Azure AD Csatlakozás szinkronizálása: Címtárbővítmények

A címtárbővítményekkel kibővítheti a sémát az Azure Active Directoryban (Azure AD) a saját attribútumaival a helyi Active Directory. Ez a funkció lehetővé teszi LOB-alkalmazások készítését olyan attribútumok felhasználásával, amelyeket továbbra is felügyel a helyszínen. Ezek az attribútumok bővítményekkel használhatók fel. Az elérhető attribútumokat a Microsoft Graph Explorer használatával tekintheti meg. Ezzel a funkcióval dinamikus csoportokat is létrehozhat Azure AD.

Jelenleg egyetlen Microsoft 365-ös számítási feladat sem használja ezeket az attribútumokat.

Fontos

Ha olyan konfigurációt exportált, amely a címtárbővítmény-attribútumok szinkronizálására használt egyéni szabályt tartalmaz, és megpróbálja importálni ezt a szabályt a Azure AD Connect új vagy meglévő telepítésére, a szabály az importálás során jön létre, de a címtárbővítmény-attribútumok nem lesznek leképezve. A hiba elhárításához újra ki kell választania a címtárbővítmény-attribútumokat, és újra kell társítania őket a szabvánnyal, vagy teljesen újra létre kell hoznia a szabályt.

A Azure AD szinkronizálandó attribútumok testreszabása

A telepítővarázsló egyéni beállítási útvonalán konfigurálhatja, hogy mely további attribútumokat szeretné szinkronizálni.

Megjegyzés

Az Azure AD Connect 1.2.65.0-nál korábbi verzióiban az Elérhető attribútumok keresőmezője megkülönbözteti a kis- és nagybetűket.

Sémabővítmény varázsló

A telepítés a következő attribútumokat jeleníti meg, amelyek érvényes jelöltek:

  • Felhasználó- és csoportobjektum-típusok
  • Egyértékű attribútumok: sztring, logikai, egész szám, bináris
  • Többértékű attribútumok: Sztring, Bináris

Megjegyzés

Az Azure Active Directory nem minden funkciója támogatja a többértékű bővítményattribútumokat. Tekintse meg annak a funkciónak a dokumentációját, amelyben ezeket az attribútumokat szeretné használni annak ellenőrzéséhez, hogy támogatottak-e. Az attribútumok listáját a rendszer a Azure AD Connect telepítése során létrehozott séma-gyorsítótárból olvassa be. Ha további attribútumokkal bővítette az Active Directory-sémát, frissítenie kell a sémát , mielőtt ezek az új attribútumok láthatók lesznek.

Egy Azure AD objektum legfeljebb 100 attribútummal rendelkezhet a címtárbővítményekhez. A maximális hossz 250 karakter. Ha egy attribútum értéke hosszabb, a szinkronizálási motor csonkítja azt.

Megjegyzés

A létrehozott attribútumok(például msDS-UserPasswordExpiryTimeComputed) szinkronizálása nem támogatott. Ha az AADConnect egy régi verziójáról frissít, előfordulhat, hogy ezek az attribútumok megjelennek a telepítővarázslóban, ezeket azonban nem szabad engedélyeznie. Az értékük nem szinkronizálódik Azure AD, ha igen. A létrehozott attribútumokról ebben az artice-ban olvashat bővebben. A nem replikált attribútumokat (például badPwdCount, Last-Logon és Last-Logoff) sem érdemes szinkronizálni, mert az értékek nem lesznek szinkronizálva a Azure AD.

A varázsló által végrehajtott Azure AD konfigurációs módosításai

A Azure AD Connect telepítése során a rendszer regisztrál egy alkalmazást, ahol ezek az attribútumok elérhetők. Ezt az alkalmazást a Azure Portal láthatja. A neve mindig Tenant Schema Extension App.

Sémabővítmény-alkalmazás

Győződjön meg arról, hogy a Minden alkalmazás lehetőséget választja az alkalmazás megtekintéséhez.

Az attribútumok előtagja _{ApplicationId}_. Az ApplicationId ugyanazzal az értékkel rendelkezik a Azure AD bérlő összes attribútumához. A jelen témakör összes többi forgatókönyvéhez szüksége lesz erre az értékre.

Attribútumok megtekintése a Microsoft Graph API használatával

Ezek az attribútumok mostantól a Microsoft Graph API keresztül érhetők el a Microsoft Graph Explorer használatával.

Megjegyzés

A Microsoft Graph API kérnie kell az attribútumok visszaadásához. Explicit módon válassza ki a következő attribútumokat: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

További információ: Microsoft Graph: Lekérdezési paraméterek használata.

Megjegyzés

Az AADConnect attribútumértékeinek szinkronizálása nem támogatott az AADConnect által nem létrehozott bővítményattribútumokkal. Ez teljesítményproblémákat és váratlan eredményeket eredményezhet. Szinkronizáláshoz csak a fent látható módon létrehozott bővítményattribútumok támogatottak.

Az attribútumok használata dinamikus csoportokban

Az egyik hasznosabb forgatókönyv, ha ezeket az attribútumokat dinamikus biztonsági vagy Microsoft 365-csoportokban használja.

  1. Hozzon létre egy új csoportot Azure AD. Adjon neki egy jó nevet, és győződjön meg arról, hogy a Tagság típusaDinamikus felhasználó.

    Képernyőkép egy új csoporttal

  2. Válassza a Dinamikus lekérdezés hozzáadása lehetőséget. Ha megtekinti a tulajdonságokat, akkor ezek a kiterjesztett attribútumok nem jelennek meg. Először hozzá kell adnia őket. Kattintson az Egyéni bővítménytulajdonságok lekérése elemre, adja meg az alkalmazásazonosítót, majd kattintson a Tulajdonságok frissítése gombra.

    Képernyőkép a címtárbővítmények hozzáadásáról

  3. Nyissa meg a tulajdonság legördülő menüjét, és figyelje meg, hogy a hozzáadott attribútumok most már láthatók.

    Képernyőkép új attribútumokról a felhasználói felületen

    Fejezze be a kifejezést a követelményeknek megfelelően. Példánkban a szabály értéke (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Értékesítés és marketing").

  4. A csoport létrehozása után adjon Azure AD időt a tagok feltöltésére, majd tekintse át a tagokat.

    Képernyőkép a dinamikus csoport tagjairól

Következő lépések

További információ a Azure AD Connect szinkronizálási konfigurációjáról.

További információ: Helyszíni identitások integrálása az Azure Active Directoryval.