsoft Graph konfigurieren, um Microsoft Entra-Benutzerkonten zu erstellen oder zu aktualisieren.
• Wenn die Eigenschaften von den Benutzern selbst stammen, können Sie die Benutzer bitten, die Werte des Attributs anzugeben, wenn sie Zugriff auf die Anwendung anfordern, indem Sie die Attributanforderungen in den Berechtigungsverwaltungskatalog aufnehmen.
• In allen anderen Situationen kann eine benutzerdefinierte Anwendung die Benutzer über die API Microsoft Graph aktualisieren.

Nächste Schritte

• Attribute-based application provisioning with scoping filters (Definieren des Geltungsbereichs für die Bereitstellung)