Поделиться через


Расширения для каталогов синхронизации с облаком и сопоставление пользовательских атрибутов

Идентификатор Microsoft Entra ID должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при предоставлении учетных записей пользователей из Microsoft Entra ID в сектора бизнеса (LOB), приложение SaaS или локальное приложение. Вы можете использовать расширения каталога, чтобы расширить схему в Microsoft Entra ID своими атрибутами. Эта функция позволяет создавать бизнес-приложения, используя атрибуты, которыми вы продолжаете управлять в локальной среде, осуществлять подготовку пользователей из Active Directory в Microsoft Entra ID или SaaS приложения, а также использовать атрибуты расширения в Microsoft Entra ID и в функциях управления Microsoft Entra ID, таких как группы с динамическим членством или подготовку групп в Active Directory.

Дополнительные сведения о расширениях каталогов см. в разделе «Использование атрибутов расширения каталога в утверждениях», Microsoft Entra Connect Sync: расширения каталогов и синхронизация атрибутов расширений для подготовки приложений Microsoft Entra.

Для просмотра доступных атрибутов можно использовать обозреватель Microsoft Graph Explorer.

Примечание.

Чтобы обнаружить новые атрибуты расширения Active Directory, агент подготовки должен быть перезапущен. После создания расширений каталога необходимо перезапустить агент. Для атрибутов расширения Microsoft Entra агент не должен быть перезапущен.

Синхронизация расширений каталогов для Microsoft Entra Cloud Sync

Вы можете использовать расширения каталога для дополнения определения схемы синхронизации в Microsoft Entra ID с вашими собственными атрибутами.

Внимание

Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp и приложением Tenant Schema Extension App, созданной Microsoft Entra Connect.

Создание приложения и учетной записи службы для расширения каталога

Необходимо создать приложение с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp, если приложение не существует, и создать основной объект службы для приложения, если он не существует.

  1. Проверьте, существует ли приложение с URI идентификатора API://<tenantId>/CloudSyncCustomExtensionsApp.

    • Использование Microsoft Graph
    GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
    

    Дополнительные сведения см. в разделе "Получение приложения"

    • Использование PowerShell
    $tenantId = (Get-MgOrganization).Id
    
    Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
    

    Дополнительные сведения см. в разделе Get-MgApplication

  2. Если приложение не существует, создайте приложение с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

    • Использование Microsoft Graph
    POST https://graph.microsoft.com/v1.0/applications
    Content-type: application/json
    
    {
     "displayName": "CloudSyncCustomExtensionsApp",
     "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
    }
    

    Дополнительные сведения см. в разделе "Создание приложения"

    • Использование PowerShell (примечание: возьмите переменную $tenantId из предыдущих шагов)
    New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
    

    Дополнительные сведения см. в статье New-MgApplication

  3. Проверьте, существует ли основной сервис для приложения с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

    • Использование Microsoft Graph
    GET /servicePrincipals?$filter=(appId eq '{appId}')
    

    Дополнительные сведения см. в разделе получение учетной записи службы

    • Использование PowerShell (примечание: возьмите переменную $tenantId из предыдущих шагов)
    $appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId
    
    Get-MgServicePrincipal -Filter "AppId eq '$appId'"
    

    Дополнительные сведения см. в разделе Get-MgServicePrincipal

  4. Если служебный принципал не существует, создайте новый служебный принципал для приложения с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

    • Использование Microsoft Graph
    POST https://graph.microsoft.com/v1.0/servicePrincipals
    Content-type: application/json
    
    {
    "appId": 
    "<application appId>"
    }
    

    Дополнительные сведения см. в разделе "Создание servicePrincipal"

    • Использование PowerShell (примечание: возьмите переменную $appId из предыдущих шагов)
    New-MgServicePrincipal -AppId $appId
    

    Дополнительные сведения см. в разделе New-MgServicePrincipal

  5. Создайте расширение каталога в Microsoft Entra ID. Например, новое расширение под именем WritebackEnabled логического типа для объектов группы.

    • Использование Microsoft Graph
    POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
    Content-type: application/json
    
    {
        "name": "WritebackEnabled",
        "dataType": "Boolean",
        "isMultiValued": false,
        "targetObjects": [
            "Group"
        ]
    }    
    
    • Использование PowerShell (примечание: возьмите переменную $tenantId из предыдущих шагов)
    $appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id
    
    New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
    

Расширения каталогов можно создавать в идентификаторе Microsoft Entra различными способами, как описано в следующей таблице:

Метод Описание URL-адрес
MS Graph Создание расширений с помощью GRAPH Создание расширенияProperty
PowerShell Создание расширений с помощью PowerShell New-MgApplicationExtensionProperty
Использование облачной синхронизации и Microsoft Entra Connect Создание расширений с помощью Microsoft Entra Connect Создание атрибута расширения с помощью Microsoft Entra Connect
Настройка атрибутов для синхронизации Информация о настройке, какие атрибуты синхронизировать Настройка атрибутов для синхронизации с идентификатором Microsoft Entra

Сопоставление атрибутов для сопоставления расширений каталогов

Если вы расширили Active Directory для включения пользовательских атрибутов, можно добавить эти атрибуты и сопоставить их с пользователями.

Чтобы обнаружить и сопоставить атрибуты, выберите Добавить сопоставление атрибутов, и атрибуты станут доступны в раскрывающемся списке под исходным атрибутом. Укажите нужный тип сопоставления и нажмите кнопку "Применить". Сопоставление настраиваемых атрибутов

Для получения информации о новых атрибутах, добавленных и обновленных в Microsoft Entra ID, см. тип ресурса user и рассмотрите возможность подписки на уведомления об изменениях.

Дополнительные сведения об атрибутах расширения см. в статье Синхронизация атрибутов расширения для подготовки приложений Microsoft Entra.

Дополнительные ресурсы