Microsoft Entra Connect Sync : extensions d'annuaire
Vous pouvez utiliser des extensions d'annuaire pour étendre le schéma dans Microsoft Entra ID avec vos propres attributs à partir d'Active Directory sur site. Cette fonctionnalité vous permet de générer des applications métiers en consommant les attributs que vous continuez à gérer en local. Ces attributs peuvent être utilisés via des extensions. Vous pouvez voir les attributs disponibles à l’aide de Microsoft Graph Explorer. Vous pouvez également utiliser cette fonctionnalité pour créer des groupes à appartenance dynamique dans Microsoft Entra ID.
Actuellement, aucune charge de travail Microsoft 365 n’utilise ces attributs.
Important
Si vous avez exporté une configuration contenant une règle personnalisée utilisée pour synchroniser les attributs d'extension d'annuaire et que vous tentez d'importer cette règle dans une installation nouvelle ou existante de Microsoft Entra Connect, la règle sera créée lors de l'importation, mais les attributs d'extension d'annuaire seront ne pas être cartographié. Vous devez resélectionner les attributs d’extension d’annuaire et les réassocier à la règle ou recréer entièrement la règle pour résoudre le problème.
Personnalisez les attributs à synchroniser avec Microsoft Entra ID
Vous pouvez configurer les attributs supplémentaires à synchroniser dans le chemin d’accès des paramètres personnalisés dans l’Assistant d’installation.
Remarque
Le clonage ou la modification manuelle des règles de synchronisation pour Extensions d’annuaire peut entraîner des problèmes de synchronisation. Ils ne sont pas pris en charge pour gérer Extensions d’annuaire en dehors de cette page d’Assistant.
L’installation affiche les attributs suivants, qui sont des candidats valides :
- Types d’utilisateur et d’objet de groupe
- Attributs à valeur unique : chaîne, booléen, entier, binaire
- Attributs à valeurs multiples : chaîne, binaire
Remarque
Toutes les fonctionnalités de Microsoft Entra ID ne prennent pas en charge les attributs d'extension à valeurs multiples. Reportez-vous à la documentation de la fonctionnalité dans laquelle vous envisagez d’utiliser ces attributs pour vérifier qu’ils sont pris en charge.
La liste des attributs est lue à partir du cache de schéma créé lors de l'installation de Microsoft Entra Connect. Si vous avez étendu le schéma Active Directory avec des attributs supplémentaires, vous devez actualiser le schéma pour que ces nouveaux attributs soient visibles.
Un objet dans Microsoft Entra ID peut avoir jusqu'à 100 attributs pour les extensions d'annuaire. La longueur maximale est de 250 caractères. Si une valeur d’attribut est plus longue, le moteur de synchronisation la tronque.
Notes
La synchronisation des attributs construits, tels que msDS-UserPasswordExpiryTimeComputed, n’est pas prise en charge. Si vous effectuez une mise à niveau depuis une ancienne version de Microsoft Entra Connect, il est possible que ces attributs s’affichent toujours dans l’Assistant d’installation : vous ne devez néanmoins pas les activer. Leur valeur ne sera pas synchronisée avec Microsoft Entra ID si vous le faites. Vous pouvez en savoir plus sur les attributs construits dans cet article. Vous ne devez pas non plus tenter de synchroniser les attributs non répliqués, tels que badPwdCount, Last-Logon et Last-Logoff, car leurs valeurs ne seront pas synchronisées avec Microsoft Entra ID.
Modifications de configuration dans Microsoft Entra ID effectuées par l'assistant
Lors de l'installation de Microsoft Entra Connect, une application est enregistrée là où ces attributs sont disponibles. Vous pouvez voir cette application dans le centre d'administration Microsoft Entra. Son nom est toujours Tenant Schema Extension App (Application d’extension de schéma de locataire).
Notes
Le Tenant Schema Extension App est une application système uniquement qui ne peut pas être supprimée et les définitions d’extension d’attribut ne peuvent pas être supprimées.
Veillez à sélectionner Toutes les applications pour voir cette application.
Les attributs ont pour préfixe extension _{ApplicationId}_. ApplicationId a la même valeur pour tous les attributs de votre locataire Microsoft Entra. Vous aurez besoin de cette valeur pour tous les autres scénarios de cette rubrique.
Affichage des attributs à l’aide de l’API Microsoft Graph
Ces attributs sont désormais disponibles par le biais de l’API Microsoft Graph, en utilisant Microsoft Graph Explorer.
Notes
Dans l’API Microsoft Graph, vous devez demander que les attributs soient retournés. Sélectionnez explicitement les attributs comme suit : https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
.
Pour plus d’informations, consultez l’article Microsoft Graph : Utilisation de paramètres de requête.
Remarque
La synchronisation des valeurs d’attribut de Microsoft Entra Connect vers des attributs d’extension qui ne sont pas créés par Microsoft Entra Connect n’est pas prise en charge. Cela peut entraîner des problèmes de performances et des résultats inattendus. Seuls les attributs d’extension créés comme indiqué ci-dessus sont pris en charge pour la synchronisation.
Utiliser les attributs dans des groupes à appartenance dynamique
L’un des scénarios les plus utiles consiste à utiliser ces attributs dans la sécurité dynamique ou dans des groupes Microsoft 365.
Créez un nouveau groupe dans Microsoft Entra ID. Donnez-lui un bon nom et vérifiez que le Type d’appartenance est Utilisateur dynamique.
Sélectionnez l’option permettant d’Ajouter une requête dynamique. Si vous examinez les propriétés, vous ne voyez pas ces attributs étendus. Vous devez d’abord les ajouter. Cliquez sur Obtenir des propriétés d’extension personnalisée, entrez l’ID d’application, puis cliquez sur Actualiser les propriétés.
Ouvrez la liste déroulante des propriétés et notez que les attributs que vous avez ajoutés sont désormais visibles.
Complétez l’expression pour qu’elle réponde à vos besoins. Dans notre exemple, la règle est définie sur (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Ventes et marketing") .
Une fois le groupe créé, laissez à Microsoft Entra le temps de renseigner les membres, puis de les examiner.
Étapes suivantes
Apprenez-en davantage sur la configuration de Microsoft Entra Connect Sync.
Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.