Расширения каталога облачной синхронизации и сопоставление настраиваемых атрибутов

Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в бизнес-строку (LOB), приложение SaaS или локальное приложение. Расширения каталогов можно использовать для расширения схемы в идентификаторе Microsoft Entra с собственными атрибутами из локальная служба Active Directory. Эта функция позволяет создавать бизнес-приложения, используя атрибуты, которые продолжают управлять локальными пользователями, подготавливать пользователей из Windows Server Active Directory с помощью идентификатора Microsoft Entra в приложения SaaS и использовать атрибуты расширения в идентификаторе Microsoft Entra ID и Управление идентификацией Microsoft Entra таких функций, как динамические группы.

Дополнительные сведения о расширениях каталогов см. в разделе "Использование атрибутов расширения каталога в утверждениях", Microsoft Entra Подключение Sync: расширения каталогов и атрибуты расширения синхронизации для подготовки приложений Microsoft Entra.

Для просмотра доступных атрибутов можно использовать песочницу Microsoft Graph Explorer.

Примечание.

Чтобы обнаружить новые атрибуты расширения Active Directory, агент подготовки должен быть перезапущен. После создания расширений каталога необходимо перезапустить агент. Для атрибутов расширения Microsoft Entra агент не должен быть перезапущен.

Синхронизация расширений каталогов для Microsoft Entra Cloud Sync

Расширения каталогов можно использовать для расширения определения каталога схемы синхронизации в идентификаторе Microsoft Entra с собственными атрибутами.

Внимание

Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp" и приложение расширения схемы клиента, созданное Microsoft Entra Подключение

Создание приложения и субъекта-службы для расширения каталога

Необходимо создать приложение с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp", если он не существует и создать субъект-службу для приложения, если он не существует.

1. Проверьте, существует ли приложение с URI идентификатора "api://< tenantId>/CloudSyncCustomExtensionsApp".

   • Использование Microsoft Graph

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   Дополнительные сведения см. в разделе "Получение приложения"

   • Использование PowerShell

   Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
   

   Дополнительные сведения см. в разделе Get-MgApplication

2. Если приложение не существует, создайте приложение с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp".

   • Использование Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
    "displayName": "CloudSyncCustomExtensionsApp",
    "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   Дополнительные сведения см. в разделе "Создание приложения"

   • Использование PowerShell

   New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"
   

   Дополнительные сведения см. в статье New-MgApplication

3. Проверьте, существует ли субъект-служба для приложения с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp".

   • Использование Microsoft Graph

   GET /servicePrincipals?$filter=(appId eq '{appId}')
   

   Дополнительные сведения см. в разделе "Получение субъекта-службы"

   • Использование PowerShell

   Get-MgServicePrincipal -Filter "AppId eq '<application id>'"
   

   Дополнительные сведения см. в разделе Get-MgServicePrincipal

4. Если субъект-служба не существует, создайте для приложения новый субъект-службу с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp".

   • Использование Microsoft Graph

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
   "appId": 
   "<application appId>"
   }
   

   Дополнительные сведения см. в разделе "Создание servicePrincipal"

   • Использование PowerShell

   New-MgServicePrincipal -AppId '<appId>'
   

   Дополнительные сведения см. в разделе New-MgServicePrincipal

5. Расширения каталогов можно создавать в идентификаторе Microsoft Entra различными способами.

Метод	Description	URL-адрес
MS Graph:	Создание расширений с помощью GRAPH	Создание расширенияProperty
PowerShell	Создание расширений с помощью PowerShell	New-MgApplicationExtensionProperty
Использование облачной синхронизации и Microsoft Entra Подключение	Создание расширений с помощью Microsoft Entra Подключение	Создание атрибута расширения с помощью Microsoft Entra Подключение
Настройка атрибутов для синхронизации	Сведения о настройке атрибутов для синхронизации	Настройка атрибутов для синхронизации с идентификатором Microsoft Entra

Сопоставление атрибутов для сопоставления расширений каталогов

Если вы расширили Active Directory для включения пользовательских атрибутов, вы можете добавить эти атрибуты и сопоставить их с пользователями.

Чтобы обнаружить и сопоставить атрибуты, выберите "Добавить сопоставление атрибутов". Атрибуты будут автоматически обнаружены и будут доступны в раскрывающемся списке под исходным атрибутом. Укажите нужный тип сопоставления и нажмите кнопку "Применить".

Сведения о новых атрибутах, добавленных и обновленных в идентификаторе Microsoft Entra, см user . в типе ресурса и о подписке на уведомления об изменениях.

Дополнительные сведения об атрибутах расширения см. в разделе "Синхронизация атрибутов расширения" для подготовки приложений Microsoft Entra.

Дополнительные ресурсы

• Общие сведения о схеме Microsoft Entra и пользовательских выражениях
• Синхронизация Подключение Microsoft Entra: расширения каталогов
• Сопоставление атрибутов в Microsoft Entra Cloud Sync