Синхронизация Подключение Microsoft Entra: расширения каталогов

Расширения каталогов можно использовать для расширения схемы в идентификаторе Microsoft Entra с собственными атрибутами из локальная служба Active Directory. Эта функция позволяет создавать бизнес-приложения с помощью атрибутов, которыми вы по-прежнему можете управлять локально. Эти атрибуты могут использоваться через расширения. Для просмотра доступных атрибутов можно использовать песочницу Microsoft Graph Explorer. Эту функцию также можно использовать для создания динамических групп в идентификаторе Microsoft Entra.

В настоящее время в рабочих нагрузках Microsoft 365 эти атрибуты не используются.

Внимание

Если вы экспортировали конфигурацию, содержащую настраиваемое правило, используемое для синхронизации атрибутов расширения каталога, и вы пытаетесь импортировать это правило в новую или существующую установку Microsoft Entra Подключение, это правило будет создано во время импорта, но атрибуты расширения каталога не будут сопоставлены. Чтобы исправить это, необходимо повторно выбрать атрибуты расширения каталога и повторно связать их с правилом или заново создать правило.

Настройка атрибутов для синхронизации с идентификатором Microsoft Entra

Дополнительные атрибуты для синхронизации выбираются в разделе пользовательских параметров мастера установки.

Мастер расширения схемы

Примечание.

Изменение или клонирование правил синхронизации для расширений каталогов может привести к проблемам синхронизации. Не поддерживается управление расширениями каталогов за пределами этой страницы мастера.

При установке отображаются следующие допустимые атрибуты:

  • Типы объектов пользователей и групп
  • Однозначные атрибуты: строка, логическое значение, целое число, двоичное значение.
  • Многозначные атрибуты: строка, двоичное значение.

Примечание.

Не все функции в идентификаторе Microsoft Entra поддерживают многозначные атрибуты расширения. Ознакомьтесь с документацией для возможности, в которой вы планируете использовать эти атрибуты, чтобы убедиться, что они поддерживаются.

Список атрибутов считывается из кэша схемы, созданного во время установки Microsoft Entra Подключение. Если в схему Active Directory добавлены дополнительные атрибуты, они будут отображаться только после обновления схемы.

Объект в идентификаторе Microsoft Entra может содержать до 100 атрибутов для расширений каталогов. Максимальная длина составляет 250 символов. Если значение атрибута больше, он будет усечен модулем синхронизации.

Примечание.

Синхронизация построенных атрибутов, например msDS-UserPasswordExpiryTimeComputed, не поддерживается. Если вы обновляете старую версию Microsoft Entra Подключение эти атрибуты по-прежнему отображаются в мастере установки, их не следует включать. Если это сделать, их значение не синхронизируется с идентификатором Microsoft Entra. Дополнительные сведения о созданных атрибутах см. в этой статье. Кроме того, не следует пытаться синхронизировать атрибуты без реплика, такие как badPwdCount, Last-Logon и Last-Logoff, так как их значения не будут синхронизированы с идентификатором Microsoft Entra.

Изменения конфигурации в идентификаторе Microsoft Entra, внесенные мастером

Во время установки Microsoft Entra Подключение приложение регистрируется, где доступны эти атрибуты. Это приложение можно увидеть в Центре администрирования Microsoft Entra. Оно всегда называется Tenant Schema Extension App.

Приложение расширения схемы

Примечание.

Приложение расширения схемы клиента — это приложение, доступное только для системы, которое не может быть удалено, а определения расширений атрибутов не могут быть удалены.

Чтобы отобразить это приложение, убедитесь в том, что выбран параметр Все приложения.

Атрибуты имеют префикс _{ApplicationId}_ расширения. ApplicationId имеет одинаковое значение для всех атрибутов в клиенте Microsoft Entra. Это значение потребуется для всех остальных сценариев в этом разделе.

Просмотр атрибутов с использованием API Microsoft Graph

Эти атрибуты теперь доступны в API Microsoft Graph при использовании Microsoft Graph Explorer.

Примечание.

В API Microsoft Graph необходимо запрашивать возвращаемые атрибуты. Явным образом выбираются, например, такие атрибуты: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Дополнительные сведения см. в разделе Параметр select.

Примечание.

Не поддерживается синхронизация значений атрибутов из Microsoft Entra Подключение с атрибутами расширения, которые не создаются Подключение Microsoft Entra. Это может привести к проблемам с производительностью и непредвиденным результатам. Поддерживается синхронизация только тех атрибутов расширений, которые созданы описанным выше образом.

Использование атрибутов в динамических группах

Одним из наиболее полезных сценариев является использование этих атрибутов в динамических группах безопасности или в группах Microsoft 365.

  1. Создайте группу в идентификаторе Microsoft Entra. Присвойте ей понятное имя и проверьте, что параметр Тип членства имеет значение Динамический пользователь.

    Снимок новой группы

  2. Выберите Добавить динамический запрос. Если вы посмотрите на свойства, то не увидите эти расширенные атрибуты. Сначала необходимо добавить их. Щелкните Получить настраиваемые свойства расширения, введите идентификатор приложения и нажмите кнопку Обновить свойства.

    Снимок с добавленными расширениями каталога

  3. Откройте раскрывающийся список свойств и обратите внимание, что добавленные атрибуты теперь отображаются.

    Снимок с новыми атрибутами, отображающимися в ИП

    Заполните выражение в соответствии со своими требованиями. В нашем примере задано правило (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Продажи и маркетинг").

  4. После создания группы предоставьте Microsoft Entra некоторое время для заполнения участников, а затем просмотрите участников.

    Снимок с членами динамической группы

Следующие шаги

Дополнительные сведения о конфигурации синхронизации Microsoft Entra Подключение.

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.