Azure AD Connect Sync: Verzeichniserweiterungen
Sie können Verzeichniserweiterungen verwenden, um das Schema in Azure Active Directory (Azure AD) um Ihre eigenen Attribute aus dem lokalen Active Directory zu erweitern. Dank dieses Features können Sie Branchen-Apps erstellen, indem Sie Attribute nutzen, die Sie weiterhin lokal verwalten. Diese Attribute können über Erweiterungen genutzt werden. Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen. Sie können diese Funktion auch zum Erstellen dynamischer Gruppen in Azure AD verwenden.
Derzeit werden diese Attribute von keiner Microsoft 365-Workload genutzt.
Wichtig
Wenn Sie eine Konfiguration exportiert haben, die eine benutzerdefinierte Regel zum Synchronisieren von Verzeichniserweiterungsattributen enthält, und Sie versuchen, diese Regel in eine neue oder vorhandene Azure AD Connect-Installation zu importieren, wird die Regel während des Imports erstellt, aber die Verzeichniserweiterungsattribute werden nicht zugeordnet. Sie müssen erneut die Verzeichniserweiterungsattribute auswählen und der Regel zuordnen oder diese Regel vollständig neu erstellen, um dieses Problem zu beheben.
Anpassen der mit Azure AD zu synchronisierenden Attribute
Sie konfigurieren im Installations-Assistenten im Pfad der benutzerdefinierten Einstellungen, welche zusätzlichen Attribute synchronisiert werden sollen.
Hinweis
In Versionen von Azure AD Connect vor 1.2.65.0 wird im Suchfeld für Verfügbare Attribute die Groß-/Kleinschreibung beachtet.
Bei der Installation werden folgenden Attribute als zulässige Kandidaten angezeigt:
- Benutzer- und Gruppenobjekttypen
- Einwertige Attribute: Zeichenfolge, Boolescher Wert, ganze Zahl, Binärwert
- Mehrwertige Attribute: Zeichenfolge, Binärwert
Hinweis
Nicht alle Funktionen in Azure Active Directory unterstützen mehrwertige Erweiterungsattribute. Bitte lesen Sie die Dokumentation des Merkmals, in dem Sie diese Attribute verwenden möchten, um sicherzustellen, dass sie unterstützt werden. Die Attributliste wird aus dem Schemacache gelesen, der im Zuge der Installation von Azure AD Connect erstellt wird. Wenn Sie das Active Directory-Schema um zusätzliche Attribute erweitert haben, müssen Sie das Schema aktualisieren, damit die neuen Attribute angezeigt werden.
Ein Objekt in Azure AD kann bis zu 100 Attribute für Verzeichniserweiterungen aufweisen. Die maximale Länge beträgt 250 Zeichen. Längere Attributwerte werden vom Synchronisierungsmodul gekürzt.
Hinweis
Es wird nicht unterstützt, konstruierte Attribute wie „msDS-UserPasswordExpiryTimeComputed“ zu synchronisieren. Wenn Sie ein Upgrade von einer alten Version von AADConnect durchführen, werden diese Attribute möglicherweise noch im Installations-Assistenten angezeigt, Sie sollten sie jedoch nicht aktivieren. Ihr Wert wird in diesem Fall nicht mit Azure AD synchronisiert. Weitere Informationen zu konstruierten Attributen finden Sie in diesem Artikel. Sie sollten auch nicht versuchen, nicht replizierte Attribute wie „badPwdCount“, „Last-Logon“ und „Last-Logoff“ zu synchronisieren, da ihre Werte nicht mit Azure AD synchronisiert werden.
Konfigurationsänderungen in Azure AD, die vom Assistenten vorgenommen wurden
Während der Installation von Azure AD Connect wird eine Anwendung registriert, in der diese Attribute verfügbar sind. Diese Anwendung wird im Azure-Portal angezeigt. Ihr Name ist immer Tenant Schema Extension App .
Zum Anzeigen dieser App müssen Sie Alle Anwendungen auswählen.
Die Attribute weisen das Präfix extension _{ApplicationId}_ auf. Die Anwendungs-ID (ApplicationId) besitzt für alle Attribute in Ihrem Azure AD-Mandanten den gleichen Wert. Dieser Wert wird für alle anderen Szenarien in diesem Thema benötigt.
Anzeigen von Attributen mit der Microsoft Graph-API
Diese Attribute sind jetzt in Microsoft Graph-Explorer über die Microsoft Graph-API verfügbar.
Hinweis
In der Microsoft Graph-API müssen Sie die zurückzugebenden Attribute anfordern. Wählen Sie die Attribute wie folgt explizit aus: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.
Weitere Informationen finden Sie unter Microsoft Graph: Verwenden von Abfrageparametern.
Hinweis
Das Synchronisieren von Attributwerten aus AAD Connect mit Erweiterungsattributen, die nicht von AAD Connect erstellt wurden, wird nicht unterstützt. Dies kann zu einer Beeinträchtigung der Leistung und zu unerwarteten Ergebnissen führen. Nur Erweiterungsattribute, die wie oben gezeigt erstellt wurden, werden für die Synchronisierung unterstützt.
Verwenden der Attribute in dynamischen Gruppen
Eines der nützlicheren Szenarien ist die Verwendung dieser Attribute in dynamischen Sicherheits- oder Microsoft 365-Gruppen.
Erstellen Sie eine neue Gruppe in Azure AD. Vergeben Sie einen geeigneten Namen, und stellen Sie sicher, dass Dynamischer Benutzer für Mitgliedschaftstyp ausgewählt ist.
Wählen Sie Dynamische Abfrage hinzufügen aus. Wenn Sie sich die Eigenschaften ansehen, werden diese erweiterten Attribute nicht angezeigt. Sie müssen diese zunächst manuell hinzufügen. Klicken Sie auf Benutzerdefinierte Erweiterungseigenschaften abrufen, geben Sie die Anwendungs-ID ein, und klicken Sie auf Eigenschaften aktualisieren.
Öffnen Sie die Dropdownliste mit Eigenschaften. Die von Ihnen hinzugefügten Attribute sind nun sichtbar.
Vervollständigen Sie den Ausdruck entsprechend Ihren Anforderungen. In unserem Beispiel wird die Regel auf (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") festgelegt.
Geben Sie Azure AD nach dem Erstellen der Gruppe eine gewisse Zeit zum Hinzufügen der Mitglieder, und überprüfen Sie diese dann.
Nächste Schritte
Weitere Informationen zur Konfiguration der Azure AD Connect-Synchronisierung .
Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.