Microsoft Entra Connect Sync: Directory-extensies
U kunt directory-extensies gebruiken om het schema in Microsoft Entra ID uit te breiden met uw eigen kenmerken uit on-premises Active Directory. Met deze functie kunt u LOB-apps bouwen door kenmerken te gebruiken die u vervolgens on-premises blijft beheren. U kunt deze kenmerken gebruiken via extensies. U kunt de beschikbare kenmerken bekijken met Microsoft Graph Explorer. U kunt deze functie ook gebruiken om dynamische lidmaatschapsgroepen te maken in Microsoft Entra ID.
Momenteel worden deze kenmerken niet door Microsoft 365-workloads verbruikt.
Belangrijk
Als u een configuratie hebt geëxporteerd die een aangepaste regel bevat die wordt gebruikt voor het synchroniseren van directory-extensiekenmerken en u probeert deze regel te importeren in een nieuwe of bestaande installatie van Microsoft Entra Connect, wordt de regel gemaakt tijdens het importeren, maar worden de kenmerken van de mapextensie niet toegewezen. U moet de kenmerken van de directory-extensie opnieuw selecteren en deze opnieuw koppelen aan de regel of de regel volledig opnieuw maken om dit op te lossen.
Aanpassen welke kenmerken moeten worden gesynchroniseerd met Microsoft Entra-id
U configureert welke aanvullende kenmerken u wilt synchroniseren in het pad naar de aangepaste instellingen in de installatiewizard.
Notitie
Handmatig bewerken of klonen van de synchronisatieregels voor Directory-extensies kan synchronisatieproblemen veroorzaken. Het wordt niet ondersteund voor het beheren van directory-extensies buiten deze wizardpagina.
De installatie toont de volgende kenmerken, die allemaal geldige kandidaten zijn:
- Objecttypen voor gebruiker en groep
- Kenmerken met één waarde: tekenreeks, booleaanse waarde, geheel getal, binair
- Kenmerken met meerdere waarden: tekenreeks, binair
Notitie
Niet alle functies in Microsoft Entra ID bieden ondersteuning voor extensiekenmerken met meerdere waarden. Raadpleeg de documentatie van de functie waarin u deze kenmerken wilt gebruiken om te bevestigen dat ze worden ondersteund.
De lijst met kenmerken wordt gelezen uit de schemacache die is gemaakt tijdens de installatie van Microsoft Entra Connect. Als u het Active Directory-schema hebt uitgebreid met extra kenmerken, moet u het schema vernieuwen voordat de nieuwe kenmerken zichtbaar zijn.
Een object in Microsoft Entra-id kan maximaal 100 kenmerken hebben voor directory-extensies. Maximale lengte is 250 tekens. Als een kenmerkwaarde langer is, wordt deze waarde door de synchronisatie-engine afgekapt.
Notitie
Het wordt niet ondersteund voor synchroniseren van samengestelde kenmerken, zoals msDS-UserPasswordExpiryTimeComputed. Als u een upgrade uitvoert van een oude versie van Microsoft Entra Connect, worden deze kenmerken mogelijk nog steeds weergegeven in de installatiewizard, moet u deze echter niet inschakelen. Hun waarde wordt niet gesynchroniseerd met Microsoft Entra-id als u dat doet. Meer informatie over samengestelde kenmerken vindt u in dit artikel. U moet ook niet proberen niet-gerepliceerde kenmerken te synchroniseren, zoals badPwdCount, Last-Logon en Last-Logoff, omdat hun waarden niet worden gesynchroniseerd met Microsoft Entra ID.
Configuratiewijzigingen in Microsoft Entra-id die door de wizard zijn aangebracht
Tijdens de installatie van Microsoft Entra Connect wordt een toepassing geregistreerd waar deze kenmerken beschikbaar zijn. U kunt deze toepassing zien in het Microsoft Entra-beheercentrum. Deze naam is altijd Tenant Schema Extension-app.
Notitie
De Tenant Schema Extension-app is een toepassing met alleen het systeem die niet kan worden verwijderd en definities van kenmerkuitbreidingen kunnen niet worden verwijderd.
Zorg dat u Alle toepassingen selecteert om deze app te zien.
Deze kenmerken worden vooraf gegaan door extensie _{ApplicationId}_. ApplicationId heeft dezelfde waarde voor alle kenmerken in uw Microsoft Entra-tenant. Deze waarde is nodig voor alle andere scenario's in dit onderwerp.
Kenmerken weergeven met de Microsoft-Graph API
Deze kenmerken zijn nu beschikbaar via de Microsoft-Graph API met Microsoft Graph Explorer.
Notitie
In de Microsoft-Graph API vraagt u om de kenmerken die moeten worden geretourneerd. Selecteer expliciet kenmerken zoals deze: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
.
Raadpleeg Microsoft Graph: Queryparameters gebruiken voor meer informatie.
Notitie
Het wordt niet ondersteund om kenmerkwaarden van Microsoft Entra Connect te synchroniseren met extensiekenmerken die niet zijn gemaakt door Microsoft Entra Connect. Als u dat doet, kunnen prestatieproblemen en onverwachte resultaten optreden. Alleen extensiekenmerken gemaakt zoals in het bovenstaande wordt weergegeven, worden ondersteund voor synchronisatie.
De kenmerken in dynamische lidmaatschapsgroepen gebruiken
Een van de nuttigere scenario's is het gebruik van deze kenmerken in dynamische beveiliging of Microsoft 365-groepen.
Maak een nieuwe groep in Microsoft Entra-id. Geef het een goede naam en zorg dat het lidmaatschapstype Dynamisch gebruiker is.
Selecteer dan Dynamische query toevoegen. Als u de eigenschappen bekijkt, dan ziet u deze uitgebreide kenmerken niet. U moet ze eerst toevoegen. Klik op Aangepaste extensie-eigenschappen ophalen, voer de toepassings-id in en klik vervolgens op Eigenschappen vernieuwen.
Open de vervolgkeuzelijst met eigenschappen en houd er rekening mee dat de kenmerken die u hebt toegevoegd, nu zichtbaar zijn.
Voltooi de expressie om aan de vereisten te voldoen. In ons voorbeeld is deze regel ingesteld op (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").
Nadat de groep is gemaakt, geeft u Microsoft Entra enige tijd om de leden te vullen en vervolgens de leden te controleren.
Volgende stappen
Meer informatie over de configuratie van Microsoft Entra Connect Sync .
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.