Bővítményattribútumok szinkronizálása a Microsoft Entra-alkalmazáskiépítéshez

A Microsoft Entra-azonosítónak tartalmaznia kell a felhasználói profil létrehozásához szükséges összes adatot (attribútumot), amikor felhasználói fiókokat épít ki a Microsoft Entra ID-ból egy SaaS-alkalmazásba vagy helyszíni alkalmazásba. A felhasználói kiépítés attribútumleképezéseinek testreszabásakor előfordulhat, hogy a megfeleltetni kívánt attribútum nem jelenik meg a Microsoft Entra ID forrásattribútum-listájában . Ez a cikk bemutatja, hogyan vehet fel hiányzó attribútumot.

Annak meghatározása, hogy hol kell hozzáadni a bővítményeket

Az alkalmazásokhoz szükséges hiányzó attribútumok hozzáadása helyi Active Directory vagy Microsoft Entra-azonosítóban kezdődik, attól függően, hogy hol találhatók a felhasználói fiókok, és hogyan kerülnek be a Microsoft Entra-azonosítóba.

Először is határozza meg, hogy a Microsoft Entra-bérlő mely felhasználóinak kell hozzáférnie az alkalmazáshoz, ezért az alkalmazásba való üzembe helyezés hatókörébe tartoznak.

Ezután állapítsa meg, hogy mi az attribútum forrása és a topológia a felhasználók Microsoft Entra-azonosítóba való behozásának módjához.

Az attribútum forrása	Topológia	Szükséges lépések
HR-rendszer	A HR-rendszer dolgozói felhasználókként vannak kiépítve a Microsoft Entra-azonosítóba.	Bővítményattribútum létrehozása a Microsoft Entra-azonosítóban. Frissítse a hr bejövő leképezést, hogy feltöltse a bővítményattribútumot a Microsoft Entra ID-felhasználókon a HR-rendszerből.
HR-rendszer	A HR-rendszer dolgozói felhasználókként vannak kiépítve a Windows Server AD-be. A Microsoft Entra Csatlakozás felhőszinkronizálás szinkronizálja őket a Microsoft Entra-azonosítóba.	Szükség esetén bővítse ki az AD-sémát. Hozzon létre egy bővítményattribútumot a Microsoft Entra ID-ban a felhőszinkronizálás használatával. Frissítse a hr bejövő leképezést, hogy feltöltse az AD-felhasználó bővítményattribútumát a HR-rendszerből.
HR-rendszer	A HR-rendszer dolgozói felhasználókként vannak kiépítve a Windows Server AD-be. A Microsoft Entra Csatlakozás szinkronizálja őket a Microsoft Entra-azonosítóval.	Szükség esetén bővítse ki az AD-sémát. Hozzon létre egy bővítményattribútumot a Microsoft Entra-azonosítóban a Microsoft Entra Csatlakozás használatával. Frissítse a hr bejövő leképezést, hogy feltöltse az AD-felhasználó bővítményattribútumát a HR-rendszerből.

Ha a szervezet felhasználói már helyi Active Directory vannak, vagy az Active Directoryban hozza létre őket, szinkronizálnia kell a felhasználókat az Active Directoryból a Microsoft Entra-azonosítóba. A felhasználókat és attribútumokat a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálással szinkronizálhatja.

