Microsoft Entra Csatlakozás Sync: Directory-bővítmények
Címtárbővítményekkel bővítheti a sémát a Microsoft Entra ID-ban a helyi Active Directory saját attribútumaival. Ez a funkció lehetővé teszi LOB-alkalmazások készítését olyan attribútumok felhasználásával, amelyeket továbbra is felügyel a helyszínen. Ezek az attribútumok bővítményeken keresztül használhatók. Az elérhető attribútumokat a Microsoft Graph Explorer használatával tekintheti meg. Ezzel a funkcióval dinamikus csoportokat is létrehozhat a Microsoft Entra ID-ban.
Jelenleg egyetlen Microsoft 365-számítási feladat sem használja ezeket az attribútumokat.
Fontos
Ha olyan konfigurációt exportált, amely a címtárbővítmény-attribútumok szinkronizálására használt egyéni szabályt tartalmaz, és megpróbálja importálni ezt a szabályt a Microsoft Entra Csatlakozás új vagy meglévő telepítésére, a szabály az importálás során jön létre, de a címtárbővítmény attribútumai nem lesznek megfeleltetve. A hiba elhárításához újra ki kell választania a címtárbővítmény attribútumait, és újra kell társítania őket a szabályhoz, vagy teljesen újra létre kell hoznia a szabályt.
A Microsoft Entra-azonosítóval szinkronizálandó attribútumok testreszabása
A telepítővarázsló egyéni beállítási útvonalán konfigurálhatja, hogy mely további attribútumokat szeretné szinkronizálni.
Feljegyzés
A címtárbővítmények szinkronizálási szabályainak manuális szerkesztése vagy klónozása szinkronizálási problémákat okozhat. A címtárbővítmények nem kezelhetők ezen a varázslólapon kívül.
A telepítés a következő attribútumokat jeleníti meg, amelyek érvényes jelöltek:
- Felhasználó- és csoportobjektum-típusok
- Egyértékű attribútumok: Sztring, Logikai, Egész szám, Bináris
- Többértékű attribútumok: Sztring, Bináris
Feljegyzés
A Microsoft Entra ID nem minden funkciója támogatja a többértékű bővítményattribútumokat. Tekintse meg annak a funkciónak a dokumentációját, amelyben ezeket az attribútumokat használni szeretné annak ellenőrzésére, hogy támogatottak-e.
Az attribútumok listáját a Rendszer a Microsoft Entra Csatlakozás telepítése során létrehozott séma-gyorsítótárból olvassa be. Ha az Active Directory-sémát további attribútumokkal bővítette, frissítenie kell a sémát , mielőtt ezek az új attribútumok láthatók lettek volna.
A Microsoft Entra ID-ban egy objektum legfeljebb 100 attribútummal rendelkezhet a címtárbővítményekhez. A maximális hossz 250 karakter. Ha egy attribútum értéke hosszabb, a szinkronizálási motor csonkolja azt.
Feljegyzés
Az olyan létrehozott attribútumok szinkronizálása nem támogatott, mint az msDS-UserPasswordExpiryTimeComputed. Ha a Microsoft Entra egy régi verziójáról frissít, Csatlakozás előfordulhat, hogy ezek az attribútumok megjelennek a telepítővarázslóban, nem szabad azonban engedélyeznie őket. Ha igen, az értékük nem szinkronizálódik a Microsoft Entra-azonosítóval. A létrehozott attribútumokról ebben a cikkben olvashat bővebben. A nem replikált attribútumok (például badPwdCount, Last-Logon és Last-Logoff) szinkronizálását sem érdemes megkísérelni, mert az értékek nem lesznek szinkronizálva a Microsoft Entra-azonosítóval.
A varázsló által végzett konfigurációs módosítások a Microsoft Entra-azonosítóban
A Microsoft Entra Csatlakozás telepítése során egy alkalmazás regisztrálva van, ahol ezek az attribútumok elérhetők. Ezt az alkalmazást a Microsoft Entra felügyeleti központban tekintheti meg. A neve mindig bérlői sémabővítmény-alkalmazás.
Feljegyzés
A bérlői sémabővítmény-alkalmazás egy csak rendszerszintű alkalmazás, amely nem törölhető, és az attribútumbővítmény-definíciók nem távolíthatók el.
Győződjön meg arról, hogy a Minden alkalmazás lehetőséget választja az alkalmazás megtekintéséhez.
Az attribútumok _{ApplicationId}_ kiterjesztéssel vannak előtaggal elosztva. Az ApplicationId ugyanazzal az értékkel rendelkezik a Microsoft Entra-bérlő összes attribútumához. Erre az értékre a jelen témakörben szereplő összes többi forgatókönyv esetében szüksége lesz.
Attribútumok megtekintése a Microsoft Graph API használatával
Ezek az attribútumok a Microsoft Graph API-n keresztül érhetők el a Microsoft Graph Explorer használatával.
Feljegyzés
A Microsoft Graph API-ban meg kell kérnie a visszaadandó attribútumokat. Explicit módon válassza ki a következőhöz hasonló attribútumokat: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.
További információ: Microsoft Graph: Lekérdezési paraméterek használata.
Feljegyzés
A Microsoft Entra Csatlakozás attribútumértékeinek szinkronizálása nem támogatott a Microsoft Entra Csatlakozás által nem létrehozott bővítményattribútumokkal. Ez teljesítményproblémákat és váratlan eredményeket eredményezhet. Csak a fentiekben látható módon létrehozott bővítményattribútumok támogatottak a szinkronizáláshoz.
Az attribútumok használata dinamikus csoportokban
Az egyik hasznosabb forgatókönyv, ha ezeket az attribútumokat dinamikus biztonsági vagy Microsoft 365-csoportokban használja.
Hozzon létre egy új csoportot a Microsoft Entra-azonosítóban. Adjon neki egy jó nevet, és győződjön meg arról, hogy a tagság típusadinamikus felhasználó.
Válassza ki a dinamikus lekérdezés hozzáadásához. Ha megtekinti a tulajdonságokat, akkor ezek a kiterjesztett attribútumok nem jelennek meg. Először hozzá kell adnia őket. Kattintson az Egyéni bővítmény tulajdonságainak lekérése gombra, adja meg az alkalmazásazonosítót, majd kattintson a Tulajdonságok frissítése parancsra.
Nyissa meg a tulajdonság legördülő menüjét, és figyelje meg, hogy a hozzáadott attribútumok most már láthatók.
Töltse ki a kifejezést a követelményeknek megfelelően. A példánkban a szabály értéke (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Értékesítés és marketing").
A csoport létrehozása után adjon egy kis időt a Microsoft Entra-nak, hogy feltöltse a tagokat, majd tekintse át a tagokat.
Következő lépések
További információ a Microsoft Entra Csatlakozás Sync konfigurációjáról.
További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.