Sincronización de Microsoft Entra Connect: extensiones de directorio

Puede usar extensiones de directorio para ampliar el esquema de Active Directory local en Microsoft Entra ID con sus propios atributos. Esta característica le permite compilar aplicaciones de LOB mediante el consumo de atributos que sigue administrando de forma local. Estos atributos se pueden consumir mediante extensiones. Puede ver los atributos disponibles mediante el Explorador de Microsoft Graph. También puede usar esta característica para crear grupos dinámicos en Microsoft Entra ID.

En la actualidad, ninguna carga de trabajo de Microsoft 365 consume estos atributos.

Importante

Si ha exportado una configuración que contiene una regla personalizada que se usa para sincronizar los atributos de extensión de directorio e intenta importar esta regla en una instalación nueva o existente de Microsoft Entra Connect, la regla se creará durante la importación, pero los atributos de extensión de directorio no se asignarán. Tendrá que volver a seleccionar los atributos de extensión de directorio y volver a asociarlos a la regla o volver a crear la regla por completo para corregirlo.

Personalización de los atributos que se van a sincronizar con Microsoft Entra ID

Configure qué atributos adicionales desea sincronizar en la ruta de acceso de configuración personalizada en el Asistente para instalación.

Asistente para la extensión de esquema

Nota:

La edición o clonación manual de las reglas de sincronización para las extensiones de directorio puede provocar problemas de sincronización. No se admite la administración de extensiones de directorio fuera de esta página del asistente.

La instalación muestra los atributos siguientes, que son candidatos válidos:

  • Tipos de objetos de usuario y de grupo
  • Atributos de valor único: cadena, booleano, entero, binario
  • Atributos con varios valores: cadena, binario

Nota:

No todas las características de Microsoft Entra ID admiten atributos de extensión con varios valores. Consulte la documentación de la característica en la que planea usar estos atributos para confirmar que se admiten.

La lista de atributos se lee de la memoria caché de esquemas creada durante la instalación de Microsoft Entra Connect. Si ha ampliado el esquema de Active Directory con atributos adicionales, se debe actualizar el esquema para que los nuevos atributos estén visibles.

Un objeto de Microsoft Entra ID puede tener hasta 100 atributos de extensiones de directorio. La longitud máxima es de 250 caracteres. Si un valor de atributo es mayor, el motor de sincronización lo trunca.

Nota

No se admite la sincronización de atributos construidos, como msDS-UserPasswordExpiryTimeComputed. Si actualiza desde una versión anterior de Microsoft Entra Connect, es posible que siga viendo que estos atributos aparecen en el Asistente para la instalación, no debe habilitarlos. Su valor no se sincronizará con Microsoft Entra ID si lo hace. Puede leer más sobre los atributos construidos en este artículo. Tampoco debe intentar sincronizar atributos no replicados, como badPwdCount, Last-Logon y Last-Logoff, ya que sus valores no se sincronizarán con Microsoft Entra ID.

Cambios de configuración en Microsoft Entra ID realizados por el asistente

Durante la instalación de Microsoft Entra Connect, se registra una aplicación donde estos atributos estén disponibles. Puede ver esta aplicación en el Centro de administración de Microsoft Entra. Su nombre es siempre Tenant Schema Extension App.

Aplicación de extensión de esquema

Nota:

La Tenant Schema Extension App es una aplicación solo del sistema que no se puede eliminar y no se pueden quitar las definiciones de extensión de atributo.

Asegúrese de seleccionar Todas las aplicaciones para ver esta aplicación.

Los atributos tienen el prefijo extension _{ApplicationId}_. ApplicationId tiene el mismo valor en todos los atributos del inquilino de Microsoft Entra. Necesitará este valor para los demás escenarios de este tema.

Visualización de atributos mediante Microsoft Graph API

Estos atributos ya están disponibles a través de Microsoft Graph API, mediante el Explorador de Microsoft Graph.

Nota:

En Microsoft Graph API, debe pedir que se devuelvan los atributos. Seleccione los atributos de forma explícita así: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Para más información, consulte Microsoft Graph: Usar parámetros de consulta.

Nota:

No se admite sincronizar los valores de atributo de Microsoft Entra Connect con los atributos de extensión que Microsoft Entra Connect no crea. Si lo hace, pueden producirse problemas de rendimiento y resultados inesperados. Solo se admiten para la sincronización los atributos de extensión creados como se ha mostrado anteriormente.

Uso de los atributos en grupos dinámicos

Uno de los escenarios más útiles consiste en usar estos atributos en grupos dinámicos de seguridad o de Microsoft 365.

  1. Cree un nuevo grupo en Microsoft Entra ID. Asígnele un nombre adecuado y asegúrese de que la opción Tipo de pertenencia está establecida en Usuario dinámico.

    Captura de pantalla con un nuevo grupo

  2. Seleccione Agregar una consulta dinámica. Si examina las propiedades, no verá estos atributos extendidos. Antes debe agregarlos manualmente. Haga clic en Obtener propiedades de extensión personalizadas, escriba el identificador de la aplicación y haga clic en Actualizar propiedades.

    Captura de pantalla en la que se han agregado las extensiones de directorio

  3. Abra la lista desplegable de propiedades y observe que los atributos que ha agregado ahora están visibles.

    Captura de pantalla con los nuevos atributos en la interfaz de usuario

    Complete la expresión para satisfacer sus necesidades. En nuestro ejemplo, la regla se establece en (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") .

  4. Una vez creado el grupo, dé a Microsoft Entra algún tiempo para rellenar los miembros y, a continuación, revíselos.

    Captura de pantalla con miembros en el grupo dinámico

Pasos siguientes

Más información sobre la configuración de la sincronización de Microsoft Entra Connect.

Más información sobre la Integración de las identidades locales con Microsoft Entra ID.