Dela via

Microsoft Entra Connect Sync: Katalogutvidgningar

Du kan använda katalogtillägg för att utöka schemat i Microsoft Entra-ID med dina egna attribut från lokal Active Directory. Med den här funktionen kan du skapa LOB-appar genom att använda attribut som du fortsätter att hantera lokalt. Dessa attribut kan användas via tillägg. Du kan se tillgängliga attribut med hjälp av Microsoft Graph Explorer, Microsoft Graph PowerShell SDK eller Microsoft Entra PowerShell. För närvarande använder ingen Microsoft 365-arbetsbelastning dessa attribut, men du kan använda den här funktionen med dynamiska gruppmedlemskap i Microsoft Entra-ID.

Välj vilka attribut som ska synkroniseras med Microsoft Entra-ID

Du konfigurerar vilka utökade attribut som du vill synkronisera med konfigurationsguiden för Microsoft Entra Connect i de anpassade inställningarna.

Guider för schematillägg

Guiden visar de attribut som är giltiga kandidater för användning med katalogtillägg.

  • Objekttyper för användare och grupper
  • Attribut med enkelvärde: Sträng, Booleskt värde, Heltal, Binärt
  • Flervärdesattribut: Sträng, Binär

Viktiga överväganden när du använder katalogtillägg

  • Listan över attribut läss från Active Directory-schemat under den första installationen av Microsoft Entra Connect. Om du utökar Active Directory-schemat med fler anpassade attribut måste du uppdatera schemat innan de nya attributen visas.

  • Om du har exporterat en konfiguration som innehåller en anpassad regel som används för att synkronisera katalogtilläggsattribut och du försöker importera den här regeln till en ny eller befintlig installation av Microsoft Entra Connect skapas regeln under importen, men katalogtilläggsattributen mappas inte. Du måste välja om attributen för katalogtillägget och associera dem med regeln igen eller återskapa regeln helt för att åtgärda detta.

  • Alla funktioner i Microsoft Entra ID stöder inte tilläggsattribut med flera värden. Se dokumentationen för den funktion där du planerar att använda dessa attribut för att bekräfta att de stöds.

  • Ett objekt i Microsoft Entra-ID kan ha upp till 100 attribut för katalogtillägg. Den maximala längden är 250 tecken. Om ett attributvärde är längre förkortar synkroniseringsmotorn det.

  • Det stöds inte för att synkronisera konstruerade attribut, till exempel msDS-UserPasswordExpiryTimeComputed. Om du uppgraderar från en gammal version av Microsoft Entra Connect kan de här attributen visas i installationsguiden. Du bör inte aktivera dem eftersom dess värde inte synkroniseras med Microsoft Entra-ID. Learn-läge.

  • Det går inte att synkronisera icke-replikerade attribut, till exempel badPwdCount, Last-Logon och Last-Logoff, eftersom deras värden inte synkroniseras med Microsoft Entra-ID.

  • Det stöds inte för att hantera lokala katalogtillägg utanför Microsoft Entra Connect-guiden. Manuell redigering eller kloning av synkroniseringsreglerna för katalogutvidgningar kan orsaka synkroniseringsproblem.

  • Det går inte att synkronisera attributvärden från Microsoft Entra Connect till tilläggsattribut som inte skapas av Microsoft Entra Connect. Detta kan leda till prestandaproblem och oväntade resultat.

Konfigurationsändringar i Microsoft Entra-ID som gjorts av guiden

Under installationen av Microsoft Entra Connect registreras ett program där dessa attribut konfigureras. Du kan se det här programmet i administrationscentret för Microsoft Entra med namnet Klientschematilläggsapp. Se till att du väljer Alla program för att se den här appen.

Schemautökningsapp

Anmärkning

Klientschematilläggsappen är ett systemspecifikt program som inte kan tas bort. Att radera den tjänstprinciplavärlden associerad med Tenant Schema Extension App bryter synkroniseringen. För att återställa synkroniseringen av Directory Extensions, återställ den mjukborttagna Service Principal eller skapa en ny.

Visa utökade attribut i Microsoft Entra-ID

Formatet för utökade attribut är extension_{ApplicationId}_<attributeName>, där ApplicationId är programidentifierare för klientschematilläggsappen. Du behöver det här värdet för alla andra scenarier i det här avsnittet.

Använda Microsoft Graph API

Dessa attribut är tillgängliga via Microsoft Graph API med hjälp av Microsoft Graph Explorer.

I Microsoft Graph-API:et måste du be om att attributen ska returneras. Välj uttryckligen attributen så här:

https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

Mer information finns i Microsoft Graph: Använd frågeparametrar.

Använda Microsoft Graph PowerShell SDK

  1. Hämta programprogrammet för klientschematillägg :
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
  1. Visa en lista över alla tilläggsattribut för klientschematilläggsappen:
Get-MgDirectoryObjectAvailableExtensionProperty
  1. Visa en lista över alla tilläggsattribut för ett användarobjekt:
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

Använda Microsoft Entra PowerShell

  1. Hämta programidentifieraren för klientschematillägget :
Get-EntraApplication -SearchString "Tenant Schema Extension App"
  1. Visa alla tilläggsattribut för klientschematilläggsappen.
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
  1. Visa en lista över alla tilläggsattribut för ett användarobjekt:
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

Använda attributen i dynamiska medlemskapsgrupper

Ett av de mest användbara scenarierna är att använda tilläggsattribut i dynamiska säkerhetsgrupper eller Microsoft 365-grupper.

  1. Skapa en ny grupp i Microsoft Entra-ID. Ge den ett namn och kontrollera att medlemskapstypen är dynamisk användare.

    Skärmbild med en ny grupp

  2. Välj för att lägga till dynamisk fråga. När du tittar på egenskaperna saknas dessa utökade attribut eftersom du måste lägga till dem först. Klicka på Hämta egenskaper för anpassat tillägg, ange program-ID och klicka på Uppdatera egenskaper.

    Skärmbild där katalogtillägg har lagts till

  3. Öppna listrutan för egenskapen och observera att de attribut som du har lagt till nu är synliga.

    Skärmbild med nya attribut som visas i användargränssnittet

  4. Fyll i uttrycket för att passa dina behov. I vårt exempel är regeln inställd på:

    (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")

  5. När gruppen har skapats ger du Microsoft Entra lite tid att fylla i medlemmarna och granska sedan medlemmarna.

    Skärmbild med medlemmar i den dynamiska gruppen

Nästa steg

Läs mer om Microsoft Entra Connect Sync-konfigurationen .

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.