クラウド同期ディレクトリ拡張機能とカスタム属性マッピング

Microsoft Entra ID からユーザー アカウントを基幹業務 (LOB)、SaaS アプリ、またはオンプレミス アプリケーションにプロビジョニングするときは、ユーザー プロファイルを作成するために必要なすべてのデータ (属性) が Microsoft Entra ID に含まれている必要があります。 ディレクトリ拡張機能を使用して、独自の属性を使用して Microsoft Entra ID のスキーマを拡張できます。 この機能を使用すると、オンプレミスで引き続き管理する属性を使用して LOB アプリを構築し、Active Directory から Microsoft Entra ID または SaaS アプリにユーザーをプロビジョニングし、動的メンバーシップ グループや Active Directory へのグループ プロビジョニングなどの Microsoft Entra ID と Microsoft Entra ID ガバナンス機能で拡張機能属性を使用できます。

ディレクトリ拡張機能の詳細については、要求でのディレクトリ拡張属性の使用に関するページ、「Microsoft Entra Connect Sync: ディレクトリ拡張機能」および「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。

使用可能な属性を確認するには、Microsoft Graph エクスプローラーを使用します。

Note

新しい Active Directory 拡張機能属性を検出するには、プロビジョニング エージェントを再起動する必要があります。 ディレクトリ拡張機能が作成されたら、エージェントを再起動する必要があります。 Microsoft Entra 拡張機能属性の場合、エージェントを再起動する必要はありません。

Microsoft Entra クラウド同期のディレクトリ拡張機能の同期

ディレクトリ拡張機能を使用すると、Microsoft Entra ID の同期スキーマ ディレクトリ定義を、独自の属性を使用して拡張できます。

重要

Microsoft Entra Cloud Sync のディレクトリ拡張機能は、識別子 URI API://<tenantId>/CloudSyncCustomExtensionsApp を持つアプリケーションと、Microsoft Entra Connect によって作成された テナント スキーマ拡張機能アプリ でのみサポートされます。

ディレクトリ拡張機能のアプリケーションとサービス プリンシパルを作成する

識別子 URI API://<tenantId>/CloudSyncCustomExtensionsApp が存在しない場合は アプリケーション を作成し、存在しない場合はアプリケーションのサービス プリンシパルを作成する必要があります。

1. 識別子 URI API://<tenantId>/CloudSyncCustomExtensionsApp を持つアプリケーションが存在するかどうかを確認します。

   • Microsoft Graph を使用する

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   詳細については、「アプリケーションを取得する」を参照してください

   • PowerShell の使用

   $tenantId = (Get-MgOrganization).Id
   
   Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
   

   詳細については、「Get-MgApplication」を参照してください

2. アプリケーションが存在しない場合は、識別子 URI API://<tenantId>/CloudSyncCustomExtensionsAppを使用してアプリケーションを作成します。

   • Microsoft Graph を使用する

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
    "displayName": "CloudSyncCustomExtensionsApp",
    "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   詳細については、「アプリケーションを作成する」を参照してください

   • PowerShell の使用 (注: 前の手順の $tenantId 変数を使用する)

   New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
   

   詳細については、「New-MgApplication」を参照してください

3. 識別子 URI が API://<tenantId>/CloudSyncCustomExtensionsAppされたアプリケーションのサービス プリンシパルが存在するかどうかを確認します。

   • Microsoft Graph を使用する

   GET /servicePrincipals?$filter=(appId eq '{appId}')
   

   詳細については、「servicePrincipal を取得する」を参照してください

   • PowerShell の使用 (注: 前の手順の $tenantId 変数を使用する)

   $appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId
   
   Get-MgServicePrincipal -Filter "AppId eq '$appId'"
   

   詳細については、「MgServicePrincipal を取得する」をご覧ください。

4. サービス プリンシパルが存在しない場合は、識別子 URI API://<tenantId>/CloudSyncCustomExtensionsAppを使用して、アプリケーションの新しいサービス プリンシパルを作成します。

   • Microsoft Graph を使用する

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
   "appId": 
   "<application appId>"
   }
   

   詳細については、「servicePrincipal を作成する」を参照してください

   • PowerShell の使用 (注: 前の手順の $appId 変数を使用する)

   New-MgServicePrincipal -AppId $appId
   

   詳細については、「New-MgServicePrincipal」を参照してください。

5. Microsoft Entra ID でディレクトリ拡張機能を作成します。 たとえば、Group オブジェクトのブール型の 'WritebackEnabled' という新しい拡張などです。

   • Microsoft Graph を使用する

   POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
   Content-type: application/json
   
   {
       "name": "WritebackEnabled",
       "dataType": "Boolean",
       "isMultiValued": false,
       "targetObjects": [
           "Group"
       ]
   }    
   

   • PowerShell の使用 (注: 前の手順の $tenantId 変数を使用する)

   $appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id
   
   New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
   

次の表に示すように、Microsoft Entra ID には、いくつかの異なる方法でディレクトリ拡張機能を作成できます。

メソッド	説明	URL
MS Graph	GRAPH を使用して拡張機能を作成する	extensionProperty を作成する
PowerShell	PowerShell を使用して拡張機能を作成する	New-MgApplicationExtensionProperty
クラウド同期と Microsoft Entra Connect の使用	Microsoft Entra Connect を使用して拡張機能を作成する	Microsoft Entra Connect を使用して拡張属性を作成する
同期する属性のカスタマイズ	同期する属性のカスタマイズに関する情報	Microsoft Entra ID と同期する属性をカスタマイズする

属性マッピングを使用してディレクトリ拡張機能をマップする

カスタム属性を含むように Active Directory を拡張した場合は、これらの属性を追加してユーザーにマップできます。

属性を検出してマップするには、[属性マッピング の追加] を選択し、属性 ソース属性のドロップダウンで使用できるようになります。 目的のマッピングの種類を入力し、[適用] をクリックします。

Microsoft Entra ID で追加および更新される新しい属性の詳細については、user リソース タイプに関する記事を参照し、変更通知のサブスクライブを検討してください。

拡張属性の詳細については、「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。

その他のリソース

• Microsoft Entra スキーマとカスタム式について
• Microsoft Entra Connect Sync: ディレクトリ拡張機能
• Microsoft Entra クラウド同期の属性マッピング