Freigeben über

Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen

Sie können Verzeichniserweiterungen verwenden, um das Schema in Microsoft Entra ID um Ihre eigenen Attribute aus dem lokalen Active Directory zu erweitern. Dank dieses Features können Sie LOB-Apps erstellen, indem Sie Attribute nutzen, die Sie weiterhin lokal verwalten. Diese Attribute können über Erweiterungen genutzt werden. Sie können die verfügbaren Attribute mithilfe von Microsoft Graph Explorer, Microsoft Graph PowerShell SDK oder Microsoft Entra PowerShell anzeigen. Derzeit verbraucht keine Microsoft 365-Workload diese Attribute, aber Sie können dieses Feature mit dynamischen Gruppenmitgliedschaften in Microsoft Entra ID verwenden.

Wählen Sie aus, welche Attribute mit der Microsoft Entra-ID synchronisiert werden sollen.

Sie konfigurieren in den benutzerdefinierten Einstellungen, welche erweiterten Attribute Sie mithilfe des Konfigurations-Assistenten von Microsoft Entra Connect synchronisieren möchten.

Schemaerweiterungs-Assistent

Der Assistent zeigt die Attribute an, die gültige Kandidaten für die Verwendung mit Verzeichniserweiterungen sind:

  • Benutzer- und Gruppenobjekttypen
  • Einwertige Attribute: Zeichenfolge, Boolescher Wert, ganze Zahl, Binärwert
  • Mehrwertige Attribute: Zeichenfolge, Binärwert

Wichtige Überlegungen bei der Verwendung von Verzeichniserweiterungen

  • Die Liste der Attribute wird während der Erstinstallation von Microsoft Entra Connect aus dem Active Directory-Schema gelesen. Wenn Sie das Active Directory-Schema mit mehr benutzerdefinierten Attributen erweitern, müssen Sie das Schema aktualisieren , bevor diese neuen Attribute sichtbar sind.

  • Wenn Sie eine Konfiguration exportiert haben, die eine benutzerdefinierte Regel enthält, die zum Synchronisieren von Verzeichniserweiterungsattributen verwendet wird, und Sie versuchen, diese Regel in eine neue oder vorhandene Installation von Microsoft Entra Connect zu importieren, wird die Regel beim Import erstellt, die Verzeichniserweiterungsattribute werden jedoch nicht zugeordnet. Sie müssen die Verzeichniserweiterungsattribute erneut auswählen und sie der Regel erneut zuordnen oder die Regel vollständig neu erstellen, um dies zu beheben.

  • Nicht alle Funktionen in Microsoft Entra ID unterstützen mehrwertige Erweiterungsattribute. Lesen Sie die Dokumentation des Features, in dem Sie diese Attribute verwenden möchten, um zu bestätigen, dass sie unterstützt werden.

  • Ein Objekt in Microsoft Entra ID kann bis zu 100 Attribute für Verzeichniserweiterungen aufweisen. Die maximale Länge beträgt 250 Zeichen. Längere Attributwerte werden vom Synchronisierungsmodul gekürzt.

  • Es wird nicht unterstützt, konstruierte Attribute wie msDS-UserPasswordExpiryTimeComputed zu synchronisieren. Wenn Sie ein Upgrade von einer alten Version von Microsoft Entra Connect durchführen, werden diese Attribute möglicherweise weiterhin im Installations-Assistenten angezeigt, sollten Sie sie nicht aktivieren, da der Wert nicht mit Microsoft Entra ID synchronisiert wird. Lernmodus.

  • Es wird nicht unterstützt, nicht replizierte Attribute wie badPwdCount, Last-Logon und Last-Logoff zu synchronisieren, da ihre Werte nicht mit Microsoft Entra ID synchronisiert werden.

  • Es wird nicht unterstützt, lokale Verzeichniserweiterungen außerhalb des Microsoft Entra Connect-Assistenten zu verwalten. Manuelles Bearbeiten oder Klonen der Synchronisierungsregeln für Verzeichniserweiterungen kann zu Synchronisierungsproblemen führen.

  • Es wird nicht unterstützt, Attributwerte von Microsoft Entra Connect mit Erweiterungsattributen zu synchronisieren, die nicht von Microsoft Entra Connect erstellt werden. Dies kann zu einer Beeinträchtigung der Leistung und zu unerwarteten Ergebnissen führen.

