Azure AD Connect 同期: ディレクトリ拡張機能

ディレクトリ拡張機能を使用すると、オンプレミスの Active Directory から独自の属性を使用して、Azure Active Directory (Azure AD) のスキーマを拡張できます。 この機能により、オンプレミスで引き続き管理する属性を使用して LOB アプリを構築できます。 これらの属性は、拡張機能から使用できます。 使用可能な属性を確認するには、Microsoft Graph エクスプローラーを使用します。 この機能を使用して、Azure AD に動的グループを作成することもできます。

現在のところ、これらの属性を使用する Microsoft 365 ワークロードはありません。

重要

ディレクトリ拡張属性の同期に使用されるカスタム ルールを含む構成をエクスポートし、このルールを Azure AD Connect の新規または既存のインストールにインポートしようとした場合、インポート中にルールは作成されますが、ディレクトリ拡張属性はマップされません。 これを修正するには、ディレクトリ拡張属性を再選択してルールにもう一度関連付けるか、ルールを完全に作成し直す必要があります。

Azure AD と同期する属性をカスタマイズする

インストール ウィザードのカスタム設定パスで、どの追加属性を同期するかを構成します。

注意

バージョン 1.2.65.0 以前の Azure AD Connect では、 [使用可能な属性] の検索ボックスで大文字と小文字が区別されます。

スキーマ拡張機能のウィザード

インストールでは、次の属性が表示されます。これらは有効な候補です。

  • ユーザーおよびグループ オブジェクト型
  • 単一値の属性: 文字列、ブール値、整数、バイナリ
  • 複数値の属性: 文字列、バイナリ

注意

Azure Active Directory のすべての機能で複数値の拡張属性がサポートされているわけではありません。 これらの属性の使用を予定している機能のドキュメントを参照して、これらがサポートされていることを確認してください。 属性の一覧は、Azure AD Connect のインストール中に作成されたスキーマ キャッシュから読み取られます。 その他の属性で Active Directory スキーマを拡張した場合、このような新しい属性が表示されるようにするには、スキーマを更新する必要があります。

Azure AD のオブジェクトでは、ディレクトリ拡張機能に対して最大 100 個の属性を持つことができます。 最大長は 250 文字です。 属性値がそれより長い場合は、同期エンジンによって切り捨てられます。

Note

msDS-UserPasswordExpiryTimeComputed などの構築された属性の同期はサポートされていません。 古いバージョンの AADConnect からアップグレードした場合でも、これらの属性がインストール ウィザードに表示される場合は、有効にする必要がありません。 この場合、値は Azure AD に同期されません。 構築された属性の詳細については、この記事を参照してください。 また、badPwdCount、Last-Logon、Last-Logoff などの Non-replicated attributes の値は Azure AD に同期されないため、同期を行わないでください。

ウィザードが Azure AD に対して行う構成の変更

これらの属性が利用できるアプリケーションは、Azure AD Connect のインストール中に登録されます。 このアプリケーションは、Azure Portal で確認できます。 その名前は常に Tenant Schema Extension App となります。

スキーマ拡張機能アプリ

このアプリを表示するには、 [すべてのアプリケーション] を選択する必要があります。

属性には、extension _{ApplicationId}_ というプレフィックスが付きます。 ApplicationId の値は、使用している Azure AD テナントに存在するすべての属性で同じになります。 この値は、このトピックで取り上げる他のすべてのシナリオで必要になります。

Microsoft Graph API を使用した属性の表示

Microsoft Graph エクスプローラーを使用することで、Microsoft Graph API を利用してこれらの属性を使用できるようになりました。

注意

Microsoft Graph API で、属性が返されるように要求する必要があります。 次のような属性を明示的に選択します: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

詳細については、Microsoft Graph: クエリ パラメーターの使用に関するトピックをご覧ください。

注意

AADConnect からの属性値を、AADConnect によって作成されていない拡張属性に同期させることはサポートされていません。 これを行うと、パフォーマンスの問題が発生し、予期しない結果が生じる可能性があります。 同期では、上記のように作成された拡張属性のみがサポートされます。

動的グループで属性を使用する

より有益なシナリオの 1 つは、動的セキュリティや Microsoft 365 グループでこれらの属性を使用することです。

  1. Azure AD に新しいグループを作成します。 適切な名前を付け、 [メンバーシップの種類][動的ユーザー] になっていることを確認します。

    新しいグループを含むスクリーンショット

  2. [動的クエリの追加] を選択します。 プロパティを見ても、それらの拡張属性は表示されません。 それらは最初に自分で追加する必要があります。 [カスタム拡張機能のプロパティを取得します] をクリックし、アプリケーション ID を入力して、 [プロパティの更新] をクリックします。

    ディレクトリ拡張が追加された画面のスクリーンショット

  3. プロパティのドロップダウンを開くと、今度は、追加した属性が表示されていることがわかります。

    UI に表示されるようになった新しい属性を含むスクリーンショット

    実際の要件に合わせて式を完成させます。 この例では、ルールを (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") に設定しています。

  4. グループの作成後、しばらく待つと、Azure AD によってメンバーが設定されます。それらのメンバーを確認してください。

    動的グループ内のメンバーを含むスクリーンショット

次のステップ

Azure AD Connect Sync の構成に関するページをご覧ください。

オンプレミス ID と Azure Active Directory の統合」をご覧ください。