Inzicht in het Microsoft Entra-schema
Een object in Microsoft Entra ID, zoals elke map, is een programmatische gegevensconstructie op hoog niveau die zaken vertegenwoordigt zoals gebruikers, groepen en contactpersonen. Wanneer u een nieuwe gebruiker of contactpersoon maakt in Microsoft Entra ID, maakt u een nieuw exemplaar van dat object. Deze exemplaren kunnen worden onderscheiden op basis van hun eigenschappen.
Eigenschappen in Microsoft Entra ID zijn de elementen die verantwoordelijk zijn voor het opslaan van informatie over een exemplaar van een object in Microsoft Entra ID.
Het Microsoft Entra-schema definieert de regels waarvoor eigenschappen kunnen worden gebruikt in een vermelding, de soorten waarden die deze eigenschappen kunnen hebben en hoe gebruikers met deze waarden kunnen communiceren.
Microsoft Entra ID heeft twee typen eigenschappen:
- Ingebouwde eigenschappen: Eigenschappen die vooraf zijn gedefinieerd door het Microsoft Entra-schema. Deze eigenschappen bieden verschillende toepassingen en zijn al of niet toegankelijk.
- Directory-extensies: Eigenschappen die worden opgegeven, zodat u Microsoft Entra ID kunt aanpassen voor uw eigen gebruik. Als u bijvoorbeeld uw on-premises Active Directory hebt uitgebreid met een bepaald kenmerk en dat kenmerk wilt laten doorsturen, kunt u een van de opgegeven aangepaste eigenschappen gebruiken.
Elke configuratie van cloudsynchronisatie bevat een synchronisatieschema. Dit synchronisatieschema definieert welke objecten worden gesynchroniseerd en hoe ze worden gesynchroniseerd.
Kenmerken en expressies
Wanneer een object zoals een gebruiker is ingericht voor Microsoft Entra ID, wordt er een nieuw exemplaar van het gebruikersobject gemaakt. In dat geval worden ook de eigenschappen van het object gemaakt, ook wel de kenmerken genoemd. Aanvankelijk zijn de kenmerken van het net gemaakte object ingesteld op waarden die worden bepaald door de synchronisatieregels. Deze kenmerken worden daarna up-to-date gehouden met de cloudinrichtingsagent.
Gebruikers kunnen bijvoorbeeld deel uitmaken van een marketingafdeling. Hun Microsoft Entra-afdelingskenmerk wordt in eerste instantie gemaakt wanneer ze worden ingericht en de waarde is ingesteld op Marketing. Zes maanden later, wanneer ze de overstap maken naar Verkoop, wordt het kenmerk van de on-premises Active Directory-afdeling gewijzigd in Verkoop. Deze wijziging wordt gesynchroniseerd met Microsoft Entra-id en wordt weergegeven in hun Microsoft Entra-gebruikersobject.
Kenmerksynchronisatie kan direct zijn, waarbij de waarde in Microsoft Entra-id rechtstreeks is ingesteld op de waarde van het on-premises kenmerk. Of een programmatische expressie kan de synchronisatie uitvoeren. Er is een programmatische expressie nodig wanneer bepaalde logica of een bepaling moet worden gemaakt om de waarde te vullen.
Als u bijvoorbeeld het e-mailkenmerk 'john.smith@contoso.com' hebt en het gedeelte @contoso.com moet verwijderen en alleen de waarde 'john.smith' wilt doorsturen, gebruikt u iets als:
Replace([mail], "@contoso.com", , ,"", ,)
Voorbeeldinvoer/-uitvoer:
- INPUT (e-mail): "john.smith@contoso.com"
- UITVOER: "john.smith"
Zie Schrijfexpressies voor kenmerktoewijzingen in Microsoft Entra ID voor meer informatie over het schrijven van aangepaste expressies en de syntaxis.
De volgende tabel bevat algemene kenmerken en hoe deze worden gesynchroniseerd met Microsoft Entra-id.
| On-premises Active Directory | Toewijzingstype | Microsoft Entra ID |
|---|---|---|
| cn | Direct | commonName |
| countryCode | Direct | countryCode |
| displayName | Direct | displayName |
| givenName | Expressie | givenName |
| objectGUID | Direct | sourceAnchorBinary |
| userPrincipalName | Direct | userPrincipalName |
| proxyAddress | Direct | ProxyAddress |
Het synchronisatieschema weergeven
Waarschuwing
De configuratie van de cloudsynchronisatie maakt een service-principal aan. De service-principal is zichtbaar in het Microsoft Entra-beheercentrum. U moet de kenmerktoewijzingen niet wijzigen met behulp van de service-principal-ervaring in het Microsoft Entra-beheercentrum. Dit wordt niet ondersteund.
