Condividi tramite


Informazioni sullo schema di Microsoft Entra

Un oggetto in Microsoft Entra ID, come qualsiasi directory, è un costrutto di dati di alto livello programmatico che rappresenta elementi come utenti, gruppi e contatti. Quando si crea un nuovo utente o contatto in Microsoft Entra ID, si crea una nuova istanza di tale oggetto. Queste istanze possono essere differenziate in base alle relative proprietà.

Le proprietà in Microsoft Entra ID sono gli elementi responsabili dell'archiviazione di informazioni su un'istanza di un oggetto in Microsoft Entra ID.

Lo schema Di Microsoft Entra definisce le regole per le quali possono essere usate proprietà in una voce, i tipi di valori che tali proprietà potrebbero avere e il modo in cui gli utenti potrebbero interagire con tali valori.

Microsoft Entra ID ha due tipi di proprietà:

  • Proprietà predefinite: proprietà predefinite che sono predefinite dallo schema di Microsoft Entra. Queste proprietà forniscono usi diversi e potrebbero o non essere accessibili.
  • Estensioni della directory: proprietà fornite in modo da poter personalizzare l'ID Microsoft Entra per un uso personalizzato. Ad esempio, se il Active Directory locale è stato esteso con un determinato attributo e si vuole fluire tale attributo, è possibile usare una delle proprietà personalizzate fornite.

Ogni configurazione di sincronizzazione cloud include uno schema di sincronizzazione. Questo schema di sincronizzazione definisce quali oggetti verranno sincronizzati e come vengono sincronizzati.

Attributi ed espressioni

Quando viene effettuato il provisioning di un oggetto, ad esempio un utente, in Microsoft Entra ID, viene creata una nuova istanza dell'oggetto utente. Questa creazione include le proprietà di tale oggetto, note anche come attributi. Inizialmente, gli attributi dell'oggetto appena creato sono impostati sui valori determinati dalle regole di sincronizzazione. Questi attributi vengono quindi mantenuti aggiornati tramite l'agente di provisioning cloud.

Provisioning di oggetti

Ad esempio, un utente potrebbe far parte di un reparto Marketing. L'attributo del reparto Microsoft Entra viene inizialmente creato al momento del provisioning e il valore è impostato su Marketing. Sei mesi dopo se cambiano in Sales, l'attributo Active Directory locale reparto viene modificato in Sales. Questa modifica viene sincronizzata con Microsoft Entra ID e viene riflessa nell'oggetto utente Microsoft Entra.

La sincronizzazione degli attributi potrebbe essere diretta, in cui il valore in Microsoft Entra ID è impostato direttamente sul valore dell'attributo locale. In alternativa, un'espressione programmatica potrebbe gestire la sincronizzazione. È necessaria un'espressione programmatica nei casi in cui è necessario eseguire una logica o una determinazione per popolare il valore.

Ad esempio, se si dispone dell'attributo di posta elettronica "john.smith@contoso.com" ed è necessario rimuovere la parte "@contoso.com" e scorrere solo il valore "john.smith", si userà un valore simile al seguente:

Replace([mail], "@contoso.com", , ,"", ,)

Input/output di esempio:

  • INPUT (mail): "john.smith@contoso.com"
  • OUTPUT: "john.smith"

Per altre informazioni su come scrivere espressioni personalizzate e la sintassi, vedere Scrittura di espressioni per mapping di attributi in Microsoft Entra ID.

La tabella seguente elenca gli attributi comuni e il modo in cui vengono sincronizzati con Microsoft Entra ID.

Active Directory locale Tipo di mapping Microsoft Entra ID
cn Diretta commonName
countryCode Diretta countryCode
displayName Connessione diretta displayName
givenName Espressione givenName
objectGUID Diretta sourceAnchorBinary
userPrincipalName Connessione diretta userPrincipalName
proxyAddress Diretta ProxyAddress

Visualizzare lo schema di sincronizzazione

Avviso

La configurazione di sincronizzazione cloud crea un'entità servizio. L'entità servizio è visibile nell'interfaccia di amministrazione di Microsoft Entra. Non è consigliabile modificare i mapping degli attributi usando l'esperienza dell'entità servizio nell'interfaccia di amministrazione di Microsoft Entra. Questo non è supportato.

Per visualizzare lo schema di sincronizzazione della configurazione della sincronizzazione cloud e verificarlo, seguire questa procedura.

  1. Passare a Graph Explorer.

  2. Accedere con l'account amministratore globale.

  3. A sinistra selezionare Modifica autorizzazioni e assicurarsi che Directory.ReadWrite.All sia acconsentito.

  4. Eseguire la query https://graph.microsoft.com/beta/serviceprincipals/?$filter=startswith(DisplayName, ‘{sync config name}’). Questa query restituisce un elenco filtrato di entità servizio. Questa operazione può essere acquisita anche tramite il nodo Registrazione app in Microsoft Entra ID.

  5. Individuare "appDisplayName": "Active Directory to Azure Active Directory Provisioning" e prendere nota del valore per "id".

