Synchronizace služby Azure AD Connect: Rozšíření adresářů

Rozšíření adresáře můžete použít k rozšíření schématu ve službě Azure Active Directory (Azure AD) s vlastními atributy z místní služby Active Directory. Tato funkce umožňuje vytvářet obchodní aplikace pomocí atributů, které budete dál spravovat místně. Tyto atributy je možné využívat prostřednictvím rozšíření. Dostupné atributy můžete zobrazit pomocí Microsoft Graph Exploreru. Tuto funkci můžete použít také k vytváření dynamických skupin v Azure AD.

V současné době žádné úlohy Microsoftu 365 tyto atributy nevyužívají.

Důležité

Pokud jste exportovali konfiguraci obsahující vlastní pravidlo používané k synchronizaci atributů rozšíření adresáře a pokusíte se toto pravidlo importovat do nové nebo existující instalace služby Azure AD Connect, pravidlo se vytvoří během importu, ale atributy rozšíření adresáře se nenamapují. Budete muset znovu vybrat atributy rozšíření adresáře a znovu je přidružit k pravidlu nebo znovu vytvořit pravidlo, aby se toto řešení vyřešilo.

Přizpůsobení atributů, které se mají synchronizovat s Azure AD

Nakonfigurujete, které další atributy chcete synchronizovat v cestě vlastního nastavení v průvodci instalací.

Poznámka

Ve verzích Azure AD Connect starších než 1.2.65.0 je vyhledávací pole Pro dostupné atributy citlivé na malá a velká písmena.

Schema extension wizard

Instalace zobrazuje následující atributy, které jsou platnými kandidáty:

  • Typy objektů uživatele a skupiny
  • Atributy s jednou hodnotou: String, Boolean, Integer, Binary
  • Atributy s více hodnotami: String, Binary

Poznámka

Ne všechny funkce v Azure Active Directory podporují atributy rozšíření s více hodnotami. Projděte si dokumentaci k funkci, ve které plánujete tyto atributy použít, a ověřte, že jsou podporované. Seznam atributů se načítá z mezipaměti schématu vytvořené během instalace služby Azure AD Connect. Pokud jste schéma služby Active Directory rozšířili o další atributy, musíte schéma aktualizovat , než budou tyto nové atributy viditelné.

Objekt v Azure AD může mít až 100 atributů pro rozšíření adresáře. Maximální délka je 250 znaků. Pokud je hodnota atributu delší, synchronizační modul ji zkrátí.

Poznámka

Nepodporuje synchronizaci vytvořených atributů, jako je msDS-UserPasswordExpiryTimeComputed. Pokud upgradujete ze staré verze AADConnect, pravděpodobně se tyto atributy zobrazí v průvodci instalací, neměli byste je ale povolit. Jejich hodnota se nebude synchronizovat s Azure AD, pokud to uděláte. Další informace o vytvořených atributech najdete v této artice. Neměli byste se také pokoušet synchronizovat nereplikované atributy, jako jsou badPwdCount, Last-Logon a Last-Logoff, protože jejich hodnoty nebudou synchronizovány do Azure AD.

Změny konfigurace v Azure AD provedené průvodcem

Během instalace služby Azure AD Connect je aplikace zaregistrovaná tam, kde jsou tyto atributy k dispozici. Tuto aplikaci můžete zobrazit na webu Azure Portal. Jeho název je vždy aplikace rozšíření schématu tenanta.

Schema extension app

Ujistěte se, že vyberete Všechny aplikace , abyste tuto aplikaci viděli.

Atributy jsou předponou přípony _{ApplicationId}_. Id aplikace má stejnou hodnotu pro všechny atributy ve vašem tenantovi Azure AD. Tuto hodnotu budete potřebovat pro všechny ostatní scénáře v tomto tématu.

Zobrazení atributů pomocí rozhraní Microsoft Graph API

Tyto atributy jsou teď dostupné prostřednictvím rozhraní Microsoft Graph API pomocí Microsoft Graph Exploreru.

Poznámka

V rozhraní Microsoft Graph API je potřeba požádat o vrácení atributů. Explicitně vyberte atributy, jako je tato: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Další informace najdete v tématu Microsoft Graph: Použití parametrů dotazu.

Poznámka

Nepodporuje se synchronizace hodnot atributů z AADConnect k atributům rozšíření, které AADConnect nevytvořil. To může vést k problémům s výkonem a neočekávaným výsledkům. Synchronizaci podporují pouze atributy rozšíření, které jsou vytvořeny, jak je znázorněno na výše uvedeném obrázku.

Použití atributů v dynamických skupinách

Jedním z užitečnějších scénářů je použití těchto atributů v dynamických skupinách zabezpečení nebo Microsoftu 365.

  1. Vytvořte novou skupinu v Azure AD. Pojmenujte ho a ujistěte se, že je typ členstvídynamický uživatel.

    Screenshot with a new group

  2. Vyberte možnost Přidat dynamický dotaz. Pokud se podíváte na vlastnosti, tyto rozšířené atributy se nezobrazí. Musíte je nejdřív přidat. Klikněte na Získat vlastnosti vlastního rozšíření, zadejte ID aplikace a klikněte na Aktualizovat vlastnosti.

    Screenshot where directory extensions have been added

  3. Otevřete rozevírací seznam vlastností a všimněte si, že přidané atributy jsou teď viditelné.

    Screenshot with new attributes showing up in the UI

    Vyplňte výraz tak, aby vyhovoval vašim požadavkům. V našem příkladu je pravidlo nastavené na (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").

  4. Po vytvoření skupiny dejte službě Azure AD nějakou dobu, abyste mohli členy naplnit a pak zkontrolovat členy.

    Screenshot with members in the dynamic group

Další kroky

Přečtěte si další informace o konfiguraci synchronizace služby Azure AD Connect .

Přečtěte si další informace o Integrování místních identit do služby Azure Active Directory.