Sincronização do Azure AD Connect: extensões do Directory

É possível usar extensões de diretório para estender o esquema no Azure AD (Microsoft Azure Active Directory) com seus próprios atributos do Active Directory local. Esse recurso permite compilar aplicativos LOB ao consumir atributos que continuam gerenciando localmente. Esses atributos podem ser consumidos por meio de extensões. É possível ver os atributos disponíveis usando o Explorador do Microsoft Graph. Também é possível usar esse recurso para criar grupos dinâmicos no Azure AD.

No momento, nenhuma carga de trabalho do Microsoft 365 consome esses atributos.

Importante

Se você tiver exportado uma configuração que contém uma regra personalizada que é usada para sincronizar atributos de extensão de diretório, ao tentar importar essa regra para uma instalação nova ou existente do Azure AD Connect, ela será criada durante a importação, mas os atributos de extensão de diretório não serão mapeados. Você precisará selecionar os atributos de extensão de diretório novamente e reassociá-los à regra ou recriar a regra inteiramente para corrigir o problema.

Personalizar quais atributos sincronizar com o Azure AD

Configure quais atributos adicionais você deseja sincronizar no caminho de configurações personalizadas no assistente de instalação.

Observação

Em versões do Azure AD Connect anteriores à 1.2.65.0, a caixa de pesquisa para Atributos disponíveis diferencia maiúsculas de minúsculas.

Schema extension wizard

A instalação mostra os seguintes atributos, que são candidatos válidos:

  • Tipos de objeto de Usuário e de Grupo
  • Atributos de valor único: String, Boolean, Integer, Binary
  • Atributos de vários valores: String, Binary

Observação

Nem todos os recursos no Azure Active Directory dão suporte a atributos de extensão com vários valores. Consulte a documentação do recurso no qual você planeja usar esses atributos para confirmar se eles têm suporte. A lista de atributos é lida a partir do cache de esquema criado durante a instalação do Azure AD Connect. Se você estendeu o esquema do Active Directory com atributos adicionais, será necessário atualizar o esquema, antes que esses novos atributos fiquem visíveis.

Um objeto no Azure Active Directory pode ter até 100 atributos para extensões de diretório. O comprimento máximo é de 250 caracteres. Se um valor de atributo for maior, o mecanismo de sincronização irá truncá-lo.

Observação

Não há suporte para a sincronização de atributos construídos, como msDS-UserPasswordExpiryTimeComputed. Se você atualizar de uma versão antiga do AADConnect, você ainda poderá ver esses atributos aparecerem no assistente de instalação, mas não deverá habilitá-los. Seu valor não será sincronizado com o Azure Active Directory, se você fizer isso. Você pode ler mais sobre atributos construídos neste artigo. Você também não deve tentar sincronizar atributos não replicados, como badPwdCount, Last-Logon, e Last-Logoff, pois seus valores não serão sincronizados com o Azure Active Directory.

Alterações de configuração no Azure AD feitas pelo assistente

Durante a instalação do Azure AD Connect, é registrado um aplicativo no qual esses atributos estão disponíveis. Você pode ver esse aplicativo no Portal do Azure. Seu nome é sempre Tenant Schema Extension App.

Schema extension app

Certifique-se de selecionar Todos os aplicativos para ver esse aplicativo.

Os atributos são prefixados com extension _{ApplicationId}_. ApplicationId tem o mesmo valor para todos os atributos no locatário do Azure AD. Você precisará desse valor para todos os outros cenários neste tópico.

Exibir atributos usando a API do Microsoft Graph

Agora, esses atributos estão disponíveis por meio da API do Microsoft Graph, usando o Explorador do Microsoft Graph.

Observação

Na API do Microsoft Graph, é necessário solicitar que os atributos sejam retornados. Selecione os atributos explicitamente da seguinte forma: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Para obter mais informações, consulte Microsoft Graph: usar parâmetros de consulta.

Observação

Não há suporte para a sincronização de valores de atributo do AADConnect para atributos de extensão que não sejam criados pelo AADConnect. Isso pode gerar problemas de desempenho e resultados inesperados. Somente os atributos de extensão criados conforme mostrado acima têm suporte para sincronização.

Usar os atributos em grupos dinâmicos

Um dos cenários mais úteis é usar esses atributos em grupos de segurança dinâmica ou do Microsoft 365.

  1. Crie um grupo no Azure AD. Dê a ele um bom nome e certifique-se de que o Tipo de associação seja Usuário Dinâmico.

    Screenshot with a new group

  2. Selecione Adicionar consulta dinâmica. Se você olhar para as propriedades, não verá esses atributos estendidos. Será necessário adicioná-los primeiro. Clique em Obter propriedades de extensão personalizadas, insira a ID do Aplicativo e clique em Atualizar propriedades.

    Screenshot where directory extensions have been added

  3. Abra a lista suspensa de propriedades e observe se, agora, os atributos adicionados estão visíveis.

    Screenshot with new attributes showing up in the UI

    Conclua a expressão para atender aos seus requisitos. No nosso exemplo, a regra é definida como (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Vendas e marketing") .

  4. Depois que o grupo tiver sido criado, dê ao Azure AD algum tempo para preencher os membros e, em seguida, revise os membros.

    Screenshot with members in the dynamic group

Próximas etapas

Saiba mais sobre a configuração de sincronização do Azure AD Connect .

Saiba mais sobre Como integrar suas identidades locais ao Active Directory do Azure.