    "value": [
            {
                "id": "00d41b14-7958-45ad-9d75-d52fa29e02a1",
                "deletedDateTime": null,
                "accountEnabled": true,
                "appDisplayName": "Active Directory to Azure Active Directory Provisioning",
                "appId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "applicationTemplateId": null,
                "appOwnerOrganizationId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
                "appRoleAssignmentRequired": false,
                "displayName": "Active Directory to Azure Active Directory Provisioning",
                "errorUrl": null,
                "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=AD2AADProvisioning|ISV9.1|primary|z",
                "loginUrl": null,
                "logoutUrl": null,
                "notificationEmailAddresses": [],
                "preferredSingleSignOnMode": null,
                "preferredTokenSigningKeyEndDateTime": null,
                "preferredTokenSigningKeyThumbprint": null,
                "publisherName": "Active Directory Application Registry",
                "replyUrls": [],
                "samlMetadataUrl": null,
                "samlSingleSignOnSettings": null,
                "servicePrincipalNames": [
                    "http://adapplicationregistry.onmicrosoft.com/adprovisioningtoaad/primary",
                    "1a4721b3-e57f-4451-ae87-ef078703ec94"
                ],
                "signInAudience": "AzureADMultipleOrgs",
                "tags": [
                    "WindowsAzureActiveDirectoryIntegratedApp"
                ],
                "addIns": [],
                "api": {
                    "resourceSpecificApplicationPermissions": []
                },
                "appRoles": [
                    {
                        "allowedMemberTypes": [
                            "User"
                        ],
                        "description": "msiam_access",
                        "displayName": "msiam_access",
                        "id": "a0326856-1f51-4311-8ae7-a034d168eedf",
                        "isEnabled": true,
                        "origin": "Application",
                        "value": null
                    }
                ],
                "info": {
                    "termsOfServiceUrl": null,
                    "supportUrl": null,
                    "privacyStatementUrl": null,
                    "marketingUrl": null,
                    "logoUrl": null
                },
                "keyCredentials": [],
                "publishedPermissionScopes": [
                    {
                        "adminConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on behalf of the signed-in user.",
                        "adminConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning",
                        "id": "d40ed463-646c-4efe-bb3e-3fa7d0006688",
                        "isEnabled": true,
                        "type": "User",
                        "userConsentDescription": "Allow the application to access Active Directory to Azure Active Directory Provisioning on your behalf.",
                        "userConsentDisplayName": "Access Active Directory to Azure Active Directory Provisioning",
                        "value": "user_impersonation"
                    }
                ],
                "passwordCredentials": []
            },
    
  6. Sostituire {Service Principal id} con il valore ed eseguire la query https://graph.microsoft.com/beta/serviceprincipals/{Service Principal id}/synchronization/jobs/.

  7. Individuare "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976" e prendere nota del valore per "id".

    {
                "id": "AD2AADProvisioning.fd1c9b9e8077402c8bc03a7186c8f976",
                "templateId": "AD2AADProvisioning",
                "schedule": {
                    "expiration": null,
                    "interval": "PT2M",
                    "state": "Active"
                },
                "status": {
                    "countSuccessiveCompleteFailures": 0,
                    "escrowsPruned": false,
                    "code": "Active",
                    "lastSuccessfulExecutionWithExports": null,
                    "quarantine": null,
                    "steadyStateFirstAchievedTime": "2019-11-08T15:48:05.7360238Z",
                    "steadyStateLastAchievedTime": "2019-11-20T16:17:24.7957721Z",
                    "troubleshootingUrl": "",
                    "lastExecution": {
                        "activityIdentifier": "2dea06a7-2960-420d-931e-f6c807ebda24",
                        "countEntitled": 0,
                        "countEntitledForProvisioning": 0,
                        "countEscrowed": 15,
                        "countEscrowedRaw": 15,
                        "countExported": 0,
                        "countExports": 0,
                        "countImported": 0,
                        "countImportedDeltas": 0,
                        "countImportedReferenceDeltas": 0,
                        "state": "Succeeded",
                        "error": null,
                        "timeBegan": "2019-11-20T16:15:21.116098Z",
                        "timeEnded": "2019-11-20T16:17:24.7488681Z"
                    },
                    "lastSuccessfulExecution": {
                        "activityIdentifier": null,
                        "countEntitled": 0,
                        "countEntitledForProvisioning": 0,
                        "countEscrowed": 0,
                        "countEscrowedRaw": 0,
                        "countExported": 5,
                        "countExports": 0,
                        "countImported": 0,
                        "countImportedDeltas": 0,
                        "countImportedReferenceDeltas": 0,
                        "state": "Succeeded",
                        "error": null,
                        "timeBegan": "0001-01-01T00:00:00Z",
                        "timeEnded": "2019-11-20T14:09:46.8855027Z"
                    },
                    "progress": [],
                    "synchronizedEntryCountByType": [
                        {
                            "key": "group to Group",
                            "value": 33
                        },
                        {
                            "key": "user to User",
                            "value": 3
                        }
                    ]
                },
                "synchronizationJobSettings": [
                    {
                        "name": "Domain",
                        "value": "{\"DomainFQDN\":\"contoso.com\",\"DomainNetBios\":\"CONTOSO\",\"ForestFQDN\":\"contoso.com\",\"ForestNetBios\":\"CONTOSO\"}"
                    },
                    {
                        "name": "DomainFQDN",
                        "value": "contoso.com"
                    },
                    {
                        "name": "DomainNetBios",
                        "value": "CONTOSO"
                    },
                    {
                        "name": "ForestFQDN",
                        "value": "contoso.com"
                    },
                    {
                        "name": "ForestNetBios",
                        "value": "CONTOSO"
                    },
                    {
                        "name": "QuarantineTooManyDeletesThreshold",
                        "value": "500"
                    }
                ]
            }
    
  8. Eseguire ora la query https://graph.microsoft.com/beta/serviceprincipals/{Service Principal Id}/synchronization/jobs/{AD2AAD Provisioning id}/schema.

    Sostituire {Service Principal Id} e {AD2ADD Provisioning Id} con i propri valori.

  9. Questa query restituisce lo schema di sincronizzazione.

    Schema restituito

Passaggi successivi