Volg deze stappen om het synchronisatieschema voor cloudsynchronisatie van de synchronisatie van cloudsynchronisatie weer te geven en te controleren.
Ga naar Grafiekverkenner.
Meld u aan met uw globale beheerdersaccount.
Selecteer Machtigingen wijzigen aan de linkerkant en zorg ervoor dat Directory.ReadWrite.Alltoestemming heeft.
Voer de query
https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’)uit. Deze query retourneert een gefilterde lijst met service-principals. Dit kan ook worden verkregen via het knooppunt App-registratie onder Microsoft Entra-id.Zoek
"appDisplayName": "Active Directory to Azure Active Directory Provisioning"en noteer de waarde voor"id"."value": [ { "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1", "deletedDateTime": null, "accountEnabled": true, "appDisplayName": "Active Directory to Azure Active Directory Provisioning", "appId": "1a4721b3-e57f-4451-ae87-ef078703ec94", "applicationTemplateId": null, "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "appRoleAssignmentRequired": false, "displayName": "Active Directory to Azure Active Directory Provisioning", "errorUrl": null, "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z", "loginUrl": null, "logoutUrl": null, "notificationEmailAddresses": [], "preferredSingleSignOnMode": null, "preferredTokenSigningKeyEndDateTime": null, "preferredTokenSigningKeyThumbprint": null, "publisherName": "Active Directory Application Registry", "replyUrls": [], "samlMetadataUrl": null, "samlSingleSignOnSettings": null, "servicePrincipalNames": [ "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary", "1a4721b3-e57f-4451-ae87-ef078703ec94" ], "signInAudience": "AzureADMultipleOrgs", "tags": [ "WindowsAzureActiveDirectoryIntegratedApp" ], "addIns": [], "api": { "resourceSpecificApplicationPermissions": [] }, "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "a0326856-1f51-4311-8ae7-a034d168eedf", "isEnabled": true, "origin": "Application", "value": null } ], "info": { "termsOfServiceUrl": null, "supportUrl": null, "privacyStatementUrl": null, "marketingUrl": null, "logoUrl": null }, "keyCredentials": [], "publishedPermissionScopes": [ { "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.", "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.", "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "value": "user_impersonation" } ], "passwordCredentials": [] },Vervang
{Service Principal id}door de gewenste waarde en voer de queryhttps://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/uit.Zoek
"id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976"en noteer de waarde voor"id".{ "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976", "templateId": "AD2AADProvisioning", "schedule": { "expiration": null, "interval": "PT2M", "state": "Active" }, "status": { "countSuccessiveCompleteFailures": 0, "escrowsPruned": false, "code": "Active", "lastSuccessfulExecutionWithExports": null, "quarantine": null, "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z", "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z", "troubleshootingUrl": "", "lastExecution": { "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24", "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 15, "countEscrowedRaw": 15, "countExported": 0, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "2019-11-20T16:15:21.116098Z", "timeEnded": "2019-11-20T16:17:24.7488681Z" }, "lastSuccessfulExecution": { "activityIdentifier": null, "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 0, "countEscrowedRaw": 0, "countExported": 5, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "0001-01-01T00:00:00Z", "timeEnded": "2019-11-20T14:09:46.8855027Z" }, "progress": [], "synchronizedEntryCountByType": [ { "key": "group to Group", "value": 33 }, { "key": "user to User", "value": 3 } ] }, "synchronizationJobSettings": [ { "name": "Domain", "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}" }, { "name": "DomainFQDN", "value": "contoso.com" }, { "name": "DomainNetBios", "value": "CONTOSO" }, { "name": "ForestFQDN", "value": "contoso.com" }, { "name": "ForestNetBios", "value": "CONTOSO" }, { "name": "QuarantineTooManyDeletesThreshold", "value": "500" } ] }Voer nu de query
https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schemauit.Vervang
{Service Principal Id}en{AD2ADD Provisioning Id}door uw eigen waarden.Deze query retourneert het synchronisatieschema.