1. Ellenőrizze a helyi Active Directory tartománygazdákat, hogy a szükséges attribútumok az AD DS sémaobjektum-osztályának User részei-e, és ha nem, akkor terjessze ki a Active Directory tartományi szolgáltatások sémát azon tartományokban, ahol a felhasználók rendelkeznek fiókkal.
2. Konfigurálja a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálást, hogy szinkronizálja a felhasználókat az Active Directory bővítményattribútumával a Microsoft Entra-azonosítóval. Mindkét megoldás automatikusan szinkronizál bizonyos attribútumokat a Microsoft Entra ID-val, de nem minden attribútummal. Ezenkívül előfordulhat, hogy az alapértelmezés szerint szinkronizált attribútumok (például sAMAccountName) nem lesznek elérhetők a Graph API használatával. Ezekben az esetekben a Microsoft Entra Csatlakozás címtárbővítmény-funkcióval szinkronizálhatja az attribútumot a Microsoft Entra-azonosítóval, vagy használhatja a Microsoft Entra Csatlakozás felhőszinkronizálást. Így az attribútum látható a Graph API és a Microsoft Entra kiépítési szolgáltatás számára.
3. Ha a helyi Active Directory felhasználói még nem rendelkeznek a szükséges attribútumokkal, frissítenie kell a felhasználókat az Active Directoryban. Ez a frissítés elvégezhető a Workday tulajdonságainak beolvasásával, az SAP SuccessFactors szolgáltatásból, vagy ha egy másik HR-rendszert használ a bejövő HR API használatával.
4. Várja meg, amíg a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálással szinkronizálja az Active Directory-sémában és az Active Directory-felhasználókban végrehajtott frissítéseket a Microsoft Entra-azonosítóba.

Ha az alkalmazáshoz hozzáférésre szoruló felhasználók egyike sem helyi Active Directory származik, akkor a Microsoft Entra ID-ban a PowerShell vagy a Microsoft Graph használatával sémabővítményeket kell létrehoznia, mielőtt konfigurálja az alkalmazás üzembe helyezését.

Az alábbi szakaszok azt ismertetik, hogyan hozhat létre bővítményattribútumokat a csak felhőalapú felhasználókkal rendelkező bérlők, valamint az Active Directory-felhasználókkal rendelkező bérlők számára.

Bővítményattribútum létrehozása csak felhőalapú felhasználókkal rendelkező bérlőben

A Microsoft Graph és a PowerShell használatával kibővítheti a felhasználói sémát a Microsoft Entra ID-ban lévő felhasználók számára. Erre akkor van szükség, ha vannak olyan felhasználók, akiknek szüksége van erre az attribútumra, és egyik sem származik vagy szinkronizálódik helyi Active Directory. (Ha rendelkezik Active Directoryval, akkor folytassa az alábbi, a Microsoft Entra Csatlakozás címtárbővítmény funkcióval az attribútum Microsoft Entra-azonosítóval való szinkronizálását ismertető szakaszban.)

A sémabővítmények létrehozása után a rendszer automatikusan felderíti ezeket a bővítményattribútumokat, amikor a Microsoft Entra felügyeleti központban a kiépítési lapot legközelebb felkeresi, a legtöbb esetben.

Ha több mint 1000 szolgáltatásnévvel rendelkezik, előfordulhat, hogy a bővítmények hiányoznak a forrásattribútumok listájában. Ha egy létrehozott attribútum nem jelenik meg automatikusan, ellenőrizze, hogy az attribútum létrejött-e, és manuálisan adja hozzá a sémához. A létrehozás ellenőrzéséhez használja a Microsoft Graph és a Graph Explorert. Ha manuálisan szeretné hozzáadni a sémához, olvassa el a támogatott attribútumok listájának szerkesztésével kapcsolatos témakört.

Bővítményattribútum létrehozása csak felhőbeli felhasználók számára a Microsoft Graph használatával

A Microsoft Entra-felhasználók sémáját a Microsoft Graph használatával bővítheti.

Először listázhatja a bérlőben lévő alkalmazásokat, hogy lekérje a használt alkalmazás azonosítóját. További információ: List extensionProperties.

GET https://graph.microsoft.com/v1.0/applications

Ezután hozza létre a bővítményattribútumot. Cserélje le az alábbi azonosító tulajdonságot az előző lépésben lekért azonosítóra . Az "ID" attribútumot kell használnia, nem pedig az "appId"-t. További információ: [Create extensionProperty]/graph/api/application-post-extensionproperty).

POST https://graph.microsoft.com/v1.0/applications/{id}/extensionProperties
Content-type: application/json

{
    "name": "extensionName",
    "dataType": "string",
    "targetObjects": [
      "User"
    ]
}

Az előző kérés létrehozott egy kiterjesztésattribútumot a formátummal extension_appID_extensionName. Mostantól frissíthet egy felhasználót ezzel a bővítményattribútummal. További információ: Felhasználó frissítése.

