Microsoft Entra 連線 Sync:目錄延伸模組

  • 發行項

您可以使用目錄延伸模組,將 Microsoft Entra ID 中的架構與您自己的屬性從 內部部署的 Active Directory 擴充。 此功能可讓您建置 LOB 應用程式,方法是取用您在內部部署中持續進行管理的屬性。 您可以透過擴充功能來取用這些屬性。 您可以使用 Microsoft Graph Explorer 來查看可用的屬性。 您也可以使用這項功能,在 Microsoft Entra ID 中建立動態群組。

目前沒有任何 Microsoft 365 工作負載取用這些屬性。

重要

如果您導出的組態包含用來同步處理目錄擴充屬性的自定義規則,而且您嘗試將此規則匯入 Microsoft Entra 連線 的新或現有安裝中,則會在匯入期間建立規則,但不會對應目錄延伸模組屬性。 您必須重新選取目錄擴充屬性,並將其與規則重新建立關聯,或完全重新建立規則以修正此問題。

自訂要與 Microsoft Entra 識別碼同步處理的屬性

您可以在安裝精靈的自訂設定路徑中,設定您想要同步處理的其他屬性。

架構延伸模組精靈

注意

手動編輯或複製目錄延伸模組的同步處理規則可能會導致同步處理問題。 不支援在此精靈頁面外部管理目錄延伸模組。

安裝會顯示下列屬性,這些都是有效的候選項目:

  • 使用者和群組物件類型
  • 單一值屬性︰字串、布林值、整數、二進位檔
  • 多值屬性︰字串、二進位檔

注意

Microsoft Entra ID 中的所有功能都不支援多重值擴充屬性。 請參閱您打算使用這些屬性來確認支援這些屬性的功能文件。

屬性清單會從安裝 Microsoft Entra 連線 期間建立的架構快取讀取。 如果您已使用其他屬性擴充 Active Directory 結構描述,就必須重新整理結構描述,才可看見這些新屬性。

Microsoft Entra ID 中的物件最多可以有 100 個目錄延伸的屬性。 長度上限是 250 個字元。 如果屬性值較長,同步處理引擎就會加以截斷。

注意

不支援同步處理已建立的屬性,例如 msDS-UserPasswordExpiryTimeComputed。 如果您從舊版的 Microsoft Entra 升級 連線 您仍然可能會在安裝精靈中看到這些屬性,但您不應該啟用這些屬性。 如果您這麼做,其值將不會同步處理至 Microsoft Entra ID。 您可以在本文深入瞭解建構的屬性。 您也不應該嘗試同步 處理非複寫的屬性,例如 badPwdCount、Last-Logon 和 Last-Logoff,因為其值不會同步至 Microsoft Entra ID。

精靈在 Microsoft Entra ID 中的設定變更

在安裝 Microsoft Entra 連線 期間,應用程式會在這些屬性可供使用的地方註冊。 您可以在 Microsoft Entra 系統管理中心看到此應用程式。 其名稱一律是 Tenant Schema Extension App

架構延伸模組應用程式

注意

租使用者架構延伸模組應用程式是系統專用的應用程式,無法刪除和屬性延伸模組定義無法移除。

請確定選取 [所有應用程式] 以查看此應用程式。

屬性的前面會加上 extension _{ApplicationId}_。 ApplicationId 對於 Microsoft Entra 租使用者中的所有屬性具有相同的值。 本主題的所有其他案例都需要此值。

使用 Microsoft Graph API 來查看屬性

您現在可以使用 Microsoft Graph 總管,透過 Microsoft Graph API 取得這些屬性。

注意

在 Microsoft Graph API 中,您必須要求傳回屬性。 明確地選取屬性,如下所示:https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

如需詳細資訊,請參閱 Microsoft Graph:使用查詢參數

注意

不支援將屬性值從 Microsoft Entra 連線 同步至 Microsoft Entra 連線 未建立的擴充屬性。 這樣做可能會產生效能問題和非預期的結果。 同步處理只支援如上所示建立的擴充屬性。

使用動態群組中的屬性

其中一個比較實用的案例是在動態安全性或 Microsoft 365 群組中使用這些屬性。

  1. 在 Microsoft Entra ID 中建立新的群組。 請為其適當命名,並確定 [成員資格類型] 為 [動態使用者]

    具有新群組的螢幕快照

  2. 選取以 [新增動態查詢]。 如果您查看屬性,則不會看到這些擴充屬性。 您必須先新增這些項目。 按一下 [取得自訂擴充屬性]、輸入應用程式識別碼,然後按一下 [重新整理屬性]

    已新增目錄延伸模組的螢幕快照

  3. 開啟屬性下拉式清單,並注意您現在可以看見所新增的屬性。

    UI 中顯示新屬性的螢幕快照

    完成運算式以符合您的需求。 在我們的範例中,規則設定為 (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "銷售與行銷")

  4. 建立群組之後,請為 Microsoft Entra 提供一些時間來填入成員,然後檢閱成員。

    動態群組中成員的螢幕快照

下一步

深入瞭解 Microsoft Entra 連線 Sync 組態。

深入瞭解 整合內部部署身分識別與 Microsoft Entra ID