Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt directory-extensies gebruiken om het schema in Microsoft Entra ID uit te breiden met uw eigen kenmerken uit on-premises Active Directory. Met deze functie kunt u LOB-apps bouwen door kenmerken te gebruiken die u vervolgens on-premises blijft beheren. U kunt deze kenmerken gebruiken via extensies. U kunt de beschikbare kenmerken zien met behulp van Microsoft Graph Explorer, Microsoft Graph PowerShell SDK of Microsoft Entra PowerShell. Momenteel gebruikt geen Microsoft 365-werkbelasting deze kenmerken, maar u kunt deze functie gebruiken met dynamische groepslidmaatschappen in Microsoft Entra-id.
Selecteer welke kenmerken u wilt synchroniseren met Microsoft Entra-id
U configureert in de aangepaste instellingen welke uitgebreide kenmerken u wilt synchroniseren met behulp van de configuratiewizard van Microsoft Entra Connect.
De wizard toont de kenmerken die geldige kandidaten zijn die moeten worden gebruikt met Directory-extensies:
- Objecttypen voor gebruiker en groep
- Kenmerken met één waarde: tekenreeks, booleaanse waarde, geheel getal, binair
- Kenmerken met meerdere waarden: tekenreeks, binair
Belangrijke overwegingen bij het gebruik van directory-extensies
De lijst met kenmerken wordt gelezen uit het Active Directory-schema tijdens de eerste installatie van Microsoft Entra Connect. Als u het Active Directory-schema uitbreidt met meer aangepaste kenmerken, moet u het schema vernieuwen voordat deze nieuwe kenmerken zichtbaar zijn.
Als u een configuratie hebt geëxporteerd die een aangepaste regel bevat die wordt gebruikt voor het synchroniseren van kenmerken van de directory-extensie en u probeert deze regel te importeren in een nieuwe of bestaande installatie van Microsoft Entra Connect, wordt de regel gemaakt tijdens het importeren, maar zullen de directory-extensie-attributen niet worden toegewezen. U moet de kenmerken van de mapextensie opnieuw selecteren en deze opnieuw koppelen aan de regel of de regel opnieuw maken om dit probleem op te lossen.
Niet alle functies in Microsoft Entra ID bieden ondersteuning voor extensiekenmerken met meerdere waarden. Raadpleeg de documentatie van de functie waarin u van plan bent deze kenmerken te gebruiken om te bevestigen dat ze worden ondersteund.
Een object in Microsoft Entra-id kan maximaal 100 kenmerken hebben voor directory-extensies. Maximale lengte is 250 tekens. Als een kenmerkwaarde langer is, wordt deze waarde door de synchronisatie-engine afgekapt.
Het wordt niet ondersteund voor het synchroniseren van samengestelde kenmerken, zoals msDS-UserPasswordExpiryTimeComputed. Als u een upgrade uitvoert van een oude versie van Microsoft Entra Connect, worden deze kenmerken mogelijk nog steeds weergegeven in de installatiewizard, moet u deze niet inschakelen omdat de waarde niet wordt gesynchroniseerd met de Microsoft Entra-id. Learn-modus.
Het wordt niet ondersteund voor het synchroniseren van niet-gerepliceerde kenmerken, zoals badPwdCount, Last-Logon en Last-Logoff, omdat hun waarden niet worden gesynchroniseerd met Microsoft Entra ID.
Het wordt niet ondersteund voor het beheren van on-premises adreslijstextensies buiten de Microsoft Entra Connect-wizard. Handmatig bewerken of klonen van de synchronisatieregels voor Directory-extensies kan synchronisatieproblemen veroorzaken.
Het wordt niet ondersteund om kenmerkwaarden van Microsoft Entra Connect te synchroniseren met extensiekenmerken die niet zijn gemaakt door Microsoft Entra Connect. Als u dat doet, kunnen prestatieproblemen en onverwachte resultaten optreden.
Configuratiewijzigingen in Microsoft Entra-id die door de wizard zijn aangebracht
Tijdens de installatie van Microsoft Entra Connect wordt een toepassing geregistreerd waar deze kenmerken zijn geconfigureerd. U kunt deze toepassing zien in het Microsoft Entra-beheercentrum, met de naam tenantschema-extensie-app. Zorg ervoor dat u Alle toepassingen selecteert om deze app te zien.
Notitie
De Tenant Schema Extension App is een systeemtoepassing die niet kan worden verwijderd. Als u de serviceprincipal verwijdert die is gekoppeld aan de tenantschema-extensie-app, wordt de synchronisatie onderbroken. Als u de synchronisatie van adreslijstextensies wilt herstellen, herstelt u de voorlopig verwijderde service-principal of maakt u een nieuwe.
Uitgebreide kenmerken weergeven in Microsoft Entra-id
De indeling van uitgebreide kenmerken is extension_{ApplicationId}_<attributeName>
, waarbij ApplicationId de toepassings-id is van uw tenantschema-extensie-app. U hebt deze waarde nodig voor alle andere scenario's in dit onderwerp.
De Microsoft Graph API gebruiken
Deze kenmerken zijn beschikbaar via Microsoft Graph API met behulp van Microsoft Graph Explorer.
In de Microsoft-Graph API vraagt u om de kenmerken die moeten worden geretourneerd. Selecteer expliciet de kenmerken zoals deze:
https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
Raadpleeg Microsoft Graph: Queryparameters gebruiken voor meer informatie.
De Microsoft Graph PowerShell SDK gebruiken
- Haal de Tenant Schema Extension App applicatie op:
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
- Geef alle extensiekenmerken voor de tenantschema-extensie-app weer:
Get-MgDirectoryObjectAvailableExtensionProperty
- Geef alle extensiekenmerken voor een gebruikersobject weer:
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties
Microsoft Entra PowerShell gebruiken
- Haal de toepassings-id van de tenant-schema-extensie-app op:
Get-EntraApplication -SearchString "Tenant Schema Extension App"
- Toon alle extensiekenmerken voor de toepassing Tenant Schema Extension App:
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
- Geef alle extensiekenmerken voor een gebruikersobject weer:
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"
De kenmerken in dynamische lidmaatschapsgroepen gebruiken
Een van de handigste scenario's is het gebruik van extensiekenmerken in dynamische beveiliging of Microsoft 365-groepen.
Maak een nieuwe groep in Microsoft Entra-id. Geef deze een naam en zorg ervoor dat het lidmaatschapstypedynamische gebruiker is.
Selecteer dan Dynamische query toevoegen. Wanneer u de eigenschappen bekijkt, ontbreken deze uitgebreide kenmerken omdat u ze eerst moet toevoegen. Klik op Aangepaste extensie-eigenschappen ophalen, voer de toepassings-id in en klik vervolgens op Eigenschappen vernieuwen.
Open de vervolgkeuzelijst met eigenschappen en houd er rekening mee dat de kenmerken die u hebt toegevoegd, nu zichtbaar zijn.
Voltooi de expressie om aan uw vereisten te voldoen. In ons voorbeeld is de regel ingesteld op:
(user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")
Nadat de groep is gemaakt, geeft u Microsoft Entra enige tijd om de leden te vullen en de leden te controleren.
Volgende stappen
Meer informatie over de configuratie van Microsoft Entra Connect Sync .
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.