A Microsoft Entra séma ismertetése
A Microsoft Entra ID objektumai, mint bármely könyvtár, olyan programozott, magas szintű adatszerkezetek, amelyek a felhasználókat, csoportokat és névjegyeket jelölik. Amikor új felhasználót vagy kapcsolattartót hoz létre a Microsoft Entra-azonosítóban, az objektum új példányát hozza létre. Ezek a példányok a tulajdonságaik alapján megkülönböztethetők.
A Microsoft Entra ID tulajdonságai az objektumok egy példányával kapcsolatos információk tárolásáért felelősek a Microsoft Entra ID-ban.
A Microsoft Entra séma határozza meg, hogy mely tulajdonságok használhatók egy bejegyzésben, milyen típusú értékekkel rendelkezhetnek ezek a tulajdonságok, és hogy a felhasználók hogyan használhatják ezeket az értékeket.
A Microsoft Entra-azonosító kétféle tulajdonsággal rendelkezik:
- Beépített tulajdonságok: A Microsoft Entra séma által előre definiált tulajdonságok. Ezek a tulajdonságok különböző felhasználási lehetőségeket biztosítanak, és előfordulhat, hogy nem érhetők el.
- Címtárbővítmények: A megadott tulajdonságok, amelyekkel testre szabhatja a Microsoft Entra-azonosítót saját használatra. Ha például kiterjeszti a helyi Active Directory egy bizonyos attribútummal, és ezt az attribútumot szeretné átfolyni, használhatja a megadott egyéni tulajdonságok egyikét.
Minden felhőszinkronizálási konfiguráció tartalmaz egy szinkronizálási sémát. Ez a szinkronizálási séma határozza meg, hogy mely objektumok szinkronizálódnak és hogyan szinkronizálódnak.
Attribútumok és kifejezések
Amikor egy objektum, például egy felhasználó ki van építve a Microsoft Entra-azonosítóhoz, létrejön a felhasználói objektum új példánya. Ez a létrehozás magában foglalja az objektum tulajdonságait, amelyeket attribútumoknak is neveznek. Kezdetben az újonnan létrehozott objektum attribútumai a szinkronizálási szabályok által meghatározott értékekre vannak állítva. Ezek az attribútumok ezután a felhőkiépítési ügynökön keresztül naprakészek maradnak.
Előfordulhat például, hogy egy felhasználó egy marketingosztály része. A Microsoft Entra részleg attribútuma kezdetben a kiépítéskor jön létre, és az érték marketingre van állítva. Ha hat hónappal később a Sales (Értékesítés) értékre változnak, a helyi Active Directory részleg attribútuma a Sales (Értékesítés) értékre változik. Ez a módosítás szinkronizálódik a Microsoft Entra-azonosítóval, és megjelenik a Microsoft Entra felhasználói objektumában.
Az attribútumszinkronizálás közvetlen lehet, ahol a Microsoft Entra ID értéke közvetlenül a helyszíni attribútum értékére van állítva. Vagy egy programozott kifejezés kezeli a szinkronizálást. Programozott kifejezésre van szükség olyan esetekben, amikor valamilyen logikát vagy meghatározást kell végrehajtani az érték feltöltéséhez.
Ha például a "john.smith@contoso.com" e-mail attribútummal rendelkezik, és le kell bontania a "@contoso.com" részt, és csak a "john.smith" értéket kell átfolynia, a következőhöz hasonlót kell használnia:
Replace([mail], "@contoso.com", , ,"", ,)
Minta bemenet/kimenet:
- INPUT (mail): "john.smith@contoso.com"
- KIMENET: "john.smith"
Az egyéni kifejezések és a szintaxis írásával kapcsolatos további információkért lásd : Kifejezések írása attribútumleképezésekhez a Microsoft Entra ID-ban.
Az alábbi táblázat a gyakori attribútumokat és azok Microsoft Entra-azonosítóval való szinkronizálását sorolja fel.
| Helyszíni Active Directory | Leképezés típusa | Microsoft Entra ID |
|---|---|---|
| Cn | Közvetlen | commonName |
| countryCode | Közvetlen | countryCode |
| displayName | Közvetlen | displayName |
| givenName | Expression | givenName |
| objectGUID | Közvetlen | sourceAnchorBinary |
| userPrincipalName | Közvetlen | userPrincipalName |
| proxyAddress | Közvetlen | ProxyAddress |
A szinkronizálási séma megtekintése
Figyelmeztetés
A felhőszinkronizálási konfiguráció létrehoz egy szolgáltatásnevet. A szolgáltatásnév a Microsoft Entra Felügyeleti központban látható. Ne módosítsa az attribútumleképezéseket a Microsoft Entra Felügyeleti központban a szolgáltatásnév használatával. Ez nem támogatott.
A felhőalapú szinkronizálás konfigurációs szinkronizálási sémájának megtekintéséhez és ellenőrzéséhez kövesse az alábbi lépéseket.
Nyissa meg a Graph Explorert.
Jelentkezzen be globális rendszergazdai fiókjával.
A bal oldalon válassza a módosítási engedélyeket, és győződjön meg arról, hogy a Directory.ReadWrite.All jóváhagyást kap.
Futtassa a lekérdezést
https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’). Ez a lekérdezés a szolgáltatásnevek szűrt listáját adja vissza. Ez az alkalmazásregisztrációs csomóponton keresztül is beszerezhető a Microsoft Entra ID alatt.Keresse meg
"appDisplayName": "Active Directory to Azure Active Directory Provisioning"és jegyezze fel a következő"id"értékét: ."value": [ { "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1", "deletedDateTime": null, "accountEnabled": true, "appDisplayName": "Active Directory to Azure Active Directory Provisioning", "appId": "00001111-aaaa-2222-bbbb-3333cccc4444", "applicationTemplateId": null, "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "appRoleAssignmentRequired": false, "displayName": "Active Directory to Azure Active Directory Provisioning", "errorUrl": null, "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z", "loginUrl": null, "logoutUrl": null, "notificationEmailAddresses": [], "preferredSingleSignOnMode": null, "preferredTokenSigningKeyEndDateTime": null, "preferredTokenSigningKeyThumbprint": null, "publisherName": "Active Directory Application Registry", "replyUrls": [], "samlMetadataUrl": null, "samlSingleSignOnSettings": null, "servicePrincipalNames": [ "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary", "1a4721b3-e57f-4451-ae87-ef078703ec94" ], "signInAudience": "AzureADMultipleOrgs", "tags": [ "WindowsAzureActiveDirectoryIntegratedApp" ], "addIns": [], "api": { "resourceSpecificApplicationPermissions": [] }, "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "a0326856-1f51-4311-8ae7-a034d168eedf", "isEnabled": true, "origin": "Application", "value": null } ], "info": { "termsOfServiceUrl": null, "supportUrl": null, "privacyStatementUrl": null, "marketingUrl": null, "logoUrl": null }, "keyCredentials": [], "publishedPermissionScopes": [ { "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.", "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.", "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "value": "user_impersonation" } ], "passwordCredentials": [] },Cserélje le
{Service Principal id}az értéket, és futtassa a lekérdezésthttps://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/.Keresse meg
"id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976"és jegyezze fel a következő"id"értékét: .{ "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976", "templateId": "AD2AADProvisioning", "schedule": { "expiration": null, "interval": "PT2M", "state": "Active" }, "status": { "countSuccessiveCompleteFailures": 0, "escrowsPruned": false, "code": "Active", "lastSuccessfulExecutionWithExports": null, "quarantine": null, "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z", "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z", "troubleshootingUrl": "", "lastExecution": { "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24", "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 15, "countEscrowedRaw": 15, "countExported": 0, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "2019-11-20T16:15:21.116098Z", "timeEnded": "2019-11-20T16:17:24.7488681Z" }, "lastSuccessfulExecution": { "activityIdentifier": null, "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 0, "countEscrowedRaw": 0, "countExported": 5, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "0001-01-01T00:00:00Z", "timeEnded": "2019-11-20T14:09:46.8855027Z" }, "progress": [], "synchronizedEntryCountByType": [ { "key": "group to Group", "value": 33 }, { "key": "user to User", "value": 3 } ] }, "synchronizationJobSettings": [ { "name": "Domain", "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}" }, { "name": "DomainFQDN", "value": "contoso.com" }, { "name": "DomainNetBios", "value": "CONTOSO" }, { "name": "ForestFQDN", "value": "contoso.com" }, { "name": "ForestNetBios", "value": "CONTOSO" }, { "name": "QuarantineTooManyDeletesThreshold", "value": "500" } ] }Most futtassa a lekérdezést
https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schema.Cserélje le és
{AD2ADD Provisioning Id}cserélje le{Service Principal Id}az értékeket.Ez a lekérdezés a szinkronizálási sémát adja vissza.
