クラウド同期ディレクトリ拡張機能とカスタム属性マッピング
Microsoft Entra ID からユーザー アカウントを基幹業務 (LOB)、SaaS アプリ、またはオンプレミス アプリケーションにプロビジョニングするときは、ユーザー プロファイルを作成するために必要なすべてのデータ (属性) が Microsoft Entra ID に含まれている必要があります。 ディレクトリ拡張機能を使用すると、オンプレミスの Active Directory から独自の属性を使用して、Microsoft Entra ID のスキーマを拡張できます。 この機能を利用すると、オンプレミスで引き続き管理する属性を使って LOB アプリを構築し、Microsoft Entra ID を介して Windows Server Active Directory から SaaS アプリにユーザーをプロビジョニングし、動的グループなどの Microsoft Entra ID と Microsoft Entra ID Governance 機能で拡張属性を使用できます。
ディレクトリ拡張機能の詳細については、要求でのディレクトリ拡張属性の使用に関するページ、「Microsoft Entra Connect Sync: ディレクトリ拡張機能」および「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。
使用可能な属性を確認するには、Microsoft Graph エクスプローラーを使用します。
Note
新しい Active Directory 拡張機能属性を検出するには、プロビジョニング エージェントを再起動する必要があります。 ディレクトリ拡張機能が作成されたら、エージェントを再起動する必要があります。 Microsoft Entra 拡張機能属性の場合、エージェントを再起動する必要はありません。
Microsoft Entra クラウド同期のディレクトリ拡張機能の同期
ディレクトリ拡張機能を使用すると、Microsoft Entra ID の同期スキーマ ディレクトリ定義を、独自の属性を使用して拡張できます。
重要
Microsoft Entra クラウド同期のディレクトリ拡張機能は、識別子 URI ''api://<tenantId>/CloudSyncCustomExtensionsApp'' および Microsoft Entra Connect によって作成された Tenant Schema Extension App を持つアプリケーションでのみサポートされます
ディレクトリ拡張機能のアプリケーションとサービス プリンシパルを作成する
識別子 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" を持つアプリケーションが存在しない場合はそれを作成し、そのアプリケーションにサービス プリンシパルが存在しない場合はそれを作成する必要があります。
識別子 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" を持つアプリケーションが存在するかどうかを確認します。
- Microsoft Graph を使用する
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')詳細については、「アプリケーションを取得する」を参照してください
- PowerShell の使用
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"詳細については、「Get-MgApplication」を参照してください
アプリケーションが存在しない場合は、識別子 URI が "api://<tenantId>/CloudSyncCustomExtensionsApp" であるアプリケーションを作成します。
- Microsoft Graph を使用する
POST https://graph.microsoft.com/v1.0/applications Content-type: application/json { "displayName": "CloudSyncCustomExtensionsApp", "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"] }詳細については、「アプリケーションを作成する」を参照してください
- PowerShell の使用
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"詳細については、「New-MgApplication」を参照してください
識別子 URI が "api://<tenantId>/CloudSyncCustomExtensionsApp" であるアプリケーションにサービス プリンシパルが存在するかどうかを確認します。
- Microsoft Graph を使用する
GET /servicePrincipals?$filter=(appId eq '{appId}')詳細については、「servicePrincipal を取得する」を参照してください
- PowerShell の使用
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"詳細については、「MgServicePrincipal を取得する」をご覧ください。
サービス プリンシパルが存在しない場合は、識別子 URI が "api://<tenantId>/CloudSyncCustomExtensionsApp" であるアプリケーションの新しいサービス プリンシパルを作成します
- Microsoft Graph を使用する
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "<application appId>" }詳細については、「servicePrincipal を作成する」を参照してください
- PowerShell の使用
New-MgServicePrincipal -AppId '<appId>'詳細については、「New-MgServicePrincipal」を参照してください。
Microsoft Entra ID では、いくつかの異なる方法でディレクトリ拡張機能を作成できます。
| メソッド | 説明 | URL |
|---|---|---|
| MS Graph | GRAPH を使用して拡張機能を作成する | extensionProperty を作成する |
| PowerShell | PowerShell を使用して拡張機能を作成する | New-MgApplicationExtensionProperty |
| クラウド同期と Microsoft Entra Connect の使用 | Microsoft Entra Connect を使用して拡張機能を作成する | Microsoft Entra Connect を使用して拡張属性を作成する |
| 同期する属性のカスタマイズ | 同期する属性のカスタマイズに関する情報 | Microsoft Entra ID と同期する属性をカスタマイズする |
属性マッピングを使用してディレクトリ拡張機能をマップする
カスタム属性が含まれるように Active Directory を拡張した場合は、これらの属性を追加してユーザーにマップできます。
属性を検出してマップするには、[属性マッピングの追加] を選びます。 属性は自動的に検出され、[ソース属性] のドロップダウンで使用できるようになります。 目的のマッピングの種類を入力し、[適用] をクリックします。
Microsoft Entra ID で追加および更新される新しい属性の詳細については、user リソース タイプに関する記事を参照し、変更通知のサブスクライブを検討してください。
拡張属性の詳細については、「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。