Microsoft Entra Připojení Sync: Rozšíření adresáře

  • Článek

Rozšíření adresáře můžete použít k rozšíření schématu v Microsoft Entra ID o vlastní atributy z místní Active Directory. Tato funkce umožňuje vytvářet obchodní aplikace pomocí atributů, které budete dál spravovat místně. Tyto atributy je možné využívat prostřednictvím rozšíření. Dostupné atributy můžete zobrazit pomocí Microsoft Graph Exploreru. Tuto funkci můžete také použít k vytvoření dynamických skupin v MICROSOFT Entra ID.

V současné době tyto atributy nevyužívají žádné úlohy Microsoftu 365.

Důležité

Pokud jste exportovali konfiguraci, která obsahuje vlastní pravidlo sloužící k synchronizaci atributů rozšíření adresáře a pokusíte se toto pravidlo importovat do nové nebo existující instalace microsoft Entra Připojení, pravidlo se vytvoří během importu, ale atributy rozšíření adresáře nebudou mapovány. Budete muset znovu vybrat atributy rozšíření adresáře a znovu je přidružit k pravidlu nebo znovu vytvořit pravidlo, aby se toto pravidlo vyřešilo.

Přizpůsobení atributů, které se mají synchronizovat s ID Microsoft Entra

Nakonfigurujete, které další atributy chcete synchronizovat v cestě k vlastnímu nastavení v průvodci instalací.

Průvodce rozšířením schématu

Poznámka:

Ruční úprava nebo klonování synchronizačních pravidel pro rozšíření adresářů může způsobit problémy se synchronizací. Není podporována správa rozšíření adresáře mimo tuto stránku průvodce.

Instalace zobrazuje následující atributy, které jsou platnými kandidáty:

  • Typy objektů uživatele a skupiny
  • Atributy s jednou hodnotou: String, Boolean, Integer, Binary
  • Atributy s více hodnotami: String, Binary

Poznámka:

Ne všechny funkce v Microsoft Entra ID podporují atributy rozšíření s více hodnotami. Informace o podporovaných atributech najdete v dokumentaci funkce, ve které chcete tyto atributy použít.

Seznam atributů se načte z mezipaměti schématu, která se vytvoří během instalace microsoft Entra Připojení. Pokud jste rozšířili schéma služby Active Directory o další atributy, je nutné aktualizovat schéma , aby byly tyto nové atributy viditelné.

Objekt v Microsoft Entra ID může mít až 100 atributů pro rozšíření adresáře. Maximální délka je 250 znaků. Pokud je hodnota atributu delší, synchronizační modul ji zkrátí.

Poznámka:

Nepodporuje synchronizaci konstruovaných atributů, jako je msDS-UserPasswordExpiryTimeComputed. Pokud upgradujete ze staré verze microsoft Entra Připojení tyto atributy se mohou stále zobrazovat v průvodci instalací, neměli byste je ale povolit. Jejich hodnota se v případě potřeby nesynchronizuje s ID Microsoft Entra. Další informace o konstruovaných atributech najdete v tomto článku. Neměli byste se také pokoušet synchronizovat nereplikované atributy, jako jsou badPwdCount, Last-Logon a Last-Logoff, protože jejich hodnoty se nebudou synchronizovat s Microsoft Entra ID.

Změny konfigurace v MICROSOFT Entra ID provedené průvodcem

Během instalace nástroje Microsoft Entra Připojení je aplikace zaregistrována tam, kde jsou tyto atributy k dispozici. Tuto aplikaci můžete zobrazit v Centru pro správu Microsoft Entra. Jeho název je vždy aplikace rozšíření schématu tenanta.

Aplikace rozšíření schématu

Poznámka:

Aplikace rozšíření schématu tenanta je aplikace určená jen pro systém, kterou nelze odstranit a definice rozšíření atributů nelze odebrat.

Zkontrolujte, že jste vybrali Všechny aplikace , abyste tuto aplikaci viděli.

Atributy mají předponu rozšíření _{ApplicationId}_. ApplicationId má stejnou hodnotu pro všechny atributy ve vašem tenantovi Microsoft Entra. Tuto hodnotu budete potřebovat pro všechny ostatní scénáře v tomto tématu.

Zobrazení atributů pomocí rozhraní Microsoft Graph API

Tyto atributy jsou nyní dostupné prostřednictvím rozhraní Microsoft Graph API pomocí Microsoft Graph Exploreru.

Poznámka:

V rozhraní Microsoft Graph API musíte požádat o vrácení atributů. Explicitně vyberte atributy, jako je tato: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Další informace najdete v tématu Microsoft Graph: Použití parametrů dotazu.

Poznámka:

Není podporována synchronizace hodnot atributů z Microsoft Entra Připojení s atributy rozšíření, které nejsou vytvořeny Microsoft Entra Připojení. To může vést k problémům s výkonem a neočekávaným výsledkům. Synchronizace podporuje pouze atributy rozšíření, které jsou vytvořeny, jak je znázorněno výše.

Použití atributů v dynamických skupinách

Jedním z užitečnějších scénářů je použití těchto atributů v dynamických skupinách zabezpečení nebo Microsoftu 365.

  1. Vytvořte novou skupinu v ID Microsoft Entra. Dejte mu dobrý název a ujistěte se, že typ členství je Dynamický uživatel.

    Snímek obrazovky s novou skupinou

  2. Vyberte možnost Přidat dynamický dotaz. Pokud se podíváte na vlastnosti, tyto rozšířené atributy se nezobrazí. Nejdřív je musíte přidat. Klepněte na tlačítko Získat vlastní vlastnosti rozšíření, zadejte ID aplikace a klepněte na tlačítko Aktualizovat vlastnosti.

    Snímek obrazovky s přidanou příponou adresáře

  3. Otevřete rozevírací seznam vlastností a všimněte si, že přidané atributy jsou teď viditelné.

    Snímek obrazovky s novými atributy zobrazenými v uživatelském rozhraní

    Vyplňte výraz tak, aby vyhovoval vašim požadavkům. V našem příkladu je pravidlo nastavené na (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing") (Prodej a marketing).

  4. Po vytvoření skupiny dejte microsoftu Entra nějaký čas na naplnění členů a pak zkontrolujte členy.

    Snímek obrazovky s členy v dynamické skupině

Další kroky

Přečtěte si další informace o konfiguraci Microsoft Entra Připojení Sync.

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.