Расширения каталога облачной синхронизации и сопоставление настраиваемых атрибутов

Идентификатор Microsoft Entra должен содержать все данные (атрибуты), необходимые для создания профиля пользователя при подготовке учетных записей пользователей из идентификатора Microsoft Entra в бизнес-строку (LOB), приложение SaaS или локальное приложение. Вы можете использовать расширения каталога, чтобы расширить схему в Microsoft Entra ID своими атрибутами. Эта функция позволяет создавать бизнес-приложения, используя атрибуты, которыми вы продолжаете управлять локально, подготавливать пользователей из Active Directory в Microsoft Entra ID или SaaS приложения, а также использовать атрибуты расширения в Microsoft Entra ID и в функциях управления Microsoft Entra ID, таких как динамические группы членства или подключение групп в Active Directory.

Дополнительные сведения о расширениях каталогов см. в разделе "Использование атрибутов расширения каталога в утверждениях", Microsoft Entra Connect Sync: расширения каталогов и атрибуты расширения синхронизации для подготовки приложений Microsoft Entra.

Для просмотра доступных атрибутов можно использовать песочницу Microsoft Graph Explorer.

Примечание.

Чтобы обнаружить новые атрибуты расширения Active Directory, агент подготовки должен быть перезапущен. После создания расширений каталога необходимо перезапустить агент. Для атрибутов расширения Microsoft Entra агент не должен быть перезапущен.

Синхронизация расширений каталогов для Microsoft Entra Cloud Sync

Расширения каталогов можно использовать для расширения определения каталога схемы синхронизации в идентификаторе Microsoft Entra с собственными атрибутами.

Внимание

Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с API://<tenantId>/CloudSyncCustomExtensionsApp идентификатора URI и приложением расширения схемы клиента клиента, созданной Microsoft Entra Connect.

Создание приложения и субъекта-службы для расширения каталога

Необходимо создать приложение с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp, если приложение не существует, и создать основной объект службы для приложения, если он не существует.

1. Проверьте, существует ли приложение с URI идентификатора API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Использование Microsoft Graph

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   Дополнительные сведения см. в разделе "Получение приложения"

   • Использование PowerShell

   $tenantId = (Get-MgOrganization).Id
   
   Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"
   

   Дополнительные сведения см. в разделе Get-MgApplication

2. Если приложение не существует, создайте приложение с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Использование Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
    "displayName": "CloudSyncCustomExtensionsApp",
    "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   Дополнительные сведения см. в разделе "Создание приложения"

   • Использование PowerShell (примечание: возьмите переменную $tenantId из предыдущих шагов)

   New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"
   

   Дополнительные сведения см. в статье New-MgApplication

3. Проверьте, существует ли учетная запись службы для приложения с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Использование Microsoft Graph

   GET /servicePrincipals?$filter=(appId eq '{appId}')
   

   Дополнительные сведения см. в разделе "Получение субъекта-службы"

   • Использование PowerShell (Примечание: возьмите переменную $tenantId из предыдущих шагов)

   $appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId
   
   Get-MgServicePrincipal -Filter "AppId eq '$appId'"
   

   Дополнительные сведения см. в разделе Get-MgServicePrincipal

4. Если служебный принципал не существует, создайте новый служебный принципал для приложения с идентификатором URI API://<tenantId>/CloudSyncCustomExtensionsApp.

   • Использование Microsoft Graph

   POST https://graph.microsoft.com/v1.0/servicePrincipals
   Content-type: application/json
   
   {
   "appId": 
   "<application appId>"
   }
   

   Дополнительные сведения см. в разделе "Создание servicePrincipal"

   • Использование PowerShell (примечание: используйте переменную $appId из предыдущих шагов)

   New-MgServicePrincipal -AppId $appId
   

   Дополнительные сведения см. в разделе New-MgServicePrincipal

5. Создайте расширение каталога в Microsoft Entra ID. Например, новое расширение под именем WritebackEnabled логического типа для объектов группы.

   • Использование Microsoft Graph

   POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
   Content-type: application/json
   
   {
       "name": "WritebackEnabled",
       "dataType": "Boolean",
       "isMultiValued": false,
       "targetObjects": [
           "Group"
       ]
   }    
   

   • Использование PowerShell (Примечание: используйте переменную $tenantId из предыдущих шагов)

   $appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id
   
   New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name WritebackEnabled -DataType Boolean -TargetObjects Group
   

Расширения каталогов можно создавать в идентификаторе Microsoft Entra различными способами, как описано в следующей таблице:

Метод	Description	URL-адрес
MS Graph:	Создание расширений с помощью GRAPH	Создание расширенияProperty
PowerShell	Создание расширений с помощью PowerShell	New-MgApplicationExtensionProperty
Использование облачной синхронизации и Microsoft Entra Connect	Создание расширений с помощью Microsoft Entra Connect	Создание атрибута расширения с помощью Microsoft Entra Connect
Настройка атрибутов для синхронизации	Сведения о настройке атрибутов для синхронизации	Настройка атрибутов для синхронизации с идентификатором Microsoft Entra

Сопоставление атрибутов для сопоставления расширений каталогов

Если вы расширили Active Directory для включения пользовательских атрибутов, можно добавить эти атрибуты и сопоставить их с пользователями.

Чтобы обнаружить и сопоставить атрибуты, выберите Добавить сопоставление атрибутов, и атрибуты станут доступны в раскрывающемся списке под исходным атрибутом. Укажите нужный тип сопоставления и нажмите кнопку "Применить".

Сведения о новых атрибутах, добавленных и обновленных в идентификаторе Microsoft Entra, см user . в типе ресурса и о подписке на уведомления об изменениях.

Дополнительные сведения об атрибутах расширения см. в разделе "Синхронизация атрибутов расширения" для подготовки приложений Microsoft Entra.

Дополнительные ресурсы

• Общие сведения о схеме Microsoft Entra и пользовательских выражениях
• Microsoft Entra Connect Sync: расширения каталогов
• Сопоставление атрибутов в Microsoft Entra Cloud Sync