Vysvětlení schématu Microsoft Entra
Objekt v Microsoft Entra ID, stejně jako jakýkoli adresář, je programový datový konstruktor vysoké úrovně, který představuje například uživatele, skupiny a kontakty. Při vytváření nového uživatele nebo kontaktu v Microsoft Entra ID vytváříte novou instanci tohoto objektu. Tyto instance lze odlišit na základě jejich vlastností.
Vlastnosti v Microsoft Entra ID jsou prvky zodpovědné za ukládání informací o instanci objektu v Microsoft Entra ID.
Schéma Microsoft Entra definuje pravidla, pro které vlastnosti mohou být použity v položce, druhy hodnot, které tyto vlastnosti mohou mít a jak uživatelé mohou s těmito hodnotami pracovat.
ID Microsoft Entra má dva typy vlastností:
- Předdefinované vlastnosti: Vlastnosti předdefinované schématem Microsoft Entra. Tyto vlastnosti poskytují různá použití a můžou nebo nemusí být přístupné.
- Rozšíření adresáře: Vlastnosti, které jsou k dispozici, abyste mohli přizpůsobit ID Microsoft Entra pro vlastní použití. Pokud jste například rozšířili místní Active Directory s určitým atributem a chcete tok tohoto atributu, můžete použít jednu z poskytnutých vlastních vlastností.
Každá konfigurace synchronizace cloudu zahrnuje schéma synchronizace. Toto schéma synchronizace definuje, které objekty se budou synchronizovat a jak se synchronizují.
Atributy a výrazy
Když je objekt, jako je uživatel zřízen pro Microsoft Entra ID, vytvoří se nová instance objektu uživatele. Toto vytvoření zahrnuje vlastnosti tohoto objektu, které se také označují jako atributy. Nově vytvořený objekt má zpočátku své atributy nastavené na hodnoty, které jsou určeny pravidly synchronizace. Tyto atributy se pak udržují v aktualizovaném stavu prostřednictvím agenta zřizování cloudu.
Uživatel může být například součástí marketingového oddělení. Jeho atribut oddělení Microsoft Entra se zpočátku vytvoří při zřizování a hodnota je nastavená na Marketing. Šest měsíců později, pokud se změní na Sales, změní se jeho atribut místní Active Directory oddělení na Sales. Tato změna se synchronizuje s ID Microsoft Entra a projeví se v jeho objektu uživatele Microsoft Entra.
Synchronizace atributů může být přímá, kde hodnota v MICROSOFT Entra ID je přímo nastavená na hodnotu místního atributu. Nebo programový výraz může zpracovávat synchronizaci. Programový výraz je potřeba v případech, kdy je nutné provést určitou logiku nebo určení, aby se hodnota naplnila.
Pokud jste například měli atribut e-mailu "john.smith@contoso.com" a potřebovali jste část @contoso.com vypsat a tok pouze hodnoty john.smith, použili byste něco takového:
Replace([mail], "@contoso.com", , ,"", ,)
Ukázkový vstup/výstup:
- INPUT (pošta): "john.smith@contoso.com"
- VÝSTUP: "john.smith"
Další informace o zápisu vlastních výrazů a syntaxe naleznete v tématu Zápis výrazů pro mapování atributů v Microsoft Entra ID.
Následující tabulka uvádí běžné atributy a jejich synchronizaci s ID Microsoft Entra.
| Místní služby Active Directory | Typ mapování | Microsoft Entra ID |
|---|---|---|
| Kn | Direct | commonName |
| countryCode | Direct | countryCode |
| displayName | Direct | displayName |
| givenName | Výraz | givenName |
| objectGUID | Direct | sourceAnchorBinary |
| userPrincipalName (Hlavní název uživatele) | Direct | userPrincipalName (Hlavní název uživatele) |
| Proxyaddress | Direct | Proxyaddress |
Zobrazení schématu synchronizace
Upozorňující
Konfigurace synchronizace cloudu vytvoří instanční objekt. Instanční objekt je viditelný v Centru pro správu Microsoft Entra. Mapování atributů byste neměli upravovat pomocí instančního prostředí v Centru pro správu Microsoft Entra. Tato funkce není podporovaná.
Pokud chcete zobrazit schéma synchronizace konfigurace synchronizace cloudu a ověřit ho, postupujte podle těchto kroků.
