Microsoft Entra Connect 同步:目錄擴充
您可以使用目錄擴充功能,從內部部署 Active Directory 利用自己的屬性擴充 Microsoft Entra ID 中的結構描述。 此功能可讓您建置 LOB 應用程式,方法是取用您在內部部署中持續進行管理的屬性。 您可以透過擴充功能來取用這些屬性。 您可以使用 Microsoft Graph Explorer 來查看可用的屬性。 您也可以使用這項功能,在 Microsoft Entra ID 中建立組動態成員資格群組。
目前沒有任何 Microsoft 365 工作負載取用這些屬性。
重要
如果您已匯出的設定包含用來同步目錄擴充屬性的自訂規則,而且您嘗試將此規則匯入至 Microsoft Entra Connect 的全新或現有安裝,則會在匯入期間建立此規則,但不會對應目錄擴充屬性。 您必須重新選取目錄擴充屬性,並將其與規則重新建立關聯,或完全重新建立規則以修正此問題。
自訂要與 Microsoft Entra ID 同步的屬性
您可以在安裝精靈的自訂設定路徑中,設定您想要同步處理的其他屬性。
注意
手動編輯或複製目錄延伸模組的同步處理規則可能會導致同步處理問題。 不支援在此精靈頁面外部管理目錄延伸模組。
安裝會顯示下列屬性,這些都是有效的候選項目:
- 使用者和群組物件類型
- 單一值屬性︰字串、布林值、整數、二進位檔
- 多值屬性︰字串、二進位檔
注意
並非所有Microsoft Entra ID 中的功能都支援多重值擴充屬性。 請參閱您打算使用這些屬性來確認支援這些屬性的功能文件。
屬性清單是從 Microsoft Entra Connect 安裝期間建立的結構描述快取讀取。 如果您已使用其他屬性擴充 Active Directory 結構描述,就必須重新整理結構描述,才可看見這些新屬性。
Microsoft Entra ID 中的物件最多可有 100 個目錄擴充功能的屬性。 長度上限是 250 個字元。 如果屬性值較長,同步處理引擎就會加以截斷。
注意
不支援同步處理已建立的屬性,例如 msDS-UserPasswordExpiryTimeComputed。 如果您是從舊版 Microsoft Entra Connect 升級,您仍然可以在 [安裝精靈] 中看到這些屬性,但是您不應該加以啟用。 如果您這樣做,其值將不會同步至 Microsoft Entra ID。 您可以在本文中深入瞭解已建立的屬性。 您也應該不嘗試同步處理非複寫的屬性,例如 badPwdCount、Last-Logon 和 Last-Logoff,因為其值將不會同步至 Microsoft Entra ID。
由精靈在 Microsoft Entra ID 中進行的設定變更
在 Microsoft Entra Connect 安裝期間,會註冊可提供這些屬性的應用程式。 您可以在 Microsoft Entra 系統管理中心中看到此應用程式。 其名稱一律是 Tenant Schema Extension App。
注意
租用戶架構擴充應用程式是系統專用的應用程式,無法刪除和屬性延伸模組定義無法移除。
請確定選取 [所有應用程式] 以查看此應用程式。
屬性的前面會加上 extension _{ApplicationId}_。 Microsoft Entra 租用戶中的所有屬性會有相同的 ApplicationId 值。 本主題的所有其他案例都需要此值。
使用 Microsoft Graph API 來查看屬性
您現在可以使用 Microsoft Graph 總管,透過 Microsoft Graph API 取得這些屬性。
注意
在 Microsoft Graph API 中,您必須要求傳回屬性。 明確地選取屬性,如下所示:https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
。
如需詳細資訊,請參閱 Microsoft Graph:使用查詢參數。
注意
不支援將屬性值從 Microsoft Entra Connect 同步至不是由 Microsoft Entra Connect 建立的擴充屬性。 這樣做可能會產生效能問題和非預期的結果。 同步處理只支援如上所示建立的擴充屬性。
使用組動態成員資格群組中的屬性
其中一個比較實用的案例是在動態安全性或 Microsoft 365 群組中使用這些屬性。
在 Microsoft Entra ID 中,建立全新群組。 請為其適當命名,並確定 [成員資格類型] 為 [動態使用者]。
選取以 [新增動態查詢]。 如果您查看屬性,則不會看到這些擴充屬性。 您必須先新增這些項目。 按一下 [取得自訂擴充屬性]、輸入應用程式識別碼,然後按一下 [重新整理屬性]。
開啟屬性下拉式清單,並注意您現在可以看見所新增的屬性。
完成運算式以符合您的需求。 在我們的範例中,規則設定為 (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "銷售與行銷")。
建立群組之後,請等候 Microsoft Entra 一些時間來填入成員,然後再檢閱成員。
下一步
深入了解 Microsoft Entra Connect Sync 組態。
深入了解將內部部署身分識別與 Microsoft Entra ID 整合 (部分機器翻譯)。