Microsoft Entra Koneksi Sync: Ekstensi direktori

  • Artikel

Anda dapat menggunakan ekstensi direktori untuk memperluas skema di ID Microsoft Entra dengan atribut Anda sendiri dari Active Directory lokal. Fitur ini memungkinkan Anda untuk membuat aplikasi LOB dengan menggunakan atribut yang terus Anda kelola secara lokal. Atribut ini dapat digunakan melalui ekstensi. Anda dapat melihat atribut yang tersedia dengan menggunakan Microsoft Graph Explorer. Anda juga dapat menggunakan fitur ini untuk membuat grup dinamis di ID Microsoft Entra.

Saat ini, tidak ada beban kerja Microsoft 365 yang menggunakan atribut ini.

Penting

Jika Anda telah mengekspor konfigurasi yang berisi aturan kustom yang digunakan untuk menyinkronkan atribut ekstensi direktori dan Anda mencoba mengimpor aturan ini ke penginstalan baru atau yang sudah ada microsoft Entra Koneksi, aturan akan dibuat selama impor, tetapi atribut ekstensi direktori tidak akan dipetakan. Anda harus memilih kembali atribut ekstensi direktori dan mengaitkannya kembali dengan aturan atau membuat ulang aturan sepenuhnya untuk memperbaikinya.

Menyesuaikan atribut mana yang akan disinkronkan dengan ID Microsoft Entra

Anda mengonfigurasi atribut tambahan mana yang ingin disinkronkan di jalur pengaturan kustom dalam wizard penginstalan.

Wizard ekstensi skema

Catatan

Mengedit atau mengkloning aturan sinkronisasi secara manual untuk Ekstensi Direktori dapat menyebabkan masalah sinkronisasi. Tidak didukung untuk mengelola Ekstensi Direktori di luar halaman panduan ini.

Penginstalan menampilkan atribut berikut, yang merupakan kandidat yang valid:

  • Jenis objek Pengguna dan Grup
  • Atribut bernilai tunggal: String, Boolean, Integer, Binary
  • Atribut multinilai: String, Binary

Catatan

Tidak semua fitur di MICROSOFT Entra ID mendukung atribut ekstensi multinilai. Silakan merujuk ke dokumentasi fitur yang Anda rencanakan untuk menggunakan atribut ini guna mengkonfirmasi bahwa atribut tersebut didukung.

Daftar atribut dibaca dari cache skema yang dibuat selama penginstalan Microsoft Entra Koneksi. Jika Anda telah memperpanjang skema Direktori Aktif dengan atribut tambahan, Anda harus merefresh skema sebelum atribut baru ini terlihat.

Objek di ID Microsoft Entra dapat memiliki hingga 100 atribut untuk ekstensi direktori. Panjang maksimum adalah 250 karakter. Jika nilai atribut lebih panjang, mesin sinkronisasi akan memotongnya.

Catatan

Hal ini tidak didukung untuk menyinkronkan atribut yang dibangun, seperti msDS-UserPasswordExpiryTimeComputed. Jika Anda meningkatkan dari versi lama Microsoft Entra Koneksi Anda mungkin masih melihat atribut ini muncul di wizard penginstalan, Anda tidak boleh mengaktifkannya. Nilainya tidak akan disinkronkan ke ID Microsoft Entra jika Anda melakukannya. Anda dapat membaca selengkapnya tentang atribut yang dibuat dalam artikel ini. Anda juga tidak boleh mencoba menyinkronkan atribut Non-replikasi, seperti badPwdCount, Last-Logon, dan Last-Logoff, karena nilainya tidak akan disinkronkan ke ID Microsoft Entra.

Perubahan konfigurasi dalam ID Microsoft Entra yang dibuat oleh wizard

Selama penginstalan Microsoft Entra Koneksi, aplikasi terdaftar di mana atribut ini tersedia. Anda dapat melihat aplikasi ini di pusat admin Microsoft Entra. Namanya selalu Tenant Schema Extension App.

Aplikasi ekstensi skema

Catatan

Aplikasi Ekstensi Skema Penyewa adalah aplikasi khusus sistem yang tidak dapat dihapus dan definisi ekstensi atribut tidak dapat dihapus.

Pastikan Anda memilih Semua aplikasi untuk melihat aplikasi ini.

Atribut memiliki prefiks ekstensi _{ApplicationId}_. ApplicationId memiliki nilai yang sama untuk semua atribut di penyewa Microsoft Entra Anda. Anda akan membutuhkan nilai ini untuk semua skenario lain dalam topik ini.

Melihat atribut menggunakan Microsoft Graph API

Atribut ini sekarang tersedia melalui Microsoft Graph API, dengan menggunakan Microsoft Graph Explorer.

Catatan

Di Microsoft Graph API, Anda perlu meminta atribut dikembalikan. Secara eksplisit, pilih atribut seperti ini: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Untuk mengetahui informasi selengkapnya, lihat Microsoft Graph: Menggunakan parameter kueri.

Catatan

Ini tidak didukung untuk menyinkronkan nilai atribut dari Microsoft Entra Koneksi ke atribut ekstensi yang tidak dibuat oleh Microsoft Entra Koneksi. Melakukannya dapat menyebabkan masalah performa dan hasil yang tidak terduga. Hanya atribut ekstensi yang dibuat seperti yang ditunjukkan di atas yang didukung untuk sinkronisasi.

Menggunakan atribut dalam grup dinamis

Salah satu skenario yang lebih berguna adalah menggunakan atribut ini dalam keamanan dinamis atau grup Microsoft 365.

  1. Buat grup baru di ID Microsoft Entra. Beri nama yang baik dan pastikan Jenis keanggotaan adalah Pengguna Dinamis.

    Cuplikan layar dengan grup baru

  2. Pilih untuk Menambahkan kueri dinamis. Jika Anda melihat properti, Anda tidak akan melihat atribut yang diperluas ini. Anda perlu menambahkan pengguna secara manual. Klik Dapatkan properti ekstensi kustom, masukkan ID Aplikasi, lalu klik Refresh properti.

    Cuplikan layar tempat ekstensi direktori telah ditambahkan

  3. Buka menu drop-down properti dan perhatikan bahwa atribut yang Anda tambahkan sekarang terlihat.

    Cuplikan layar dengan atribut baru yang muncul di UI

    Lengkapi ekspresi agar sesuai dengan kebutuhan Anda. Dalam contoh kami, aturan diatur ke (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").

  4. Setelah grup dibuat, beri Microsoft Entra waktu untuk mengisi anggota lalu tinjau anggota.

    Cuplikan layar dengan anggota di grup dinamis

Langkah berikutnya

Pelajari selengkapnya tentang konfigurasi Microsoft Entra Koneksi Sync.

Pelajari selengkapnya tentang Mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.