Estensioni di directory di sincronizzazione cloud e mapping degli attributi personalizzati
Microsoft Entra ID deve contenere tutti i dati (attributi) necessari per creare un profilo utente quando si esegue il provisioning di account utente da Microsoft Entra ID a un'applicazione line of business (LOB), un'app SaaS o un'applicazione locale. È possibile usare le estensioni della directory per estendere lo schema in Microsoft Entra ID con attributi personalizzati dall'istanza di Active Directory locale. Questa funzionalità permette di creare app line-of-business utilizzando attributi che si continuano a gestire in locale, effettuare il provisioning degli utenti da Windows Server Active Directory tramite Microsoft Entra ID alle app SaaS e usare attributi di estensione nelle funzionalità di Microsoft Entra ID e Microsoft Entra ID Governance, ad esempio i gruppi di appartenenza dinamica.
Per altre informazioni sulle estensioni della directory, vedere Uso degli attributi di estensione della directory nelle attestazioni, Sincronizzazione Microsoft Entra Connect: estensioni della directory e Sincronizzazione degli attributi di estensione per il provisioning di applicazioni Microsoft Entra.
È possibile visualizzare gli attributi disponibili usando Microsoft Graph Explorer.
Nota
Per individuare nuovi attributi di estensione di Active Directory, è necessario riavviare l'agente di provisioning. È necessario riavviare l'agente dopo aver creato le estensioni della directory. Per gli attributi di estensione di Microsoft Entra, non è necessario riavviare l'agente.
Sincronizzazione delle estensioni della directory per la sincronizzazione cloud di Microsoft Entra
È possibile usare le estensioni della directory per estendere la definizione della directory dello schema di sincronizzazione in Microsoft Entra ID con attributi personalizzati.
Importante
L'estensione della directory per la sincronizzazione cloud di Microsoft Entra è supportata solo per le applicazioni con URI identificatore "api://<tenantId>/CloudSyncCustomExtensionsApp" e Tenant Schema Extension App creata da Microsoft Entra Connect
Creare un'applicazione e un'entità servizio per l'estensione della directory
È necessario creare un'applicazione con l'URI identificatore "api://<tenantId>/CloudSyncCustomExtensionsApp" se non esiste e creare un'entità servizio per l'applicazione se non esiste.
Controllare se l'applicazione con l'URI identificatore "api://<tenantId>/CloudSyncCustomExtensionsApp" esiste.
- Uso di Microsoft Graph
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')Per altre informazioni, vedere Ottenere l'applicazione
- Con PowerShell
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"Per altre informazioni, vedere Get-MgApplication
Se l'applicazione non esiste, creare l'applicazione con l'URI identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".
- Uso di Microsoft Graph
POST https://graph.microsoft.com/v1.0/applications Content-type: application/json { "displayName": "CloudSyncCustomExtensionsApp", "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"] }Per altre informazioni, vedere create application
- Con PowerShell
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"Per altre informazioni, vedere New-MgApplication
Controllare se l'entità servizio esiste per l'applicazione con l'URI identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".
- Uso di Microsoft Graph
GET /servicePrincipals?$filter=(appId eq '{appId}')Per altre informazioni, vedere get service principal
- Con PowerShell
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"Per altre informazioni, vedere Get-MgServicePrincipal
Se un'entità servizio non esiste, creare una nuova entità servizio per l'applicazione con l'URI identificatore "api://< tenantId>/CloudSyncCustomExtensionsApp".
- Uso di Microsoft Graph
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "<application appId>" }Per altre informazioni, vedere create servicePrincipal
- Con PowerShell
New-MgServicePrincipal -AppId '<appId>'Per altre informazioni, vedere New-MgServicePrincipal
Sono disponibili modi diversi di creare estensioni della directory in Microsoft Entra ID.
| metodo | Descrizione | URL |
|---|---|---|
| MS Graph | Creare estensioni con GRAPH | Creare extensionProperty |
| PowerShell | Creare estensioni con PowerShell | New-MgApplicationExtensionProperty |
| Uso della sincronizzazione cloud e di Microsoft Entra Connect | Creare estensioni con Microsoft Entra Connect | Creare un attributo di estensione usando Microsoft Entra Connect |
| Personalizzazione degli attributi da sincronizzare | Informazioni sulla personalizzazione, quali attributi sincronizzare | Personalizzare gli attributi da sincronizzare con Microsoft Entra ID |
Usare il mapping degli attributi per eseguire il mapping delle estensioni di directory
Se Active Directory è stato esteso per includere attributi personalizzati, è possibile aggiungere questi attributi ed eseguirne il mapping agli utenti.
Per individuare ed eseguire il mapping degli attributi, selezionare Aggiungi mapping attributi. Gli attributi verranno individuati automaticamente e saranno disponibili nell'elenco a discesa alla voce attributo di origine. Compilare il tipo di mapping desiderato e selezionare Applica.
Per informazioni sui nuovi attributi aggiunti e aggiornati in Microsoft Entra ID, vedere il tipo di risorsa user e valutare la sottoscrizione alle notifiche delle modifiche.
Per altre informazioni sugli attributi di estensione, vedere Sincronizzazione degli attributi di estensione per il provisioning dell'applicazione Microsoft Entra.