Microsoft Entra Connect Sync: ディレクトリ拡張機能

  • [アーティクル]

ディレクトリ拡張機能を使用すると、オンプレミスの Active Directory から独自の属性を使用して、Microsoft Entra ID のスキーマを拡張できます。 この機能により、オンプレミスで引き続き管理する属性を使用して LOB アプリを構築できます。 これらの属性は、拡張機能から使用できます。 使用可能な属性を確認するには、Microsoft Graph エクスプローラーを使用します。 この機能を使用して、Microsoft Entra ID に動的グループを作成することもできます。

現在のところ、これらの属性を使用する Microsoft 365 ワークロードはありません。

重要

ディレクトリ拡張属性の同期に使用されるカスタム ルールを含む構成をエクスポートし、このルールを Microsoft Entra Connect の新規または既存のインストールにインポートしようとした場合、インポート中にルールは作成されますが、ディレクトリ拡張属性はマップされません。 これを修正するには、ディレクトリ拡張属性を再選択してルールにもう一度関連付けるか、ルールを完全に作成し直す必要があります。

Microsoft Entra ID と同期する属性をカスタマイズする

インストール ウィザードのカスタム設定パスで、どの追加属性を同期するかを構成します。

スキーマ拡張機能のウィザード

Note

ディレクトリ拡張機能の同期規則を手動で編集または複製すると、同期の問題が発生する可能性があります。 このウィザード ページの外部でディレクトリ拡張機能を管理することはサポートされていません。

インストールでは、次の属性が表示されます。これらは有効な候補です。

  • ユーザーおよびグループ オブジェクト型
  • 単一値の属性: 文字列、ブール値、整数、バイナリ
  • 複数値の属性: 文字列、バイナリ

Note

Microsoft Entra ID のすべての機能で複数値の拡張属性がサポートされているわけではありません。 これらの属性の使用を予定している機能のドキュメントを参照して、これらがサポートされていることを確認してください。

属性の一覧は、Microsoft Entra Connect のインストール中に作成されたスキーマ キャッシュから読み取られます。 その他の属性で Active Directory スキーマを拡張した場合、このような新しい属性が表示されるようにするには、スキーマを更新する必要があります。

Microsoft Entra ID のオブジェクトでは、ディレクトリ拡張機能に対して最大 100 個の属性を持つことができます。 最大長は 250 文字です。 属性値がそれより長い場合は、同期エンジンによって切り捨てられます。

Note

msDS-UserPasswordExpiryTimeComputed などの構築された属性の同期はサポートされていません。 古いバージョンの Microsoft Entra Connect からアップグレードした場合でも、これらの属性がインストール ウィザードに表示される場合は、有効にする必要がありません。 その場合、その値は Microsoft Entra ID に同期されません。 構築された属性の詳細については、この記事を参照してください。 また、badPwdCount、Last-Logon、Last-Logoff などの Non-replicated attributes の値は Microsoft Entra ID に同期されないため、同期を行わないでください。

ウィザードによって行われた Microsoft Entra ID の構成変更

これらの属性が利用できるアプリケーションは、Microsoft Entra Connect のインストール中に登録されます。 このアプリケーションは、Microsoft Entra 管理センターで確認できます。 その名前は常に Tenant Schema Extension App となります。

スキーマ拡張機能アプリ

注意

Tenant Schema Extension App は、削除できないシステム専用アプリケーションであり、属性拡張定義を削除することはできません。

このアプリを表示するには、 [すべてのアプリケーション] を選択する必要があります。

属性には、extension _{ApplicationId}_ というプレフィックスが付きます。 ApplicationId の値は、使用している Microsoft Entra テナントに存在するすべての属性で同じになります。 この値は、このトピックで取り上げる他のすべてのシナリオで必要になります。

Microsoft Graph API を使用した属性の表示

Microsoft Graph エクスプローラーを使用することで、Microsoft Graph API を利用してこれらの属性を使用できるようになりました。

注意

Microsoft Graph API で、属性が返されるように要求する必要があります。 次のような属性を明示的に選択します: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

詳細については、Microsoft Graph: クエリ パラメーターの使用に関するトピックをご覧ください。

Note

Microsoft Entra Connect の属性値を、Microsoft Entra Connect によって作成されていない拡張属性と同期することはサポートされていません。 これを行うと、パフォーマンスの問題が発生し、予期しない結果が生じる可能性があります。 同期では、上記のように作成された拡張属性のみがサポートされます。

動的グループで属性を使用する

より有益なシナリオの 1 つは、動的セキュリティや Microsoft 365 グループでこれらの属性を使用することです。

  1. Microsoft Entra ID で新しいグループを作成します。 適切な名前を付け、 [メンバーシップの種類][動的ユーザー] になっていることを確認します。

    新しいグループを含むスクリーンショット

  2. [動的クエリの追加] を選択します。 プロパティを見ても、それらの拡張属性は表示されません。 それらは最初に自分で追加する必要があります。 [カスタム拡張機能のプロパティを取得します] をクリックし、アプリケーション ID を入力して、 [プロパティの更新] をクリックします。

    ディレクトリ拡張が追加された画面のスクリーンショット

  3. プロパティのドロップダウンを開くと、今度は、追加した属性が表示されていることがわかります。

    UI に表示されるようになった新しい属性を含むスクリーンショット

    実際の要件に合わせて式を完成させます。 この例では、ルールを (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") に設定しています。

  4. グループの作成後、しばらく待つと、Microsoft Entra によってメンバーが設定されます。それらのメンバーを確認してください。

    動的グループ内のメンバーを含むスクリーンショット

次のステップ

Microsoft Entra Connect Sync の構成の詳細をご確認ください。

オンプレミス ID と Microsoft Entra ID の統合の詳細をご確認ください。