Microsoft Entra Connect Sync: rozszerzenia katalogu
Rozszerzenia katalogów umożliwiają rozszerzenie schematu w usłudze Microsoft Entra ID własnymi atrybutami z lokalna usługa Active Directory. Ta funkcja umożliwia tworzenie aplikacji biznesowych przez używanie atrybutów, którymi nadal zarządzasz lokalnie. Te atrybuty mogą być używane za pośrednictwem rozszerzeń. Dostępne atrybuty można wyświetlić przy użyciu Eksploratora programu Microsoft Graph. Ta funkcja umożliwia również tworzenie dynamicznych grup członkostwa w usłudze Microsoft Entra ID.
Obecnie żadne obciążenie platformy Microsoft 365 nie zużywa tych atrybutów.
Ważne
Jeśli wyeksportowano konfigurację zawierającą niestandardową regułę używaną do synchronizowania atrybutów rozszerzenia katalogu i próbujesz zaimportować tę regułę do nowej lub istniejącej instalacji programu Microsoft Entra Connect, reguła zostanie utworzona podczas importowania, ale atrybuty rozszerzenia katalogu nie zostaną zamapowane. Należy ponownie wybrać atrybuty rozszerzenia katalogu i ponownie skojarzyć je z regułą lub utworzyć ponownie regułę w całości, aby rozwiązać ten problem.
Dostosowywanie atrybutów do synchronizacji z identyfikatorem Entra firmy Microsoft
Należy skonfigurować dodatkowe atrybuty, które mają być synchronizowane w ścieżce ustawień niestandardowych w kreatorze instalacji.
Uwaga
Ręczne edytowanie lub klonowanie reguł synchronizacji dla rozszerzeń katalogu może powodować problemy z synchronizacją. Zarządzanie rozszerzeniami katalogu poza tą stroną kreatora nie jest obsługiwane.
Instalacja pokazuje następujące atrybuty, które są prawidłowymi kandydatami:
- Typy obiektów użytkownika i grupy
- Atrybuty z jedną wartością: String, Boolean, Integer, Binary
- Atrybuty wielowarte: Ciąg, Binarne
Uwaga
Nie wszystkie funkcje w identyfikatorze Entra firmy Microsoft obsługują atrybuty rozszerzenia wielowartego. Zapoznaj się z dokumentacją funkcji, w której planujesz używać tych atrybutów, aby potwierdzić, że są one obsługiwane.
Lista atrybutów jest odczytywana z pamięci podręcznej schematów utworzonej podczas instalacji programu Microsoft Entra Connect. Jeśli schemat usługi Active Directory został rozszerzony o dodatkowe atrybuty, należy odświeżyć schemat , zanim te nowe atrybuty będą widoczne.
Obiekt w identyfikatorze Entra firmy Microsoft może mieć maksymalnie 100 atrybutów dla rozszerzeń katalogu. Maksymalna długość to 250 znaków. Jeśli wartość atrybutu jest dłuższa, aparat synchronizacji go obcina.
Uwaga
Synchronizacja skonstruowanych atrybutów, takich jak msDS-UserPasswordExpiryTimeComputed, nie jest obsługiwana. W przypadku uaktualnienia ze starej wersji programu Microsoft Entra Connect te atrybuty mogą być nadal widoczne w kreatorze instalacji, nie należy ich jednak włączać. Ich wartość nie zostanie zsynchronizowana z identyfikatorem Entra firmy Microsoft, jeśli to zrobisz. Więcej informacji o skonstruowanych atrybutach można przeczytać w tym artykule. Nie należy również próbować synchronizować atrybutów niereplikowanych, takich jak badPwdCount, Last-Logon i Last-Logoff, ponieważ ich wartości nie zostaną zsynchronizowane z identyfikatorem Entra firmy Microsoft.
Zmiany konfiguracji w identyfikatorze Entra firmy Microsoft wprowadzone przez kreatora
Podczas instalacji programu Microsoft Entra Connect aplikacja jest rejestrowana, gdy te atrybuty są dostępne. Tę aplikację można zobaczyć w centrum administracyjnym firmy Microsoft Entra. Jego nazwa to zawsze aplikacja rozszerzenia schematu dzierżawy.
Uwaga
Aplikacja rozszerzenia schematu dzierżawy to aplikacja tylko dla systemu, która nie może zostać usunięta, a nie można usunąć definicji rozszerzeń atrybutów.
Upewnij się, że wybrano pozycję Wszystkie aplikacje , aby wyświetlić tę aplikację.
Atrybuty są poprzedzone rozszerzeniem _{ApplicationId}_. ApplicationId ma tę samą wartość dla wszystkich atrybutów w dzierżawie firmy Microsoft Entra. Ta wartość będzie potrzebna dla wszystkich innych scenariuszy w tym temacie.
Wyświetlanie atrybutów przy użyciu interfejsu API programu Microsoft Graph
Te atrybuty są teraz dostępne za pośrednictwem interfejsu API programu Microsoft Graph przy użyciu Eksploratora programu Microsoft Graph.
Uwaga
W interfejsie API programu Microsoft Graph należy poprosić o zwrócenie atrybutów. Jawnie wybierz atrybuty w następujący sposób: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.
Aby uzyskać więcej informacji, zobacz Microsoft Graph: Use query parameters (Program Microsoft Graph: używanie parametrów zapytania).
Uwaga
Nie jest obsługiwane synchronizowanie wartości atrybutów z programu Microsoft Entra Connect z atrybutami rozszerzenia, które nie są tworzone przez program Microsoft Entra Connect. Może to powodować problemy z wydajnością i nieoczekiwane wyniki. Tylko atrybuty rozszerzenia, które są tworzone, jak pokazano powyżej, są obsługiwane na potrzeby synchronizacji.
Używanie atrybutów w dynamicznych grupach członkostwa
Jednym z bardziej przydatnych scenariuszy jest użycie tych atrybutów w grupach zabezpieczeń dynamicznych lub platformy Microsoft 365.
Utwórz nową grupę w usłudze Microsoft Entra ID. Nadaj mu dobrą nazwę i upewnij się, że typ członkostwa to Użytkownik dynamiczny.
Wybierz pozycję Dodaj zapytanie dynamiczne. Jeśli przyjrzysz się właściwościom, nie zobaczysz tych atrybutów rozszerzonych. Najpierw należy je dodać. Kliknij pozycję Pobierz właściwości rozszerzenia niestandardowego, wprowadź identyfikator aplikacji, a następnie kliknij pozycję Odśwież właściwości.
Otwórz listę rozwijaną właściwości i zwróć uwagę, że dodane atrybuty są teraz widoczne.
Wypełnij wyrażenie zgodnie z wymaganiami. W naszym przykładzie reguła jest ustawiona na (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").
Po utworzeniu grupy daj firmie Microsoft Entra trochę czasu na wypełnienie członków, a następnie przejrzyj członków.
Następne kroki
Dowiedz się więcej o konfiguracji programu Microsoft Entra Connect Sync .
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.