Přejděte do Graph Exploreru.
Přihlaste se pomocí účtu globálního správce.
Na levé straně vyberte upravit oprávnění a ujistěte se, že directory.ReadWrite.All je souhlas.
Spusťte dotaz
https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’). Tento dotaz vrátí filtrovaný seznam instančních objektů. Můžete ho získat také prostřednictvím uzlu Registrace aplikace v rámci ID Microsoft Entra.Vyhledejte a poznamenejte
"appDisplayName": "Active Directory to Azure Active Directory Provisioning"si hodnotu pro"id"."value": [ { "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1", "deletedDateTime": null, "accountEnabled": true, "appDisplayName": "Active Directory to Azure Active Directory Provisioning", "appId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "applicationTemplateId": null, "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee", "appRoleAssignmentRequired": false, "displayName": "Active Directory to Azure Active Directory Provisioning", "errorUrl": null, "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z", "loginUrl": null, "logoutUrl": null, "notificationEmailAddresses": [], "preferredSingleSignOnMode": null, "preferredTokenSigningKeyEndDateTime": null, "preferredTokenSigningKeyThumbprint": null, "publisherName": "Active Directory Application Registry", "replyUrls": [], "samlMetadataUrl": null, "samlSingleSignOnSettings": null, "servicePrincipalNames": [ "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary", "1a4721b3-e57f-4451-ae87-ef078703ec94" ], "signInAudience": "AzureADMultipleOrgs", "tags": [ "WindowsAzureActiveDirectoryIntegratedApp" ], "addIns": [], "api": { "resourceSpecificApplicationPermissions": [] }, "appRoles": [ { "allowedMemberTypes": [ "User" ], "description": "msiam_access", "displayName": "msiam_access", "id": "a0326856-1f51-4311-8ae7-a034d168eedf", "isEnabled": true, "origin": "Application", "value": null } ], "info": { "termsOfServiceUrl": null, "supportUrl": null, "privacyStatementUrl": null, "marketingUrl": null, "logoUrl": null }, "keyCredentials": [], "publishedPermissionScopes": [ { "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.", "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688", "isEnabled": true, "type": "User", "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.", "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning", "value": "user_impersonation" } ], "passwordCredentials": [] },Nahraďte
{Service Principal id}hodnotou a spusťte dotazhttps://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/.Vyhledejte a poznamenejte
"id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976"si hodnotu pro"id".{ "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976", "templateId": "AD2AADProvisioning", "schedule": { "expiration": null, "interval": "PT2M", "state": "Active" }, "status": { "countSuccessiveCompleteFailures": 0, "escrowsPruned": false, "code": "Active", "lastSuccessfulExecutionWithExports": null, "quarantine": null, "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z", "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z", "troubleshootingUrl": "", "lastExecution": { "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24", "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 15, "countEscrowedRaw": 15, "countExported": 0, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "2019-11-20T16:15:21.116098Z", "timeEnded": "2019-11-20T16:17:24.7488681Z" }, "lastSuccessfulExecution": { "activityIdentifier": null, "countEntitled": 0, "countEntitledForProvisioning": 0, "countEscrowed": 0, "countEscrowedRaw": 0, "countExported": 5, "countExports": 0, "countImported": 0, "countImportedDeltas": 0, "countImportedReferenceDeltas": 0, "state": "Succeeded", "error": null, "timeBegan": "0001-01-01T00:00:00Z", "timeEnded": "2019-11-20T14:09:46.8855027Z" }, "progress": [], "synchronizedEntryCountByType": [ { "key": "group to Group", "value": 33 }, { "key": "user to User", "value": 3 } ] }, "synchronizationJobSettings": [ { "name": "Domain", "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}" }, { "name": "DomainFQDN", "value": "contoso.com" }, { "name": "DomainNetBios", "value": "CONTOSO" }, { "name": "ForestFQDN", "value": "contoso.com" }, { "name": "ForestNetBios", "value": "CONTOSO" }, { "name": "QuarantineTooManyDeletesThreshold", "value": "500" } ] }Nyní spusťte dotaz
https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schema.Nahraďte
{Service Principal Id}hodnoty a{AD2ADD Provisioning Id}nahraďte je.Tento dotaz vrátí schéma synchronizace.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro