Azure AD Connect synchroniseren: Directory-extensies

  • Artikel

U kunt de adreslijstextensies gebruiken om het schema uit te breiden in Azure Active Directory (Azure AD) met eigen kenmerken uit on-premises Active Directory. Met deze functie kunt u LOB-apps bouwen door kenmerken te gebruiken die u vervolgens on-premises blijft beheren. U kunt deze kenmerken gebruiken via extensies. U kunt de beschikbare kenmerken bekijken met Microsoft Graph Explorer. U kunt deze functie ook gebruiken voor het maken van dynamische groepen in Azure AD.

Momenteel worden deze kenmerken niet door Microsoft 365-workloads verbruikt.

Belangrijk

Als u een configuratie hebt geëxporteerd die een aangepaste regel bevat die wordt gebruikt voor synchroniseren van adreslijstextensiekenmerken en u deze regel probeert te importeren in een nieuwe of bestaande installatie van Azure AD Connect, wordt de regel gemaakt tijdens importeren, maar worden de kenmerken van de adreslijstextensie niet toegewezen. U moet de kenmerken van de directory-extensie opnieuw selecteren en deze opnieuw koppelen aan de regel of de regel volledig opnieuw maken om dit op te lossen.

Aanpassen welke kenmerken moeten worden gesynchroniseerd met Azure AD

U configureert welke aanvullende kenmerken u wilt synchroniseren in het pad naar de aangepaste instellingen in de installatiewizard.

Notitie

In Azure AD Connect-versies die ouder zijn dan 1.2.65.0 is het zoekvak voor beschikbare kenmerken hoofdlettergevoelig.

Schema-extensiewizard

De installatie toont de volgende kenmerken, die allemaal geldige kandidaten zijn:

  • Objecttypen voor gebruiker en groep
  • Kenmerken met één waarde: tekenreeks, booleaanse waarde, geheel getal, binair
  • Kenmerken met meerdere waarden: tekenreeks, binair

Notitie

Niet alle functies in Azure Active Directory ondersteunen de extensiekenmerken met meerdere waarden. Raadpleeg de documentatie van de functie waarin u deze kenmerken wilt gebruiken om te bevestigen dat ze worden ondersteund. De lijst met kenmerken wordt gelezen uit de schema-cache gemaakt tijdens de installatie van Azure AD Connect. Als u het Active Directory-schema hebt uitgebreid met extra kenmerken, moet u het schema vernieuwen voordat de nieuwe kenmerken zichtbaar zijn.

Een object in Azure AD kan maximaal 100 kenmerken bevatten voor directory-extensies. Maximale lengte is 250 tekens. Als een kenmerkwaarde langer is, wordt deze waarde door de synchronisatie-engine afgekapt.

Notitie

Het wordt niet ondersteund voor synchroniseren van samengestelde kenmerken, zoals msDS-UserPasswordExpiryTimeComputed. Als u een upgrade uitvoert van een oude versie van AADConnect, dan worden deze kenmerken wellicht nog steeds weergegeven in de installatiewizard. Schakel ze echter niet in. De waarde wordt niet gesynchroniseerd met Azure AD als dat wel gebeurt. Meer informatie over samengestelde kenmerken vindt u in dit artikel. U moet ook niet proberen om niet-gerepliceerde kenmerken te synchroniseren, zoals badPwdCount, Last-Logon en Last-Logoff, omdat hun waarden niet worden gesynchroniseerd met Azure AD.

Configuratiewijzigingen in Azure AD gemaakt door de wizard

Tijdens installatie van Azure AD Connect wordt een toepassing geregistreerd waar deze kenmerken beschikbaar zijn. U kunt deze toepassing bekijken in de Azure Portal. Deze naam is altijd Tenant Schema Extension-app.

Schema-extensie-app

Zorg dat u Alle toepassingen selecteert om deze app te zien.

Deze kenmerken worden vooraf gegaan door extensie _{ApplicationId}_. ApplicationId heeft dezelfde waarde voor alle kenmerken in de Azure AD-tenant. Deze waarde is nodig voor alle andere scenario's in dit onderwerp.

Kenmerken weergeven met de Microsoft-Graph API

Deze kenmerken zijn nu beschikbaar via de Microsoft-Graph API met Microsoft Graph Explorer.

Notitie

In de Microsoft-Graph API vraagt u om de kenmerken die moeten worden geretourneerd. Selecteer expliciet kenmerken zoals deze: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Raadpleeg Microsoft Graph: Queryparameters gebruiken voor meer informatie.

Notitie

Kenmerkwaarden van AADConnect synchroniseren met extensiekenmerken die niet zijn gemaakt door AADConnect wordt niet ondersteund. Als u dat doet, kunnen prestatieproblemen en onverwachte resultaten optreden. Alleen extensiekenmerken gemaakt zoals in het bovenstaande wordt weergegeven, worden ondersteund voor synchronisatie.

Kenmerken in dynamische groepen gebruiken

Een van de nuttigere scenario's is het gebruik van deze kenmerken in dynamische beveiliging of Microsoft 365-groepen.

  1. Een nieuwe groep maken in Azure AD. Geef het een goede naam en zorg dat het lidmaatschapstypeDynamisch gebruiker is.

    Schermopname met een nieuwe groep

  2. Selecteer dan Dynamische query toevoegen. Als u de eigenschappen bekijkt, dan ziet u deze uitgebreide kenmerken niet. U moet ze eerst toevoegen. Klik op Aangepaste extensie-eigenschappen ophalen, voer de toepassings-id in en klik vervolgens op Eigenschappen vernieuwen.

    Schermopname waar directory-extensies zijn toegevoegd

  3. Open de vervolgkeuzelijst met eigenschappen en houd er rekening mee dat de kenmerken die u hebt toegevoegd, nu zichtbaar zijn.

    Schermopname met nieuwe attributen die worden weergegeven in de gebruikersinterface

    Voltooi de expressie om aan de vereisten te voldoen. In ons voorbeeld is deze regel ingesteld op (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").

  4. Nadat de groep is gemaakt, geeft u Azure AD de tijd om de leden te vullen en controleert u dan de leden.

    Schermopname met leden in de dynamische groep

Volgende stappen

Meer informatie over configuratie van de Azure AD Connect-synchronisatie.

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.