Memahami skema Microsoft Entra
Objek di ID Microsoft Entra, seperti direktori apa pun, adalah konstruksi data tingkat tinggi terprogram yang mewakili hal-hal seperti pengguna, grup, dan kontak. Saat membuat pengguna atau kontak baru di ID Microsoft Entra, Anda membuat instans baru objek tersebut. Instans ini dapat diferensiasi berdasarkan propertinya.
Properti di ID Microsoft Entra adalah elemen yang bertanggung jawab untuk menyimpan informasi tentang instans objek di ID Microsoft Entra.
Skema Microsoft Entra menentukan aturan yang propertinya mungkin digunakan dalam entri, jenis nilai yang mungkin dimiliki properti tersebut, dan bagaimana pengguna dapat berinteraksi dengan nilai tersebut.
ID Microsoft Entra memiliki dua jenis properti:
- Properti bawaan: Properti yang telah ditentukan sebelumnya oleh skema Microsoft Entra. Properti ini menyediakan kegunaan yang berbeda dan mungkin atau mungkin tidak dapat diakses.
- Ekstensi direktori: Properti yang disediakan sehingga Anda dapat menyesuaikan ID Microsoft Entra untuk penggunaan Anda sendiri. Misalnya, jika Anda telah memperluas Direktori Aktif di tempat dengan atribut tertentu dan ingin mengalirkan atribut tersebut, Anda dapat menggunakan salah satu properti kustom yang disediakan.
Setiap konfigurasi sinkronisasi cloud menyertakan skema sinkronisasi. Skema sinkronisasi ini mendefinisikan objek apa yang akan disinkronkan dan bagaimana objek disinkronkan.
Atribut dan ekspresi
Saat objek seperti pengguna diprovisikan ke ID Microsoft Entra, instans baru objek pengguna dibuat. Pembuatan ini mencakup sifat objek tersebut, yang juga dikenal sebagai atribut. Awalnya, objek yang baru dibuat memiliki atribut yang diatur ke nilai yang ditentukan oleh aturan sinkronisasi. Atribut ini kemudian selalu diperbarui melalui agen penyediaan cloud.
Misalnya, pengguna mungkin menjadi bagian dari departemen Pemasaran. Atribut departemen Microsoft Entra mereka awalnya dibuat saat disediakan, dan nilainya diatur ke Pemasaran. Enam bulan kemudian jika mereka berubah menjadi Penjualan, atribut departemen Direktori Aktif lokal mereka diubah menjadi Penjualan. Perubahan ini disinkronkan ke ID Microsoft Entra dan tercermin dalam objek pengguna Microsoft Entra mereka.
Sinkronisasi atribut mungkin langsung, di mana nilai dalam ID Microsoft Entra langsung diatur ke nilai atribut lokal. Atau, ekspresi terprogram mungkin menangani sinkronisasi ini. Ekspresi terprogram diperlukan dalam kasus di mana beberapa logika atau penentuan harus dibuat untuk mengisi nilai.
Misalnya, jika Anda memiliki atribut email "john.smith@contoso.com" dan perlu menghapus bagian "@contoso.com" dan hanya mengalirkan nilai "john.smith", Anda akan menggunakan sesuatu seperti ini:
Replace([mail], "@contoso.com", , ,"", ,)
Sampel input/output:
- INPUT (mail): "john.smith@contoso.com"
- OUTPUT: "john.smith"
Untuk informasi selengkapnya tentang cara menulis ekspresi kustom dan sintaks, lihat Menulis ekspresi untuk pemetaan atribut di ID Microsoft Entra.
Tabel berikut ini mencantumkan atribut umum dan bagaimana atribut tersebut disinkronkan ke ID Microsoft Entra.
| Direktori Aktif lokal | Jenis Pemetaan | Microsoft Entra ID |
|---|---|---|
| cn | Langsung | commonName |
| countryCode | Langsung | countryCode |
| displayName | Langsung | displayName |
| givenName | Expression | givenName |
| objectGUID | Langsung | sourceAnchorBinary |
| userPrincipalName | Langsung | userPrincipalName |
| proxyAddress | Langsung | ProxyAddress |
Menampilkan skema sinkronisasi
Peringatan
Konfigurasi sinkronisasi cloud membuat prinsipal layanan. Perwakilan layanan terlihat di pusat admin Microsoft Entra. Anda tidak boleh mengubah pemetaan atribut menggunakan pengalaman perwakilan layanan di pusat admin Microsoft Entra. Ini tidak didukung.
