Microsoft Entra Connect Sync: Extensões de diretório
É possível usar extensões de diretório para estender o esquema no Microsoft Entra ID com seus próprios atributos do Active Directory local. Esse recurso permite compilar aplicativos LOB ao consumir atributos que continuam gerenciando localmente. Esses atributos podem ser consumidos por meio de extensões. É possível ver os atributos disponíveis usando o Explorador do Microsoft Graph. Também é possível usar esse recurso para criar grupos dinâmicos no Microsoft Entra ID.
No momento, nenhuma carga de trabalho do Microsoft 365 consome esses atributos.
Importante
Se você tiver exportado uma configuração que contenha uma regra personalizada usada para sincronizar atributos de extensão de diretório e tentar importar essa regra para uma instalação nova ou existente do Microsoft Entra Connect, a regra será criada durante a importação, mas os atributos de extensão de diretório não serão mapeados. Você precisará selecionar os atributos de extensão de diretório novamente e reassociá-los à regra ou recriar a regra inteiramente para corrigir o problema.
Personalizar quais atributos sincronizar com o Microsoft Entra ID
Configure quais atributos adicionais você deseja sincronizar no caminho de configurações personalizadas no assistente de instalação.
Observação
Editar ou clonar manualmente as regras de sincronização para extensões de diretório pode causar problemas de sincronização. Não há suporte para gerenciar extensões de diretório fora desta página do assistente.
A instalação mostra os seguintes atributos, que são candidatos válidos:
- Tipos de objeto de Usuário e de Grupo
- Atributos de valor único: String, Boolean, Integer, Binary
- Atributos de vários valores: String, Binary
Observação
Nem todos os recursos do Microsoft Entra ID suportam atributos de extensão com vários valores. Consulte a documentação do recurso no qual você planeja usar esses atributos para confirmar se eles têm suporte.
A lista de atributos é lida a partir do cache de esquema criado durante a instalação do Microsoft Entra Connect. Se você estendeu o esquema do Active Directory com atributos adicionais, será necessário atualizar o esquema, antes que esses novos atributos fiquem visíveis.
Um objeto no Microsoft Entra ID pode ter até 100 atributos para extensões de diretório. O comprimento máximo é de 250 caracteres. Se um valor de atributo for maior, o mecanismo de sincronização irá truncá-lo.
Observação
Não há suporte para a sincronização de atributos construídos, como msDS-UserPasswordExpiryTimeComputed. Se você atualizar de uma versão antiga do Microsoft Entra Connect, ainda poderá ver esses atributos aparecerem no assistente de instalação, mas não deverá habilitá-los. Seu valor não será sincronizado com o Microsoft Entra ID se você fizer isso. Você pode ler mais sobre atributos construídos neste artigo. Você também não deve tentar sincronizar atributos não replicados, como badPwdCount, Last-Logon, e Last-Logoff, pois seus valores não serão sincronizados com o Microsoft Entra ID.
Alterações de configuração na ID de Microsoft Entra feitas pelo assistente
Durante a instalação do Microsoft Entra Connect, é registrado um aplicativo no qual esses atributos estão disponíveis. Você pode ver esse aplicativo no Centro de Administração do Microsoft Entra. Seu nome é sempre Tenant Schema Extension App.
Observação
O Tenant Schema Extension App é um aplicativo somente do sistema que não pode ser excluído e as definições de extensão de atributo não podem ser removidas.
Certifique-se de selecionar Todos os aplicativos para ver esse aplicativo.
Os atributos são prefixados com extension _{ApplicationId}_. ApplicationId tem o mesmo valor para todos os atributos no locatário do Microsoft Entra. Você precisará desse valor para todos os outros cenários neste tópico.
Exibir atributos usando a API do Microsoft Graph
Agora, esses atributos estão disponíveis por meio da API do Microsoft Graph, usando o Explorador do Microsoft Graph.
Observação
Na API do Microsoft Graph, é necessário solicitar que os atributos sejam retornados. Selecione os atributos explicitamente da seguinte forma: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.
Para obter mais informações, consulte Microsoft Graph: usar parâmetros de consulta.
Observação
Não há suporte para a sincronização de valores de atributo do Microsoft Entra Connect para atributos de extensão que não sejam criados pelo Microsoft Entra Connect. Isso pode gerar problemas de desempenho e resultados inesperados. Somente os atributos de extensão criados conforme mostrado acima têm suporte para sincronização.
Usar os atributos em grupos dinâmicos
Um dos cenários mais úteis é usar esses atributos em grupos de segurança dinâmica ou do Microsoft 365.
Crie um novo grupo em Microsoft Entra ID. Dê a ele um bom nome e certifique-se de que o Tipo de associação seja Usuário Dinâmico.
Selecione Adicionar consulta dinâmica. Se você olhar para as propriedades, não verá esses atributos estendidos. Será necessário adicioná-los primeiro. Clique em Obter propriedades de extensão personalizadas, insira a ID do Aplicativo e clique em Atualizar propriedades.
Abra a lista suspensa de propriedades e observe se, agora, os atributos adicionados estão visíveis.
Conclua a expressão para atender aos seus requisitos. No nosso exemplo, a regra é definida como (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Vendas e marketing") .
Depois que o grupo tiver sido criado, dê ao Microsoft Entra algum tempo para preencher os membros e, em seguida, revise-os.
Próximas etapas
Saiba mais sobre a configuração da Sincronização do Microsoft Entra Connect.
Saiba mais sobre Integração de identidades locais com o Microsoft Entra ID.