Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen für die Cloudsynchronisierung

Microsoft Entra ID muss alle zum Erstellen eines Benutzerprofils erforderlichen Daten (Attribute) enthalten, wenn Benutzerkonten aus Microsoft Entra ID in einer branchenspezifischen SaaS-App oder in einer lokalen Anwendung bereitgestellt werden. Sie können Verzeichniserweiterungen verwenden, um das Schema in der Microsoft Entra-ID mit Ihren eigenen Attributen zu erweitern. Mit dieser Funktion können Sie LOB-Apps erstellen, indem Sie lokal verwaltete Attribute verwenden, Benutzer aus Active Directory auf Microsoft Entra ID oder SaaS-Apps bereitstellen und Erweiterungsattribute in Microsoft Entra ID sowie in Microsoft Entra ID Governance-Funktionen wie dynamische Mitgliedschaftsgruppen oder Gruppenbereitstellung in Active Directory nutzen.

Weitere Informationen zu Verzeichniserweiterungen finden Sie unter Verwenden von Verzeichniserweiterungsattributen in Ansprüchen, Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen und Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.

Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen.

Hinweis

Um neue Active Directory-Erweiterungsattribute zu ermitteln, muss der Bereitstellungs-Agent neu gestartet werden. Sie sollten den Agent neu starten, nachdem die Verzeichniserweiterungen erstellt wurden. Für Microsoft Entra-Erweiterungsattribute muss der Agent nicht neu gestartet werden.

Synchronisieren von Verzeichniserweiterungen für die Microsoft Entra-Cloudsynchronisierung

Sie können Verzeichniserweiterungen verwenden, um die Verzeichnisdefinition des Synchronisierungsschemas in Microsoft Entra ID um Ihre eigenen Attribute zu erweitern.

Wichtig

Die Verzeichniserweiterung für Microsoft Entra Cloud Sync wird nur für Anwendungen mit dem Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp und der von Microsoft Entra Connect erstellten Mandantenschemaerweiterungs- App unterstützt.

Erstellen einer Anwendung und eines Dienstprinzipals für die Verzeichniserweiterung

Sie müssen eine -Anwendung mit der Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp erstellen, falls diese nicht existiert, und einen Dienstprinzipal für die Anwendung erstellen, falls dieser nicht vorhanden ist.

1. Überprüfen Sie, ob die Anwendung mit dem Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp vorhanden ist.

   • Verwenden von Microsoft Graph

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   Weitere Informationen finden Sie unter Abrufen einer Anwendung.

   • Mithilfe von PowerShell

   $tenantId = (Get-MgOrganization).Id
   
   Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
   

   Weitere Informationen finden Sie unter Get-MgApplication.

2. Wenn die Anwendung nicht vorhanden ist, erstellen Sie die Anwendung mit Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Verwenden von Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
    "displayName": "CloudSyncCustomExtensionsApp",
    "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   Weitere Informationen finden Sie unter Erstellen einer Anwendung.

   • Verwenden von PowerShell (Hinweis: Nehmen Sie die $tenantId Variable aus den vorherigen Schritten)

   New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
   

   Weitere Informationen finden Sie unter New-MgApplication.

3. Überprüfen Sie, ob der Dienstprinzipal für die Anwendung mit Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsAppvorhanden ist.

   • Verwenden von Microsoft Graph

   GET /servicePrincipals?$filter=(appId eq '{appId}')
   

   Weitere Informationen finden Sie unter Abrufen von Dienstprinzipalen.

   • Verwenden von PowerShell (Hinweis: Nehmen Sie die $tenantId Variable aus den vorherigen Schritten)

   $appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId
   
   Get-MgServicePrincipal -Filter "AppId eq '$appId'"
   

   Weitere Informationen finden Sie unter Get-MgServicePrincipal

4. Wenn kein Dienstprinzipal existiert, erstellen Sie einen neuen Dienstprinzipal für die Anwendung mit der Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Verwenden von Microsoft Graph

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
   "appId": 
   "<application appId>"
   }
   

   Weitere Informationen finden Sie unter Erstellen eines servicePrincipal.

   • Verwenden von PowerShell (Hinweis: Nehmen Sie die $appId Variable aus den vorherigen Schritten)

   New-MgServicePrincipal -AppId $appId
   

   Weitere Informationen finden Sie unter New-MgServicePrincipal

5. Erstellen Sie eine Verzeichniserweiterung in Microsoft Entra ID. Zum Beispiel eine neue Erweiterung namens "WritebackEnabled", vom booleschen Typ, für Gruppenobjekte.

   • Verwenden von Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
   Content-type: application/json
   
   {
       "name": "WritebackEnabled",
       "dataType": "Boolean",
       "isMultiValued": false,
       "targetObjects": [
           "Group"
       ]
   }    
   

   • Verwenden von PowerShell (Hinweis: Nehmen Sie die $tenantId Variable aus den vorherigen Schritten)

   $appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id
   
   New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
   

Sie können Verzeichniserweiterungen auf verschiedene Arten in Microsoft Entra ID erstellen, wie in der folgenden Tabelle beschrieben:

Methode	BESCHREIBUNG	URL
MS Graph	Erstellen von Erweiterungen mithilfe von GRAPH	Erstellen von extensionProperty
PowerShell	Erstellen von Erweiterungen mithilfe von PowerShell	New-MgApplicationExtensionProperty
Verwenden der Cloudsynchronisierung und von Microsoft Entra Connect	Erstellen von Erweiterungen mithilfe von Microsoft Entra Connect	Erstellen von Erweiterungsattributen mit Microsoft Entra Connect
Anpassen der zu synchronisierenden Attribute	Informationen zum Anpassen der zu synchronisierenden Attribute	Anpassen der mit Microsoft Entra ID zu synchronisierenden Attribute

Verwenden der Attributzuordnung zum Zuordnen von Verzeichniserweiterungen

Wenn Sie Active Directory um benutzerdefinierte Attribute erweitert haben, können Sie diese Attribute hinzufügen und benutzern zuordnen.

Um Attribute zu ermitteln und zuzuordnen, wählen Sie Attributzuordnung hinzufügen aus, und die Attribute werden in der Dropdownliste unter Quellattributeverfügbar. Geben Sie den gewünschten Zuordnungstyp ein, und wählen Sie Anwenden aus.

Informationen zu neuen Attributen, die in Microsoft Entra ID hinzugefügt und aktualisiert werden, finden Sie unter userRessourcentyp für Benutzer. Abonnieren Sie gegebenenfalls Änderungsbenachrichtigungen.

Weitere Informationen zu Erweiterungsattributen finden Sie unter Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.

Weitere Ressourcen

• Grundlegendes zum Microsoft Entra ID-Schema und zu benutzerdefinierten Ausdrücken
• Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen
• Attributzuordnung bei der Microsoft Entra-Cloudsynchronisierung