Microsoft Entra Connect 同步:目录扩展
通过目录扩展,可以使用本地 Active Directory 中的属性扩展 Microsoft Entra ID 中的架构。 此功能允许使用继续在本地管理的属性来构建 LOB 应用。 可通过扩展使用这些属性。 可以使用 Microsoft Graph 浏览器查看可用属性。 还可以使用此功能在 Microsoft Entra ID 中创建动态成员资格组。
目前,没有任何 Microsoft 365 工作负荷使用这些属性。
重要
如果导出了一个包含用于同步目录扩展属性的自定义规则的配置,并尝试将此规则导入到新的或现有 Microsoft Entra Connect 安装中,系统会在导入过程中创建该规则,但不会映射其中的目录扩展属性。 你需要重新选择目录扩展属性并将其与规则重新关联,或完全重新创建规则,即可解决此问题。
自定义要与 Microsoft Entra ID 同步的属性
在安装向导的自定义设置路径中配置要同步的其他属性。
注意
手动编辑或克隆目录扩展的同步规则可能会导致同步问题。 不支持在此向导页面之外管理目录扩展。
安装显示以下属性,它们是有效的候选项:
- “用户”和“组”对象类型
- 单值属性:String、Boolean、Integer、Binary
- 多值属性:String、Binary
注意
并非 Microsoft Entra ID 中的所有功能都支持多值扩展属性。 请参阅你计划使用这些属性确认它们受支持的功能文档。
属性列表是从安装 Microsoft Entra Connect 期间创建的架构缓存中读取的。 如果已使用附加属性扩展了 Active Directory 架构,则必须刷新架构,然后这些新属性才可见。
Microsoft Entra ID 中的对象最多可以有 100 个目录扩展属性。 最大长度为 250 个字符。 如果属性值更长,则同步引擎会将其截断。
注意
不支持同步构造属性,如 msDS-UserPasswordExpiryTimeComputed。 如果从旧版本的 Microsoft Entra Connect 升级,则仍可能会在安装向导中看到这些属性,但你不应启用它们。 如果启用,则值不会同步到 Microsoft Entra ID。 你可以在此文中详细了解构造属性。 此外,不应尝试同步未复制的属性,例如 badPwdCount、Last-Logon 和 Last-Logoff,因为这些属性的值不会同步到 Microsoft Entra ID。
向导在 Microsoft Entra ID 中进行的配置更改
在安装 Microsoft Entra Connect 期间,会注册可以使用这些属性的应用程序。 可以在 Microsoft Entra 管理中心看到此应用程序。 其名称始终为“租户架构扩展应用” 。
注意
Tenant Schema Extension App 是一个仅限系统的应用程序,无法删除且无法删除属性扩展定义。
请确保选择“所有应用程序” 以查看此应用。
这些属性的前面带有扩展名 _{ApplicationId}_ 前缀。 对于 Microsoft Entra 租户中的所有属性,ApplicationId 具有相同的值。 本主题中的所有其他方案都需要此值。
使用 Microsoft Graph API 查看属性
通过使用 Microsoft Graph 浏览器,这些属性现在可以通过 Microsoft Graph API 获得。
注意
在 Microsoft Graph API 中,你需要请求要返回的属性。 按以下所示显式选择属性:https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
。
有关详细信息,请参阅 Microsoft Graph: Use query parameters(Microsoft Graph:使用查询参数)。
注意
不支持将 Microsoft Entra Connect 中的属性值同步到 Microsoft Entra Connect 未创建的扩展属性。 这样做可能会产生性能问题和意外结果。 仅支持同步如上所示创建的扩展属性。
在动态成员资格组中使用属性
更有用的方案之一是在动态安全组或 Microsoft 365 组中使用这些属性。
在 Microsoft Entra ID 中创建一个新组。 为其提供一个良好的名称,并确保成员身份类型是“动态用户”。
选择“添加动态查询”。 如果查看属性,则不会看到这些扩展属性。 需要先添加它们。 单击“获取自定义扩展属性”,输入应用程序 ID,然后单击“刷新属性”。
打开属性下拉列表,此时可观察到你已添加的属性现在可见。
完成表达式以满足你的需求。 在我们的示例中,规则设置为 (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") 。
创建组后,为 Microsoft Entra 提供一段时间来填充成员,然后查看成员。
后续步骤
详细了解 Microsoft Entra Connect 同步配置。
详细了解如何将本地标识与 Microsoft Entra ID 集成。