Untuk melihat skema sinkronisasi konfigurasi sinkronisasi cloud dan memverifikasinya, ikuti langkah-langkah ini.
Buka Penjelajah Grafik.
Masuk dengan akun administrator global Anda.
Di sebelah kiri, pilih ubah izin dan pastikan bahwa Direktori.ReadWrite.Alldisetujui.
Jalankan kueri
https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’). Kueri ini mengembalikan daftar prinsipal layanan yang difilter. Ini juga dapat diperoleh melalui node Pendaftaran Aplikasi di bawah ID Microsoft Entra.Temukan
"appDisplayName": "Active Directory to Azure Active Directory Provisioning"dan catat nilai untuk"id"."value": [ { "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1", "deletedDateTime": null, "accountEnabled": true, "appDisplayName": "Active Directory to Azure Active Directory Provisioning", "appId": "1a4721b3-e57f-4451-ae87-ef078703ec94", "applicationTemplateId": null, "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "appRoleAssignmentRequired": false, "displayName": "Active Directory to Azure Active Directory Provisioning", "errorUrl": null, "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z", "loginUrl": null, "logoutUrl": null, "notificationEmailAddresses": [], "preferredSingleSignOnMode": null, "preferredTokenSigningKeyEndDateTime": null, "preferredTokenSigningKeyThumbprint": null, "publisherName": "Active Directory Application Registry", "replyUrls": [], "samlMetadataUrl": null, "samlSingleSignOnSettings": null, "servicePrincipalNames": [ "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary", "1a4721b3-e57f-4451-ae87-ef078703ec94" ], "signInAudience": "AzureADMultipleOrgs", "tags": [ "WindowsAzureActiveDirectoryIntegratedApp" ], "addIns": [], "api": { "resourceSpecificApplicationPermissions": [] }, "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "a0326856-1f51-4311-8ae7-a034d168eedf", "isEnabled": true, "origin": "Application", "value": null } ], "info": { "termsOfServiceUrl": null, "supportUrl": null, "privacyStatementUrl": null, "marketingUrl": null, "logoUrl": null }, "keyCredentials": [], "publishedPermissionScopes": [ { "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.", "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.", "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "value": "user_impersonation" } ], "passwordCredentials": [] },Ganti
{Service Principal id}dengan nilai Anda, dan jalankan kuerihttps://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/.Temukan
"id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976"dan catat nilai untuk"id".{ "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976", "templateId": "AD2AADProvisioning", "schedule": { "expiration": null, "interval": "PT2M", "state": "Active" }, "status": { "countSuccessiveCompleteFailures": 0, "escrowsPruned": false, "code": "Active", "lastSuccessfulExecutionWithExports": null, "quarantine": null, "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z", "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z", "troubleshootingUrl": "", "lastExecution": { "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24", "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 15, "countEscrowedRaw": 15, "countExported": 0, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "2019-11-20T16:15:21.116098Z", "timeEnded": "2019-11-20T16:17:24.7488681Z" }, "lastSuccessfulExecution": { "activityIdentifier": null, "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 0, "countEscrowedRaw": 0, "countExported": 5, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "0001-01-01T00:00:00Z", "timeEnded": "2019-11-20T14:09:46.8855027Z" }, "progress": [], "synchronizedEntryCountByType": [ { "key": "group to Group", "value": 33 }, { "key": "user to User", "value": 3 } ] }, "synchronizationJobSettings": [ { "name": "Domain", "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}" }, { "name": "DomainFQDN", "value": "contoso.com" }, { "name": "DomainNetBios", "value": "CONTOSO" }, { "name": "ForestFQDN", "value": "contoso.com" }, { "name": "ForestNetBios", "value": "CONTOSO" }, { "name": "QuarantineTooManyDeletesThreshold", "value": "500" } ] }Sekarang jalankan kueri
https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schema.Ganti
{Service Principal Id}dan{AD2ADD Provisioning Id}dengan nilai Anda.Kueri ini mengembalikan skema sinkronisasi.
