云同步目录扩展和自定义属性映射
将用户帐户从 Microsoft Entra ID 预配到业务线 (LOB)、SaaS 应用或本地应用程序时,Microsoft Entra ID 必须包含创建用户配置文件所需的所有数据(属性)。 通过目录扩展,可以使用本地 Active Directory 中的属性扩展 Microsoft Entra ID 中的架构。 借助此功能,你可以使用继续在本地管理的特性来生成 LOB 应用,通过 Microsoft Entra ID 将 Windows Server Active Directory 中的用户预配到 SaaS 应用,并在 Microsoft Entra ID 和 Microsoft Entra ID 治理功能(如动态成员资格组)中使用扩展特性。
有关目录扩展的详细信息,请参阅在声明中使用目录扩展属性、Microsoft Entra Connect 同步:目录扩展和为 Microsoft Entra 应用程序预配同步扩展属性。
可以使用 Microsoft Graph 浏览器查看可用属性。
注意
若要发现新的 Active Directory 扩展属性,需要重启预配代理。 应在创建目录扩展后重启代理。 对于 Microsoft Entra 扩展属性,无需重启代理。
同步 Microsoft Entra 云同步的目录扩展
可以使用目录扩展通过你自己的属性扩展 Microsoft Entra ID 中的同步架构目录定义。
重要
只有具有标识符 URI“api://<tenantId>/CloudSyncCustomExtensionsApp”的应用程序和 Microsoft Entra Connect 创建的 Tenant Schema Extension App 才支持 Microsoft Entra 云同步的目录扩展
针对目录扩展创建应用程序和服务主体
如果不存在具有标识符 URI“api://<tenantId>/CloudSyncCustomExtensionsApp”的应用程序,请创建一个,并为该应用程序创建一个服务主体(若不存在)。
检查是否存在具有标识符 URI“api://<tenantId>/CloudSyncCustomExtensionsApp”的应用程序。
- 使用 Microsoft Graph
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')有关详细信息,请参阅获取应用程序
- 使用 PowerShell
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"有关详细信息,请参阅 Get-MgApplication
如果不存在具有标识符 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" 的应用程序,请创建一个。
- 使用 Microsoft Graph
POST https://graph.microsoft.com/v1.0/applications Content-type: application/json { "displayName": "CloudSyncCustomExtensionsApp", "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"] }有关详细信息,请参阅创建应用程序
- 使用 PowerShell
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"有关详细信息,请参阅 New-MgApplication
检查具有标识符 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" 的应用程序是否具有服务主体。
- 使用 Microsoft Graph
GET /servicePrincipals?$filter=(appId eq '{appId}')有关详细信息,请参阅获取服务主体
- 使用 PowerShell
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"有关详细信息,请参阅 Get-MgServicePrincipal
如果服务主体不存在,请为具有标识符 URI "api://<tenantId>/CloudSyncCustomExtensionsApp" 的应用程序创建一个新的服务主体
- 使用 Microsoft Graph
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "<application appId>" }有关详细信息,请参阅创建 servicePrincipal
- 使用 PowerShell
New-MgServicePrincipal -AppId '<appId>'有关详细信息,请参阅 New-MgServicePrincipal
可以通过多种不同的方式在 Microsoft Entra ID 中创建目录扩展。
| 方法 | 说明 | URL |
|---|---|---|
| MS Graph | 使用 GRAPH 创建扩展 | 创建 extensionProperty |
| PowerShell | 使用 PowerShell 创建扩展 | New-MgApplicationExtensionProperty |
| 使用云同步和 Microsoft Entra Connect | 使用 Microsoft Entra Connect 创建扩展 | 使用 Microsoft Entra Connect 创建扩展属性 |
| 自定义要同步的属性 | 有关自定义要同步的属性的信息 | 自定义要与 Microsoft Entra ID 同步的属性 |
使用属性映射来映射目录扩展
如果已扩展 Active Directory 以包含自定义属性,则可以添加这些属性并将其映射到用户。
若要发现和映射属性,请选择“添加属性映射”。 系统会自动发现属性,并在“源属性”下的下拉列表中提供这些属性。 填写所需的映射类型,然后选择“应用”。
有关在 Microsoft Entra ID 中添加和更新的新属性的信息,请参阅 user 资源类型,并考虑订阅更改通知。
有关扩展属性的详细信息,请参阅为 Microsoft Entra 应用程序预配同步扩展属性。