PATCH https://graph.microsoft.com/v1.0/users/{id}
Content-type: application/json

{
  "extension_inputAppId_extensionName": "extensionValue"
}

Végül ellenőrizze a felhasználó attribútumát. További információ: Felhasználó lekérése. Az 1.0-s gráf alapértelmezés szerint nem ad vissza egy felhasználó címtárbővítmény-attribútumait, kivéve, ha az attribútumok a kérésben a visszaadandó tulajdonságok egyikeként vannak megadva.

GET https://graph.microsoft.com/v1.0/users/{id}?$select=displayName,extension_inputAppId_extensionName

Bővítményattribútum létrehozása csak felhőbeli felhasználók számára a PowerShell használatával

Egyéni bővítményt a PowerShell használatával hozhat létre.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

#Connect to your Azure AD tenant
Connect-AzureAD

#Create an application (you can instead use an existing application if you would like)
$App = New-AzureADApplication -DisplayName “test app name” -IdentifierUris https://testapp

#Create a service principal
New-AzureADServicePrincipal -AppId $App.AppId

#Create an extension property
New-AzureADApplicationExtensionProperty -ObjectId $App.ObjectId -Name “TestAttributeName” -DataType “String” -TargetObjects “User”

Opcionálisan tesztelheti, hogy a bővítménytulajdonságot csak felhőbeli felhasználókon állíthatja-e be.

#List users in your tenant to determine the objectid for your user
Get-AzureADUser

#Set a value for the extension property on the user. Replace the objectid with the ID of the user and the extension name with the value from the previous step
Set-AzureADUserExtension -objectid 0ccf8df6-62f1-4175-9e55-73da9e742690 -ExtensionName “extension_6552753978624005a48638a778921fan3_TestAttributeName”

#Verify that the attribute was added correctly.
Get-AzureADUser -ObjectId 0ccf8df6-62f1-4175-9e55-73da9e742690 | Select -ExpandProperty ExtensionProperty

Bővítményattribútum létrehozása felhőszinkronizálással

Ha az Active Directoryban vannak felhasználói, és a Microsoft Entra Csatlakozás felhőszinkronizálást használja, a felhőszinkronizálás automatikusan felderíti a bővítményeket helyi Active Directory, amikor új leképezést szeretne hozzáadni. Ha Microsoft Entra Csatlakozás szinkronizálást használ, akkor folytassa az olvasást a következő szakaszban, és hozzon létre egy bővítményattribútumot a Microsoft Entra Csatlakozás használatával.

Az alábbi lépésekkel automatikusan feltárhatja ezeket az attribútumokat, és beállíthat egy megfelelő leképezést a Microsoft Entra-azonosítóhoz.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
2. Keresse meg az Identity>Hybrid Management>Microsoft Entra Csatlakozás> Cloud szinkronizálását.
3. Válassza ki a bővítményattribútumot és a leképezést hozzáadni kívánt konfigurációt.
4. Az Attribútumok kezelése csoportban kattintson a leképezések szerkesztéséhez.
5. Válassza az Attribútumleképezés hozzáadása lehetőséget. A rendszer automatikusan felderíti az attribútumokat.
6. Az új attribútumok a forrásattribútum alatti legördülő menüben érhetők el.
7. Adja meg a kívánt leképezés típusát, és válassza az Alkalmaz lehetőséget.

További információ: Egyéni attribútumleképezés a Microsoft Entra Csatlakozás felhőszinkronizálásban.

Bővítményattribútum létrehozása a Microsoft Entra Csatlakozás

Ha az alkalmazásokhoz hozzáférő felhasználók helyi Active Directory származnak, akkor szinkronizálnia kell az attribútumokat a felhasználókkal az Active Directoryból a Microsoft Entra ID azonosítóba. A Microsoft Entra Csatlakozás használata esetén a következő feladatokat kell elvégeznie, mielőtt konfigurálja az alkalmazás üzembe helyezését.

