Синхронизация Azure AD Connect: расширения каталоговAzure AD Connect sync: Directory extensions

Расширения каталогов можно использовать для расширения схемы в Azure Active Directory (Azure AD) с помощью собственных атрибутов из локального каталога Active Directory.You can use directory extensions to extend the schema in Azure Active Directory (Azure AD) with your own attributes from on-premises Active Directory. Эта функция позволяет создавать бизнес-приложения с помощью атрибутов, которыми вы по-прежнему можете управлять локально.This feature enables you to build LOB apps by consuming attributes that you continue to manage on-premises. Эти атрибуты можно использовать с помощью расширений.These attributes can be consumed through extensions. Доступные атрибуты можно просмотреть с помощью обозревателя Microsoft Graph.You can see the available attributes by using Microsoft Graph Explorer. Эту функцию также можно использовать для создания динамических групп в Azure AD.You can also use this feature to create dynamic groups in Azure AD.

В настоящее время рабочие нагрузки Office 365 не используют эти атрибуты.At present, no Office 365 workload consumes these attributes.

Настройка атрибутов для синхронизации с Azure ADCustomize which attributes to synchronize with Azure AD

Дополнительные атрибуты для синхронизации выбираются в разделе пользовательских параметров мастера установки.You configure which additional attributes you want to synchronize in the custom settings path in the installation wizard.

Примечание

В Azure AD Connect версиях, предшествующих 1.2.65.0, в поле поиска для доступных атрибутов учитывается регистр.In Azure AD Connect versions earlier than 1.2.65.0, the search box for Available Attributes is case-sensitive.

Мастер расширения схемы

При установке отображаются следующие допустимые атрибуты:The installation shows the following attributes, which are valid candidates:

  • Типы объектов пользователей и группUser and Group object types
  • Однозначные атрибуты: строка, логическое значение, целое число, двоичное значение.Single-valued attributes: String, Boolean, Integer, Binary
  • Многозначные атрибуты: строка, двоичное значение.Multi-valued attributes: String, Binary

Примечание

Azure AD Connect поддерживает синхронизацию многозначных атрибутов Active Directory с Azure AD в качестве многозначных расширений каталогов. Но в настоящее время не существует способа извлечения и использования данных, отправленных в атрибуты многозначных расширений каталогов.Although Azure AD Connect supports synchronizing multi-valued Active Directory attributes to Azure AD as multi-valued directory extensions, there is currently no way to retrieve/consume the data uploaded in multi-valued directory extension attributes.

Список атрибутов считывается из кэша схемы, созданного во время установки Azure AD Connect.The list of attributes is read from the schema cache that's created during installation of Azure AD Connect. Если в схему Active Directory добавлены дополнительные атрибуты, они будут отображаться только после обновления схемы.If you have extended the Active Directory schema with additional attributes, you must refresh the schema before these new attributes are visible.

Объект в Azure AD может иметь до 100 атрибутов расширений каталога.An object in Azure AD can have up to 100 attributes for directory extensions. Максимальная длина составляет 250 символов.The maximum length is 250 characters. Если значение атрибута больше, он будет усечен модулем синхронизации.If an attribute value is longer, the sync engine truncates it.

Изменения конфигурации в Azure AD, сделанные мастеромConfiguration changes in Azure AD made by the wizard

Во время установки Azure AD Connect приложение регистрируется при условии наличия этих атрибутов.During installation of Azure AD Connect, an application is registered where these attributes are available. Это приложение отображается на портале Azure.You can see this application in the Azure portal. Его имя всегда является приложением расширения схемы клиента.Its name is always Tenant Schema Extension App.

Приложение расширения схемы

Убедитесь, что выбраны все приложения для просмотра этого приложения.Make sure you select All applications to see this app.

Атрибуты имеют префикс с **расширением _ {applicationId} _ **.The attributes are prefixed with extension _{ApplicationId}_. ApplicationId имеет одинаковое значение для всех атрибутов в клиенте Azure AD.ApplicationId has the same value for all attributes in your Azure AD tenant. Это значение потребуется для всех других сценариев в этом разделе.You will need this value for all other scenarios in this topic.

Просмотр атрибутов с помощью API Microsoft GraphViewing attributes using the Microsoft Graph API

Теперь эти атрибуты доступны через Microsoft Graph API с помощью обозревателя Microsoft Graph.These attributes are now available through the Microsoft Graph API, by using Microsoft Graph Explorer.

Примечание

В Microsoft Graph API необходимо запросить возвращаемые атрибуты.In the Microsoft Graph API, you need to ask for the attributes to be returned. Явно выберите атрибуты следующим образом: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division .Explicitly select the attributes like this: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Дополнительные сведения см. в разделе Параметр select.For more information, see Microsoft Graph: Use query parameters.

Использование атрибутов в динамических группахUse the attributes in dynamic groups

Одним из наиболее полезных сценариев является использование этих атрибутов в группах Dynamic Security или Office 365.One of the more useful scenarios is to use these attributes in dynamic security or Office 365 groups.

  1. Создайте новую группу в Azure AD.Create a new group in Azure AD. Присвойте ему хорошее имя и убедитесь, что Тип членства является динамическим пользователем.Give it a good name and make sure the Membership type is Dynamic User.

    Снимок экрана с новой группой

  2. Выберите, чтобы добавить динамический запрос.Select to Add dynamic query. Если взглянуть на свойства, эти расширенные атрибуты отображаться не будут.If you look at the properties, then you will not see these extended attributes. Их необходимо добавить первыми.You need to add them first. Щелкните получить пользовательские свойства расширения, введите идентификатор приложения и нажмите кнопку обновить свойства.Click Get custom extension properties, enter the Application ID, and click Refresh properties.

    Снимок экрана с добавленными расширениями каталогов

  3. Откройте раскрывающийся список свойств и обратите внимание, что добавленные атрибуты теперь видимы.Open the property drop-down and note that the attributes you added are now visible.

    Снимок экрана с новыми атрибутами, отображаемыми в пользовательском интерфейсе

    Заполните выражение в соответствии с вашими требованиями.Complete the expression to suit your requirements. В нашем примере правило имеет значение (User. extension_9d98ed114c4840d298fad781915f27e4_division-EQ «Sales and Marketing»).In our example, the rule is set to (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing").

  4. После создания группы предоставьте Azure AD некоторое время для заполнения участников, а затем просмотрите участников.After the group has been created, give Azure AD some time to populate the members and then review the members.

    Снимок экрана с элементами в динамической группе

Дальнейшие действияNext steps

Узнайте больше о настройке службы синхронизации Azure AD Connect .Learn more about the Azure AD Connect sync configuration.

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.