Microsoft Entra Connect 同步：目錄擴充

您可以使用目錄擴充功能，將內部部署 Active Directory 中的自訂屬性用來擴充 Microsoft Entra ID 的結構描述。 此功能可讓您建置 LOB 應用程式，方法是取用您在內部部署中持續進行管理的屬性。 您可以透過擴充功能來取用這些屬性。 您可以使用 Microsoft Graph Explorer、 Microsoft Graph PowerShell SDK 或 Microsoft Entra PowerShell 來查看可用的屬性。 目前，沒有 Microsoft 365 工作負載會使用這些屬性，但您可以將此功能與 Microsoft Entra ID 中的動態群組成員資格一起使用。

選取要與Microsoft Entra ID 同步處理的屬性

您可以在自訂設定中，使用 Microsoft Entra Connect 組態精靈來設定您想要同步處理的擴充屬性。

精靈會顯示可以與目錄延伸搭配使用的有效候選屬性：

• 使用者和群組物件類型
• 單一值屬性︰字串、布林值、整數、二進位檔
• 多值屬性︰字串、二進位檔

使用目錄延伸模組時的重要考慮

• 在初始安裝 Microsoft Entra Connect 期間，會從 Active Directory 架構讀取屬性清單。 如果您使用更多自定義屬性來擴充 Active Directory 架構，您必須先 重新整理架構 ，才能顯示這些新屬性。

• 如果您匯出的設定包含用來同步處理目錄擴充屬性的自訂規則，並嘗試將此規則匯入到新或現有的 Microsoft Entra Connect 安裝中，則規則將在匯入時建立，但目錄擴充屬性不會被對應。 您必須重新選取目錄擴充屬性，並將其與規則重新關聯，或完全重新建立規則以修正此問題。

• 並非所有Microsoft Entra ID 中的功能都支援多重值擴充屬性。 請參閱您打算在其中使用這些屬性的功能的文件，以確認它們是否受到支援。

• Microsoft Entra ID 中的物件最多可有 100 個目錄擴充功能的屬性。 長度上限是 250 個字元。 如果屬性值較長，同步處理引擎就會加以截斷。

• 不支援同步建構的屬性，例如 msDS-UserPasswordExpiryTimeComputed。 如果您從舊版的 Microsoft Entra Connect 升級，您可能仍然會在安裝精靈中看到這些屬性，您不應該啟用這些屬性，因為其值不會同步至Microsoft Entra ID。 學習模式。

• 不支援將非複寫屬性同步到 Microsoft Entra ID，例如 badPwdCount、Last-Logon 和 Last-Logoff，因為其值不會同步。

• 不支援在 Microsoft Entra Connect 精靈之外管理本地端目錄擴充功能。 手動編輯或複製目錄延伸模組的同步處理規則可能會導致同步處理問題。

• 不支援將 Microsoft Entra Connect 中的屬性值同步至非由 Microsoft Entra Connect 建立的擴充屬性。 這樣做可能會產生效能問題和非預期的結果。

由精靈在 Microsoft Entra ID 中進行的設定變更

在安裝 Microsoft Entra Connect 期間，應用程式會註冊這些屬性的設定位置。 您可以在 Microsoft Entra 系統管理中心看到此應用程式，名稱為 租用戶架構延伸模組應用程式。 請務必選取 [所有應用程式 ] 以查看此應用程式。

注意

租使用者架構延伸模組應用程式 是無法刪除的系統專用應用程式。 刪除與 租戶架構延伸模組應用程式 相關聯的服務主體會導致同步處理中斷。 若要復原目錄延伸模組同步處理，請還原被軟刪除的服務主體，或重新建立一個新的服務主體。

在 Microsoft Entra ID 中檢視擴充屬性

擴充屬性的格式為 extension_{ApplicationId}_<attributeName>，其中 ApplicationId 是 租用戶架構擴充應用程式的應用程式識別碼。 本主題中所有其他案例都需要此值。

使用 Microsoft Graph API

這些屬性可透過 Microsoft Graph API 使用 Microsoft Graph Explorer 來取得。

在 Microsoft Graph API 中，您必須要求傳回屬性。 明確選取如下所示的屬性：

https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

如需詳細資訊，請參閱 Microsoft Graph：使用查詢參數。

使用 Microsoft Graph PowerShell SDK

1. 取得 租戶結構擴展應用程式：

Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"

2. 列出 租使用者架構擴充功能應用程式的所有擴充屬性：

Get-MgDirectoryObjectAvailableExtensionProperty

3. 列出使用者物件的所有擴充屬性：

(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

使用 Microsoft Entra PowerShell

1. 取得 Tenant 架構擴充應用程式 的識別碼：

Get-EntraApplication -SearchString "Tenant Schema Extension App"

2. 列出 租使用者架構擴充功能應用程式 應用程式的所有擴充屬性：

Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}

3. 列出使用者物件的所有擴充屬性：

Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

使用動態成員群組中的屬性

其中一個最有用的案例是在動態安全性或Microsoft 365 群組中使用擴充屬性。

1. 在 Microsoft Entra ID 中，建立全新群組。 為它命名，並確定 成員資格類型 為 動態使用者。

   

2. 選取新增動態查詢。 當您查看屬性時，缺少這些擴充屬性，因為您必須先新增這些屬性。 按一下 [取得自訂擴充屬性]、輸入應用程式識別碼，然後按一下 [重新整理屬性]。

   

3. 開啟屬性下拉式清單，並注意您現在可以看見所新增的屬性。

   

4. 若要符合您的需求，請完成表達式。 在我們的範例中，規則會設定為：

   (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")

5. 建立群組之後，請提供 Microsoft Entra 一些時間來填入成員，然後檢閱成員。

   

下一步

深入了解 Microsoft Entra Connect Sync 組態。

瞭解更多有關將內部部署的身分識別整合至 Microsoft Entra ID。