Konfigurationsänderungen an Microsoft Entra ID durch den Assistenten

Während der Installation von Microsoft Entra Connect wird eine Anwendung registriert, in der diese Attribute konfiguriert sind. Sie können diese Anwendung im Microsoft Entra Admin Center mit dem Namen Tenant Schema Extension App sehen. Stellen Sie sicher, dass Sie "Alle Anwendungen" auswählen, um diese App anzuzeigen.

Schemaerweiterungs-App

Hinweis

Die Mandantenschemaerweiterungs-App ist eine systemgeschützte Anwendung, die nicht gelöscht werden kann. Beim Löschen des Dienstprinzipals, der der Tenant Schema Extension App zugeordnet ist, wird die Synchronisierung unterbrochen. Um die Synchronisierung von Verzeichniserweiterungen wiederherzustellen, stellen Sie den vorläufig gelöschten Dienstprinzipal wieder her oder erstellen einen neuen.

Anzeigen erweiterter Attribute in der Microsoft Entra-ID

Das Format der erweiterten Attribute lautet extension_{ApplicationId}_<attributeName>, wobei ApplicationId der Anwendungsbezeichner Ihrer Mandantenschemaerweiterungs-App ist. Sie benötigen diesen Wert für alle anderen Szenarien in diesem Thema.

Verwenden der Microsoft Graph-API

Diese Attribute stehen über die Microsoft Graph-API mithilfe von Microsoft Graph-Explorer zur Verfügung.

In der Microsoft Graph-API müssen Sie die zurückzugebenden Attribute anfordern. Wählen Sie die Attribute wie folgt explizit aus:

https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

Weitere Informationen finden Sie unter Microsoft Graph: Verwenden von Abfrageparametern.

Verwenden des Microsoft Graph PowerShell SDK

  1. Holen Sie sich die Mandantenschemaerweiterungs-App:
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
  1. Alle Erweiterungsattribute für die Mandantenschemaerweiterungs-App auflisten:
Get-MgDirectoryObjectAvailableExtensionProperty
  1. Alle Erweiterungsattribute für ein Benutzerobjekt auflisten:
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

Verwenden der Microsoft Entra PowerShell

  1. Rufen Sie die Anwendungs-ID für die Mandantenschema-Erweiterungs-App ab:
Get-EntraApplication -SearchString "Tenant Schema Extension App"
  1. Alle Erweiterungsattribute für die Anwendung "Mandantenschemaerweiterungs-App " auflisten:
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
  1. Alle Erweiterungsattribute für ein Benutzerobjekt auflisten:
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

Verwenden der Attribute in dynamischen Mitgliedschaftsgruppen

Eines der nützlichsten Szenarien ist die Verwendung von Erweiterungsattributen in dynamischen Sicherheits- oder Microsoft 365-Gruppen.

  1. Erstellen Sie eine neue Gruppe in Microsoft Entra ID. Geben Sie ihm einen Namen, und stellen Sie sicher, dass der Mitgliedschaftstyp"Dynamischer Benutzer" ist.

    Screenshot mit einer neuen Gruppe

  2. Wählen Sie Dynamische Abfrage hinzufügen aus. Wenn Sie sich die Eigenschaften ansehen, fehlen diese erweiterten Attribute, da Sie sie zuerst hinzufügen müssen. Klicken Sie auf Benutzerdefinierte Erweiterungseigenschaften abrufen, geben Sie die Anwendungs-ID ein, und klicken Sie auf Eigenschaften aktualisieren.

    Screenshot, auf dem Verzeichniserweiterungen hinzugefügt wurden

  3. Öffnen Sie die Dropdownliste mit Eigenschaften. Die von Ihnen hinzugefügten Attribute sind nun sichtbar.

    Screenshot mit neuen Attributen, die auf der Benutzeroberfläche angezeigt werden

  4. Um Ihren Anforderungen zu entsprechen, füllen Sie den Ausdruck aus. In unserem Beispiel wird die Regel auf Folgendes festgelegt:

    (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")

  5. Nachdem die Gruppe erstellt wurde, geben Sie Microsoft Entra einige Zeit, um die Mitglieder aufzufüllen und dann die Mitglieder zu überprüfen.

    Screenshot mit Mitgliedern in der dynamischen Gruppe

Nächste Schritte

Weitere Informationen finden Sie in der Konfiguration der Microsoft Entra Connect-Synchronisierung.

Erfahren Sie mehr über das Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.