Extensiones de directorio y asignación de atributos personalizados en Cloud Sync

Microsoft Entra ID debe contener todos los datos (atributos) necesarios para crear un perfil de usuario al aprovisionar cuentas de usuario de Microsoft Entra ID a una línea de negocio (LOB), Aplicación SaaS, o aplicación local. Puede usar extensiones de directorio para ampliar el esquema en Microsoft Entra ID con sus propios atributos. Esta característica le permite compilar aplicaciones LOB mediante el consumo de atributos que sigue administrando localmente, aprovisionar usuarios de Active Directory a Microsoft Entra ID o aplicaciones SaaS, y usar atributos de extensión en Microsoft Entra ID y características de Gobierno de Microsoft Entra ID, como grupos de pertenencia dinámica o aprovisionamiento de grupos en Active Directory.

Para obtener más información sobre las extensiones de directorio, consulta Uso de atributos de extensión de directorio en notificaciones, Microsoft Entra Connect Sync: extensiones de directorio y Sincronización de atributos de extensión para el aprovisionamiento de aplicaciones de Microsoft Entra.

Puedes ver los atributos disponibles mediante el Explorador de Microsoft Graph.

Nota:

Para detectar nuevos atributos de extensión de Active Directory, es necesario reiniciar el agente de aprovisionamiento. Debes reiniciar el agente después de crear las extensiones de directorio. Para los atributos de extensión de Microsoft Entra, no es necesario reiniciar el agente.

Sincronización de extensiones de directorio para Microsoft Entra Cloud Sync

Puedes usar extensiones de directorio para ampliar la definición de directorio del esquema de sincronización en Microsoft Entra ID con tus propios atributos.

Importante

La extensión de directorio para Microsoft Entra Cloud Sync solo se admite para las aplicaciones con el URI de identificación API://<tenantId>/CloudSyncCustomExtensionsApp y Tenant Schema Extension App creada por Microsoft Entra Connect.

Creación de una aplicación y una entidad de servicio para la extensión de directorio

Debe crear una aplicación con el URI de identificación API://<tenantId>/CloudSyncCustomExtensionsApp si no existe y crear una entidad de servicio para la aplicación si no existe.

1. Compruebe si la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp existe.

   • Uso de Microsoft Graph

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   Para obtener más información, consulta Obtener aplicación

   • Uso de PowerShell

   $tenantId = (Get-MgOrganization).Id
   
   Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
   

   Para obtener más información, consulta Get-MgApplication

2. Si la aplicación no existe, cree la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Uso de Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
    "displayName": "CloudSyncCustomExtensionsApp",
    "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   Para obtener más información, consulta Creación de una aplicación

   • Uso de PowerShell (Nota: tome la variable $tenantId de los pasos anteriores)

   New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
   

   Para obtener más información, consulta New-MgApplication

3. Compruebe si el principal del servicio existe para la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Uso de Microsoft Graph

   GET /servicePrincipals?$filter=(appId eq '{appId}')
   

   Para obtener más información, consulta Obtención de una entidad de servicio

   • Uso de PowerShell (Nota: tome la variable $tenantId de los pasos anteriores)

   $appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId
   
   Get-MgServicePrincipal -Filter "AppId eq '$appId'"
   

   Para obtener más información, consulta Get-MgServicePrincipal

4. Si no existe una entidad de servicio, cree una nueva entidad de servicio para la aplicación con el identificador URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Uso de Microsoft Graph

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
   "appId": 
   "<application appId>"
   }
   

   Para obtener más información, consulta creación de servicePrincipal

   • Uso de PowerShell (Nota: tome la variable $appId de los pasos anteriores)

   New-MgServicePrincipal -AppId $appId
   

   Para obtener más información, consulta New-MgServicePrincipal

5. Cree una extensión de directorio en microsoft Entra ID. Por ejemplo, una nueva extensión denominada "WritebackEnabled", de tipo booleano, para objetos de grupo.

   • Uso de Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
   Content-type: application/json
   
   {
       "name": "WritebackEnabled",
       "dataType": "Boolean",
       "isMultiValued": false,
       "targetObjects": [
           "Group"
       ]
   }    
   

   • Uso de PowerShell (Nota: tome la variable $tenantId de los pasos anteriores)

   $appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id
   
   New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
   

Puede crear extensiones de directorio en el identificador de Microsoft Entra de varias maneras diferentes, como se describe en la tabla siguiente:

Método	Descripción	URL
MS Graph	Creación de extensiones mediante GRAPH	Creación de extensionProperty
PowerShell	Creación de extensiones mediante PowerShell	New-MgApplicationExtensionProperty
Uso de la sincronización en la nube y Microsoft Entra Connect	Creación de extensiones mediante Microsoft Entra Connect	Creación de un atributo de extensión mediante Microsoft Entra Connect
Personalización de atributos para sincronizar	Información sobre la personalización, qué atributos se van a sincronizar	Personalización de los atributos que se van a sincronizar con Microsoft Entra ID

Uso de la asignación de atributos para asignar Extensiones de directorio

Si ha ampliado Active Directory para incluir atributos personalizados, puede agregar estos atributos y asignarlos a los usuarios.

Para descubrir y asignar atributos, seleccione Agregar asignación de atributos y los atributos estarán disponibles en el menú desplegable bajo atributo de origen. Rellene el tipo de asignación que desee y seleccione Aplicar.

Para obtener más información sobre los nuevos atributos que se agregan y actualizan en Microsoft Entra ID, consulte el user tipo de recurso y considere la posibilidad de suscribirse a las notificaciones de cambio.

Para obtener más información sobre los atributos de extensión, consulte Atributos de extensión de sincronización para Microsoft Entra Application Provisioning.

Más recursos

• Información sobre el esquema y las expresiones personalizadas de Microsoft Entra
• Sincronización de Microsoft Entra Connect: extensiones de directorio
• Asignación de atributos en Microsoft Entra Cloud Sync