Estensioni della directory di sincronizzazione cloud e mapping di attributi personalizzati

Articolo
04/26/2024

Microsoft Entra ID deve contenere tutti i dati (attributi) necessari per creare un profilo utente durante il provisioning degli account utente da Microsoft Entra ID a una line-of-business (LOB), un'app SaaS o un'applicazione locale. È possibile usare le estensioni della directory per estendere lo schema in Microsoft Entra ID con attributi personalizzati da Active Directory locale. Questa funzionalità consente di creare app line-of-business usando attributi che si continuano a gestire in locale, effettuare il provisioning degli utenti da Windows Server Active Directory tramite Microsoft Entra ID alle app SaaS e usare gli attributi di estensione nelle funzionalità di Microsoft Entra ID e Microsoft Entra ID Governance, ad esempio i gruppi dinamici.

Per altre informazioni sulle estensioni della directory, vedere Uso degli attributi di estensione della directory nelle attestazioni, Microsoft Entra Connessione Sync: estensioni della directory e Attributi di estensione di sincronizzazione per il provisioning di applicazioni Microsoft Entra.

È possibile visualizzare gli attributi disponibili usando Microsoft Graph Explorer.

Nota

Per individuare nuovi attributi di estensione di Active Directory, è necessario riavviare l'agente di provisioning. È necessario riavviare l'agente dopo la creazione delle estensioni della directory. Per gli attributi dell'estensione Microsoft Entra, l'agente non deve essere riavviato.

Sincronizzazione delle estensioni della directory per Microsoft Entra Cloud Sync

È possibile usare le estensioni della directory per estendere la definizione della directory dello schema di sincronizzazione in Microsoft Entra ID con attributi personalizzati.

Importante

L'estensione directory per Microsoft Entra Cloud Sync è supportata solo per le applicazioni con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp" e l'app di estensione dello schema tenant creata da Microsoft Entra Connessione

Creare un'applicazione e un'entità servizio per l'estensione della directory

È necessario creare un'applicazione con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp" se non esiste e creare un'entità servizio per l'applicazione, se non esiste.

Controllare se l'applicazione con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp" esiste.
- Uso di Microsoft Graph
```
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
```
Per altre informazioni, vedere Ottenere l'applicazione
- Tramite PowerShell
```
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
```
Per altre informazioni, vedere Get-MgApplication

Se l'applicazione non esiste, creare l'applicazione con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".

Uso di Microsoft Graph

POST https://graph.microsoft.com/v1.0/applications
Content-type: application/json

{
 "displayName": "CloudSyncCustomExtensionsApp",
 "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
}

Per altre informazioni, vedere Creare un'applicazione

Tramite PowerShell

New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"

Per altre informazioni, vedere New-MgApplication

Controllare se l'entità servizio esiste per l'applicazione con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".
- Uso di Microsoft Graph
```
GET /servicePrincipals?$filter=(appId eq '{appId}')
```
Per altre informazioni, vedere Ottenere un'entità servizio
- Tramite PowerShell
```
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"
```
Per altre informazioni, vedere Get-MgServicePrincipal
Se un'entità servizio non esiste, creare una nuova entità servizio per l'applicazione con l'URI dell'identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".
- Uso di Microsoft Graph
```
POST https://graph.microsoft.com/v1.0/servicePrincipals
Content-type: application/json

{
"appId": 
"<application appId>"
}
```
Per altre informazioni, vedere Creare servicePrincipal
- Tramite PowerShell
```
New-MgServicePrincipal -AppId '<appId>'
```
Per altre informazioni, vedere New-MgServicePrincipal
È possibile creare estensioni di directory in Microsoft Entra ID in diversi modi.

metodo	Descrizione	URL
MS Graph	Creare estensioni con GRAPH	Creare l'estensioneProperty
PowerShell	Creare estensioni con PowerShell	New-MgApplicationExtensionProperty
Uso della sincronizzazione cloud e di Microsoft Entra Connessione	Creare estensioni con Microsoft Entra Connessione	Creare un attributo di estensione usando Microsoft Entra Connessione
Personalizzazione degli attributi da sincronizzare	Informazioni sulla personalizzazione, sugli attributi da sincronizzare	Personalizzare gli attributi da sincronizzare con Microsoft Entra ID

Usare il mapping degli attributi per eseguire il mapping delle estensioni della directory

Se Active Directory è stato esteso per includere attributi personalizzati, è possibile aggiungere questi attributi ed eseguirne il mapping agli utenti.

Per individuare e mappare gli attributi, selezionare Aggiungi mapping attributi. Gli attributi verranno individuati automaticamente e saranno disponibili nell'elenco a discesa nell'attributo di origine. Compilare il tipo di mapping desiderato e selezionare Applica.

Per informazioni sui nuovi attributi aggiunti e aggiornati in Microsoft Entra ID, vedere il tipo di risorsa e prendere in considerazione la user sottoscrizione alle notifiche di modifica.

Per altre informazioni sugli attributi di estensione, vedere Sincronizzazione degli attributi dell'estensione per il provisioning delle applicazioni Microsoft Entra.

Condividi tramite