Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen

  • Artikel

Sie können Verzeichniserweiterungen verwenden, um das Schema in Microsoft Entra ID um Ihre eigenen Attribute aus dem lokalen Active Directory zu erweitern. Dank dieses Features können Sie Branchen-Apps erstellen, indem Sie Attribute nutzen, die Sie weiterhin lokal verwalten. Diese Attribute können über Erweiterungen genutzt werden. Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen. Sie können diese Funktion auch zum Erstellen dynamischer Gruppen in Microsoft Entra ID verwenden.

Derzeit werden diese Attribute von keiner Microsoft 365-Workload genutzt.

Wichtig

Wenn Sie eine Konfiguration exportiert haben, die eine benutzerdefinierte Regel zum Synchronisieren von Verzeichniserweiterungsattributen enthält, und Sie versuchen, diese Regel in eine neue oder vorhandene Microsoft Entra Connect-Installation zu importieren, wird die Regel beim Import erstellt, aber die Verzeichniserweiterungsattribute werden nicht zugeordnet. Sie müssen erneut die Verzeichniserweiterungsattribute auswählen und der Regel zuordnen oder diese Regel vollständig neu erstellen, um dieses Problem zu beheben.

Anpassen der mit Microsoft Entra ID zu synchronisierenden Attribute

Sie konfigurieren im Installations-Assistenten im Pfad der benutzerdefinierten Einstellungen, welche zusätzlichen Attribute synchronisiert werden sollen.

Schemaerweiterungs-Assistent

Hinweis

Manuelles Bearbeiten oder Klonen der Synchronisierungsregeln für Verzeichniserweiterungen kann zu Synchronisierungsproblemen führen. Es wird nicht unterstützt, Verzeichniserweiterungen außerhalb dieser Assistentenseite zu verwalten.

Bei der Installation werden folgenden Attribute als zulässige Kandidaten angezeigt:

  • Benutzer- und Gruppenobjekttypen
  • Einwertige Attribute: Zeichenfolge, Boolescher Wert, ganze Zahl, Binärwert
  • Mehrwertige Attribute: Zeichenfolge, Binärwert

Hinweis

Nicht alle Features in Microsoft Entra ID unterstützen mehrwertige Erweiterungsattribute. Bitte lesen Sie die Dokumentation des Merkmals, in dem Sie diese Attribute verwenden möchten, um sicherzustellen, dass sie unterstützt werden.

Die Attributliste wird aus dem Schemacache gelesen, der bei der Installation von Microsoft Entra Connect erstellt wird. Wenn Sie das Active Directory-Schema um zusätzliche Attribute erweitert haben, müssen Sie das Schema aktualisieren, damit die neuen Attribute angezeigt werden.

Ein Objekt in Microsoft Entra ID kann bis zu 100 Attribute für Verzeichniserweiterungen aufweisen. Die maximale Länge beträgt 250 Zeichen. Längere Attributwerte werden vom Synchronisierungsmodul gekürzt.

Hinweis

Es wird nicht unterstützt, konstruierte Attribute wie „msDS-UserPasswordExpiryTimeComputed“ zu synchronisieren. Wenn Sie ein Upgrade von einer alten Version von Microsoft Entra Connect durchführen, werden diese Attribute möglicherweise noch im Installationsassistenten angezeigt, Sie sollten sie jedoch nicht aktivieren. In diesem Fall wird deren Wert nicht mit Microsoft Entra ID synchronisiert. Weitere Informationen zu konstruierten Attributen finden Sie in diesem Artikel. Sie sollten auch nicht versuchen, nicht replizierte Attribute wie badPwdCount, Last-Logon und Last-Logoff zu synchronisieren, da ihre Werte nicht mit Microsoft Entra ID synchronisiert werden.

Konfigurationsänderungen an Microsoft Entra ID, die vom Assistenten vorgenommen werden

Während der Installation von Microsoft Entra Connect wird eine Anwendung registriert, in der diese Attribute verfügbar sind. Sie sehen diese Anwendung im Microsoft Entra Admin Center. Ihr Name ist immer Tenant Schema Extension App .

Schemaerweiterungs-App

Hinweis

Die Tenant Schema Extension App ist eine reine Systemanwendung, die nicht gelöscht werden kann. Ebenso wenig können Attributerweiterungsdefinitionen entfernt werden.

Zum Anzeigen dieser App müssen Sie Alle Anwendungen auswählen.

Die Attribute weisen das Präfix extension _{ApplicationId}_ auf. Die ApplicationId weist für alle Attribute in Ihrem Microsoft Entra-Mandanten den gleichen Wert auf. Dieser Wert wird für alle anderen Szenarien in diesem Thema benötigt.

Anzeigen von Attributen mit der Microsoft Graph-API

Diese Attribute sind jetzt in Microsoft Graph-Explorer über die Microsoft Graph-API verfügbar.

Hinweis

In der Microsoft Graph-API müssen Sie die zurückzugebenden Attribute anfordern. Wählen Sie die Attribute wie folgt explizit aus: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Weitere Informationen finden Sie unter Microsoft Graph: Verwenden von Abfrageparametern.

Hinweis

Es wird nicht unterstützt, Attributwerte von Microsoft Entra Connect mit Erweiterungsattributen zu synchronisieren, die nicht von Microsoft Entra Connect erstellt werden. Dies kann zu einer Beeinträchtigung der Leistung und zu unerwarteten Ergebnissen führen. Nur Erweiterungsattribute, die wie oben gezeigt erstellt wurden, werden für die Synchronisierung unterstützt.

Verwenden der Attribute in dynamischen Gruppen

Eines der nützlicheren Szenarien ist die Verwendung dieser Attribute in dynamischen Sicherheits- oder Microsoft 365-Gruppen.

  1. Erstellen Sie eine neue Gruppe in Microsoft Entra ID. Vergeben Sie einen geeigneten Namen, und stellen Sie sicher, dass Dynamischer Benutzer für Mitgliedschaftstyp ausgewählt ist.

    Screenshot mit einer neuen Gruppe

  2. Wählen Sie Dynamische Abfrage hinzufügen aus. Wenn Sie sich die Eigenschaften ansehen, werden diese erweiterten Attribute nicht angezeigt. Sie müssen diese zunächst manuell hinzufügen. Klicken Sie auf Benutzerdefinierte Erweiterungseigenschaften abrufen, geben Sie die Anwendungs-ID ein, und klicken Sie auf Eigenschaften aktualisieren.

    Screenshot, auf dem Verzeichniserweiterungen hinzugefügt wurden

  3. Öffnen Sie die Dropdownliste mit Eigenschaften. Die von Ihnen hinzugefügten Attribute sind nun sichtbar.

    Screenshot mit neuen Attributen, die auf der Benutzeroberfläche angezeigt werden

    Vervollständigen Sie den Ausdruck entsprechend Ihren Anforderungen. In unserem Beispiel wird die Regel auf (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") festgelegt.

  4. Geben Sie Microsoft Entra nach dem Erstellen der Gruppe eine gewisse Zeit zum Hinzufügen der Mitglieder, und überprüfen Sie diese dann.

    Screenshot mit Mitgliedern in der dynamischen Gruppe

Nächste Schritte

Weitere Informationen finden Sie in der Konfiguration von Microsoft Entra Connect Sync.

Erfahren Sie mehr über das Integrieren Ihrer lokalen Identitäten mit Microsoft Entra ID.