Расширения для каталогов синхронизации с облаком и сопоставление пользовательских атрибутов
Идентификатор Microsoft Entra ID должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при предоставлении учетных записей пользователей из Microsoft Entra ID в сектора бизнеса (LOB), приложение SaaS или локальное приложение. Вы можете использовать расширения каталога, чтобы расширить схему в Microsoft Entra ID своими атрибутами. Эта функция позволяет создавать бизнес-приложения, используя атрибуты, которыми вы продолжаете управлять в локальной среде, осуществлять подготовку пользователей из Active Directory в Microsoft Entra ID или SaaS приложения, а также использовать атрибуты расширения в Microsoft Entra ID и в функциях управления Microsoft Entra ID, таких как группы с динамическим членством или подготовку групп в Active Directory.
Дополнительные сведения о расширениях каталогов см. в разделе «Использование атрибутов расширения каталога в утверждениях», Microsoft Entra Connect Sync: расширения каталогов и синхронизация атрибутов расширений для подготовки приложений Microsoft Entra.
Для просмотра доступных атрибутов можно использовать обозреватель Microsoft Graph Explorer.
Примечание.
Чтобы обнаружить новые атрибуты расширения Active Directory, агент подготовки должен быть перезапущен. После создания расширений каталога необходимо перезапустить агент. Для атрибутов расширения Microsoft Entra агент не должен быть перезапущен.
Синхронизация расширений каталогов для Microsoft Entra Cloud Sync
Вы можете использовать расширения каталога для дополнения определения схемы синхронизации в Microsoft Entra ID с вашими собственными атрибутами.
Внимание
Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp
и приложением Tenant Schema Extension App, созданной Microsoft Entra Connect.
Создание приложения и учетной записи службы для расширения каталога
Необходимо создать приложение с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp
, если приложение не существует, и создать основной объект службы для приложения, если он не существует.
Проверьте, существует ли приложение с URI идентификатора
API://<tenantId>/CloudSyncCustomExtensionsApp
.- Использование Microsoft Graph
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
Дополнительные сведения см. в разделе "Получение приложения"
- Использование PowerShell
$tenantId = (Get-MgOrganization).Id Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
Дополнительные сведения см. в разделе Get-MgApplication
Если приложение не существует, создайте приложение с идентификатором URI
API://<tenantId>/CloudSyncCustomExtensionsApp
.- Использование Microsoft Graph
POST https://graph.microsoft.com/v1.0/applications Content-type: application/json { "displayName": "CloudSyncCustomExtensionsApp", "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"] }
Дополнительные сведения см. в разделе "Создание приложения"
- Использование PowerShell (примечание: возьмите переменную
$tenantId
из предыдущих шагов)
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
Дополнительные сведения см. в статье New-MgApplication
Проверьте, существует ли основной сервис для приложения с идентификатором URI
API://<tenantId>/CloudSyncCustomExtensionsApp
.- Использование Microsoft Graph
GET /servicePrincipals?$filter=(appId eq '{appId}')
Дополнительные сведения см. в разделе получение учетной записи службы
- Использование PowerShell (примечание: возьмите переменную
$tenantId
из предыдущих шагов)
$appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId Get-MgServicePrincipal -Filter "AppId eq '$appId'"
Дополнительные сведения см. в разделе Get-MgServicePrincipal
Если служебный принципал не существует, создайте новый служебный принципал для приложения с идентификатором URI
API://<tenantId>/CloudSyncCustomExtensionsApp
.- Использование Microsoft Graph
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "<application appId>" }
Дополнительные сведения см. в разделе "Создание servicePrincipal"
- Использование PowerShell (примечание: возьмите переменную
$appId
из предыдущих шагов)
New-MgServicePrincipal -AppId $appId
Дополнительные сведения см. в разделе New-MgServicePrincipal
Создайте расширение каталога в Microsoft Entra ID. Например, новое расширение под именем WritebackEnabled логического типа для объектов группы.
- Использование Microsoft Graph
POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties Content-type: application/json { "name": "WritebackEnabled", "dataType": "Boolean", "isMultiValued": false, "targetObjects": [ "Group" ] }
- Использование PowerShell (примечание: возьмите переменную
$tenantId
из предыдущих шагов)
$appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
Расширения каталогов можно создавать в идентификаторе Microsoft Entra различными способами, как описано в следующей таблице:
Метод | Описание | URL-адрес |
---|---|---|
MS Graph | Создание расширений с помощью GRAPH | Создание расширенияProperty |
PowerShell | Создание расширений с помощью PowerShell | New-MgApplicationExtensionProperty |
Использование облачной синхронизации и Microsoft Entra Connect | Создание расширений с помощью Microsoft Entra Connect | Создание атрибута расширения с помощью Microsoft Entra Connect |
Настройка атрибутов для синхронизации | Информация о настройке, какие атрибуты синхронизировать | Настройка атрибутов для синхронизации с идентификатором Microsoft Entra |
Сопоставление атрибутов для сопоставления расширений каталогов
Если вы расширили Active Directory для включения пользовательских атрибутов, можно добавить эти атрибуты и сопоставить их с пользователями.
Чтобы обнаружить и сопоставить атрибуты, выберите Добавить сопоставление атрибутов, и атрибуты станут доступны в раскрывающемся списке под исходным атрибутом. Укажите нужный тип сопоставления и нажмите кнопку "Применить".
Для получения информации о новых атрибутах, добавленных и обновленных в Microsoft Entra ID, см. тип ресурса user
и рассмотрите возможность подписки на уведомления об изменениях.
Дополнительные сведения об атрибутах расширения см. в статье Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra.