Dela via


Förstå Microsoft Entra-schemat

Ett objekt i Microsoft Entra-ID, precis som alla kataloger, är en programmatisk datakonstruktion på hög nivå som representerar sådant som användare, grupper och kontakter. När du skapar en ny användare eller kontakt i Microsoft Entra-ID skapar du en ny instans av objektet. Dessa instanser kan särskiljas baserat på deras egenskaper.

Egenskaper i Microsoft Entra ID är de element som ansvarar för att lagra information om en instans av ett objekt i Microsoft Entra-ID.

Microsoft Entra-schemat definierar de regler för vilka egenskaper som kan användas i en post, vilka typer av värden som dessa egenskaper kan ha och hur användare kan interagera med dessa värden.

Microsoft Entra ID har två typer av egenskaper:

  • Inbyggda egenskaper: Egenskaper som är fördefinierade av Microsoft Entra-schemat. De här egenskaperna har olika användningsområden och kan vara tillgängliga eller inte.
  • Katalogtillägg: Egenskaper som tillhandahålls så att du kan anpassa Microsoft Entra-ID för eget bruk. Om du till exempel har utökat din lokal Active Directory med ett visst attribut och vill flöda attributet kan du använda någon av de anpassade egenskaper som tillhandahålls.

Varje molnsynkroniseringskonfiguration innehåller ett synkroniseringsschema. Det här synkroniseringsschemat definierar vilka objekt som ska synkroniseras och hur de synkroniseras.

Attribut och uttryck

När ett objekt som en användare etableras till Microsoft Entra-ID skapas en ny instans av användarobjektet. Den här skapandet innehåller egenskaperna för objektet, som även kallas attribut. Ursprungligen har det nyligen skapade objektet sina attribut inställda på värden som bestäms av synkroniseringsreglerna. Dessa attribut hålls sedan uppdaterade via molnetableringsagenten.

Objektetablering

En användare kan till exempel vara en del av en marknadsföringsavdelning. Deras Microsoft Entra-avdelningsattribut skapas först när de etableras och värdet anges till Marknadsföring. Sex månader senare, om de ändras till Försäljning, ändras deras lokal Active Directory avdelningsattribut till Försäljning. Den här ändringen synkroniseras med Microsoft Entra-ID och återspeglas i deras Microsoft Entra-användarobjekt.

Attributsynkronisering kan vara direkt, där värdet i Microsoft Entra-ID är direkt inställt på värdet för det lokala attributet. Eller så kan ett programmatiskt uttryck hantera synkroniseringen. Ett programmatiskt uttryck behövs i de fall där viss logik eller en bestämning måste göras för att fylla i värdet.

Om du till exempel hade e-postattributet "john.smith@contoso.com" och behövde ta bort delen "@contoso.com" och endast flöda värdet "john.smith" skulle du använda något liknande:

Replace([mail], "@contoso.com", , ,"", ,)

Exempel på indata/utdata:

  • INPUT (e-post): "john.smith@contoso.com"
  • UTDATA: "john.smith"

Mer information om hur du skriver anpassade uttryck och syntax finns i Skriva uttryck för attributmappningar i Microsoft Entra-ID.

I följande tabell visas vanliga attribut och hur de synkroniseras med Microsoft Entra-ID.

Lokalt Active Directory Mappningstyp Microsoft Entra ID
Cn Direct commonName
countryCode Direct countryCode
displayName Direct displayName
givenName Uttryck givenName
objectGUID Direct sourceAnchorBinary
userPrincipalName Direct userPrincipalName
proxyAddress Direct ProxyAddress

Visa synkroniseringsschemat

Varning

Molnsynkroniseringskonfigurationen skapar ett huvudnamn för tjänsten. Tjänstens huvudnamn visas i administrationscentret för Microsoft Entra. Du bör inte ändra attributmappningarna med hjälp av tjänstens huvudnamn i administrationscentret för Microsoft Entra. Detta stöds inte.

Följ dessa steg om du vill visa synkroniseringsschemat för molnsynkronisering och verifiera det.

  1. Gå till Graph Explorer.

  2. Logga in med ditt globala administratörskonto.

  3. Till vänster väljer du ändra behörigheter och ser till att Directory.ReadWrite.All har medgivande.

  4. Kör frågan https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’). Den här frågan returnerar en filtrerad lista över tjänstens huvudnamn. Detta kan också hämtas via noden Appregistrering under Microsoft Entra-ID.

  5. Leta upp "appDisplayName": "Active Directory to Azure Active Directory Provisioning" och notera värdet för "id".

    "value": [
            {
                "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1",
                "deletedDateTime": null,
                "accountEnabled": true,
                "appDisplayName": "Active Directory to Azure Active Directory Provisioning",
                "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "applicationTemplateId": null,
                "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "appRoleAssignmentRequired": false,
                "displayName": "Active Directory to Azure Active Directory Provisioning",
                "errorUrl": null,
                "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z",
                "loginUrl": null,
                "logoutUrl": null,
                "notificationEmailAddresses": [],
                "preferredSingleSignOnMode": null,
                "preferredTokenSigningKeyEndDateTime": null,
                "preferredTokenSigningKeyThumbprint": null,
                "publisherName": "Active Directory Application Registry",
                "replyUrls": [],
                "samlMetadataUrl": null,
                "samlSingleSignOnSettings": null,
                "servicePrincipalNames": [
                    "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary",
                    "1a4721b3-e57f-4451-ae87-ef078703ec94"
                ],
                "signInAudience": "AzureADMultipleOrgs",
                "tags": [
                    "WindowsAzureActiveDirectoryIntegratedApp"
                ],
                "addIns": [],
                "api": {
                    "resourceSpecificApplicationPermissions": []
                },
                "appRoles": [
                    {
                        "allowedMemberTypes": [
                            "User"
                        ],
                        "description": "msiam_access",
                        "displayName": "msiam_access",
                        "id": "a0326856-1f51-4311-8ae7-a034d168eedf",
                        "isEnabled": true,
                        "origin": "Application",
                        "value": null
                    }
                ],
                "info": {
                    "termsOfServiceUrl": null,
                    "supportUrl": null,
                    "privacyStatementUrl": null,
                    "marketingUrl": null,
                    "logoUrl": null
                },
                "keyCredentials": [],
                "publishedPermissionScopes": [
                    {
                        "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.",
                        "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning",
                        "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688",
                        "isEnabled": true,
                        "type": "User",
                        "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.",
                        "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning",
                        "value": "user_impersonation"
                    }
                ],
                "passwordCredentials": []
            },
    
  6. Ersätt {Service Principal id} med ditt värde och kör frågan https://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/.

  7. Leta upp "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976" och notera värdet för "id".

    {
                "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976",
                "templateId": "AD2AADProvisioning",
                "schedule": {
                    "expiration": null,
                    "interval": "PT2M",
                    "state": "Active"
                },
                "status": {
                    "countSuccessiveCompleteFailures": 0,
                    "escrowsPruned": false,
                    "code": "Active",
                    "lastSuccessfulExecutionWithExports": null,
                    "quarantine": null,
                    "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z",
                    "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z",
                    "troubleshootingUrl": "",
                    "lastExecution": {
                        "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24",
                        "countEntitled": 0,
                        "countEntitledForProvisioning": 0,
                        "countEscrowed": 15,
                        "countEscrowedRaw": 15,
                        "countExported": 0,
                        "countExports": 0,
                        "countImported": 0,
                        "countImportedDeltas": 0,
                        "countImportedReferenceDeltas": 0,
                        "state": "Succeeded",
                        "error": null,
                        "timeBegan": "2019-11-20T16:15:21.116098Z",
                        "timeEnded": "2019-11-20T16:17:24.7488681Z"
                    },
                    "lastSuccessfulExecution": {
                        "activityIdentifier": null,
                        "countEntitled": 0,
                        "countEntitledForProvisioning": 0,
                        "countEscrowed": 0,
                        "countEscrowedRaw": 0,
                        "countExported": 5,
                        "countExports": 0,
                        "countImported": 0,
                        "countImportedDeltas": 0,
                        "countImportedReferenceDeltas": 0,
                        "state": "Succeeded",
                        "error": null,
                        "timeBegan": "0001-01-01T00:00:00Z",
                        "timeEnded": "2019-11-20T14:09:46.8855027Z"
                    },
                    "progress": [],
                    "synchronizedEntryCountByType": [
                        {
                            "key": "group to Group",
                            "value": 33
                        },
                        {
                            "key": "user to User",
                            "value": 3
                        }
                    ]
                },
                "synchronizationJobSettings": [
                    {
                        "name": "Domain",
                        "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}"
                    },
                    {
                        "name": "DomainFQDN",
                        "value": "contoso.com"
                    },
                    {
                        "name": "DomainNetBios",
                        "value": "CONTOSO"
                    },
                    {
                        "name": "ForestFQDN",
                        "value": "contoso.com"
                    },
                    {
                        "name": "ForestNetBios",
                        "value": "CONTOSO"
                    },
                    {
                        "name": "QuarantineTooManyDeletesThreshold",
                        "value": "500"
                    }
                ]
            }
    
  8. Kör nu frågan https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schema.

    Ersätt {Service Principal Id} och {AD2ADD Provisioning Id} med dina värden.

  9. Den här frågan returnerar synkroniseringsschemat.

    Returnerat schema

Nästa steg