1. Ellenőrizze a helyi Active Directory tartománygazdákat, hogy a szükséges attribútumok az AD DS sémaobjektum-osztályának User részei-e, és ha nem, akkor terjessze ki a Active Directory tartományi szolgáltatások sémát azon tartományokban, ahol a felhasználók rendelkeznek fiókkal.

2. Nyissa meg a Microsoft Entra Csatlakozás varázslót, válassza a Feladatok lehetőséget, majd válassza a Szinkronizálási beállítások testreszabása lehetőséget.

3. Jelentkezzen be globális Rendszergazda istratorként.

4. Az Opcionális szolgáltatások lapon válassza a Címtárbővítmény attribútum szinkronizálása lehetőséget.

5. Válassza ki a Microsoft Entra-azonosítóra kiterjeszteni kívánt attribútum(ok)t.

   Feljegyzés

   Az Elérhető attribútumok csoportban a keresés megkülönbözteti a kis- és nagybetűket .

6. Fejezze be a Microsoft Entra Csatlakozás varázslót, és engedélyezze a teljes szinkronizálási ciklus futtatását. A ciklus befejezése után a séma ki lesz terjesztve, és a rendszer szinkronizálja az új értékeket a helyszíni AD és a Microsoft Entra-azonosító között.

Feljegyzés

A helyszíni AD-ből (például managedby vagy DN/DistinguishedName) származó referenciaattribútumok kiosztása jelenleg nem támogatott. Ezt a funkciót a User Voice-on kérheti.

Az új attribútum feltöltése és használata

A Microsoft Entra felügyeleti központban, miközben a Microsoft Entra-azonosítóból egy alkalmazásba való egyszeri bejelentkezéshez vagy kiépítéshez szerkeszti a felhasználói attribútumleképezéseket , a Forrás attribútumlista mostantól a hozzáadott attribútumot fogja tartalmazni a formátumban <attributename> (extension_<appID>_<attributename>), ahol az appID egy helyőrző alkalmazás azonosítója a bérlőben. Válassza ki az attribútumot, és rendelje hozzá a célalkalmazáshoz a kiépítéshez.

Ezt követően fel kell töltenie az alkalmazáshoz rendelt felhasználókat a szükséges attribútummal, mielőtt engedélyezi a kiépítést az alkalmazás számára. Ha az attribútum nem az Active Directoryból származik, akkor ötféleképpen lehet tömegesen feltölteni a felhasználókat:

• Ha a tulajdonságok egy HR-rendszerből származnak, és az adott HR-rendszer dolgozóinak active Directory-felhasználóként való üzembe helyezését végzi, konfiguráljon egy megfeleltetést a Workdayből, az SAP SuccessFactorsből, vagy ha másik HR-rendszert használ, a bejövő HR API-t használva az Active Directory attribútumhoz. Ezután várja meg, amíg a Microsoft Entra Csatlakozás vagy a Microsoft Entra Csatlakozás felhőszinkronizálás szinkronizálja az Active Directory-sémában és az Active Directory-felhasználókban végrehajtott frissítéseket a Microsoft Entra-azonosítóba.
• Ha a tulajdonságok egy HR-rendszerből származnak, és Ön nem Az Active Directoryt használja, konfigurálhat egy leképezést a Workdayből, az SAP SuccessFactorsből vagy másokból a bejövő API-n keresztül a Microsoft Entra felhasználói attribútumára.
• Ha a tulajdonságok egy másik helyszíni rendszerből származnak, konfigurálhatja a Microsoft Graph MIM-Csatlakozás or-t a Microsoft Entra-felhasználók létrehozásához vagy frissítéséhez.
• Ha a tulajdonságok maguktól a felhasználóktól származnak, akkor megkérheti a felhasználókat, hogy adják meg az attribútum értékeit, amikor hozzáférést kérnek az alkalmazáshoz, az attribútumkövetelmények beleszámítva a jogosultságkezelési katalógusba.
• Minden más esetben az egyéni alkalmazások a Microsoft Graph API-n keresztül frissíthetik a felhasználókat.

Következő lépések

• A kiépítés hatókörének meghatározása