Verzeichniserweiterungen und benutzerdefinierte Attributzuordnungen für die Cloudsynchronisierung
Microsoft Entra ID muss alle zum Erstellen eines Benutzerprofils erforderlichen Daten (Attribute) enthalten, wenn Benutzerkonten aus Microsoft Entra ID in einer branchenspezifischen SaaS-App oder in einer lokalen Anwendung bereitgestellt werden. Sie können Verzeichniserweiterungen verwenden, um das Schema in Microsoft Entra ID um Ihre eigenen Attribute aus dem lokalen Active Directory zu erweitern. Mit dieser Funktion können Sie LOB-Anwendungen erstellen, indem Sie Attribute verwenden, die Sie weiterhin vor Ort verwalten, Benutzende von Windows Server Active Directory über Microsoft Entra ID für SaaS-Anwendungen bereitstellen und Erweiterungsattribute in Microsoft Entra ID und Microsoft Entra ID Governance-Funktionen wie dynamische Mitgliedergruppen verwenden.
Weitere Informationen zu Verzeichniserweiterungen finden Sie unter Verwenden von Verzeichniserweiterungsattributen in Ansprüchen, Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen und Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.
Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen.
Hinweis
Um neue Active Directory-Erweiterungsattribute zu ermitteln, muss der Bereitstellungs-Agent neu gestartet werden. Sie sollten den Agent neu starten, nachdem die Verzeichniserweiterungen erstellt wurden. Für Microsoft Entra-Erweiterungsattribute muss der Agent nicht neu gestartet werden.
Synchronisieren von Verzeichniserweiterungen für die Microsoft Entra-Cloudsynchronisierung
Sie können Verzeichniserweiterungen verwenden, um die Verzeichnisdefinition des Synchronisierungsschemas in Microsoft Entra ID um Ihre eigenen Attribute zu erweitern.
Wichtig
Die Verzeichniserweiterung für die Microsoft Entra-Cloudsynchronisierung wird nur für Anwendungen mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ und der von Microsoft Entra Connect erstellten Tenant Schema Extension App unterstützt.
Erstellen einer Anwendung und eines Dienstprinzipals für die Verzeichniserweiterung
Sie müssen eine Anwendung mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ und einen Dienstprinzipal für die Anwendung erstellen, falls die Anwendung und/oder der Dienstprinzipal nicht vorhanden ist.
Überprüfen Sie, ob eine Anwendung mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ vorhanden ist.
- Verwenden von Microsoft Graph
GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')Weitere Informationen finden Sie unter Abrufen einer Anwendung.
- Mithilfe von PowerShell
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"Weitere Informationen finden Sie unter Get-MgApplication.
Wenn die Anwendung nicht vorhanden ist, erstellen Sie die Anwendung mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“.
- Verwenden von Microsoft Graph
POST https://graph.microsoft.com/v1.0/applications Content-type: application/json { "displayName": "CloudSyncCustomExtensionsApp", "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"] }Weitere Informationen finden Sie unter Erstellen einer Anwendung.
- Mithilfe von PowerShell
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"Weitere Informationen finden Sie unter New-MgApplication.
Überprüfen Sie, ob der Dienstprinzipal mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ für die Anwendung vorhanden ist.
- Verwenden von Microsoft Graph
GET /servicePrincipals?$filter=(appId eq '{appId}')Weitere Informationen finden Sie unter Abrufen von Dienstprinzipalen.
- Mithilfe von PowerShell
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"Weitere Informationen finden Sie unter Get-MgServicePrincipal
Wenn kein Dienstprinzipal vorhanden ist, erstellen Sie einen neuen Dienstprinzipal für die Anwendung mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“.
- Verwenden von Microsoft Graph
POST https://graph.microsoft.com/v1.0/servicePrincipals Content-type: application/json { "appId": "<application appId>" }Weitere Informationen finden Sie unter Erstellen eines servicePrincipal.
- Mithilfe von PowerShell
New-MgServicePrincipal -AppId '<appId>'Weitere Informationen finden Sie unter New-MgServicePrincipal
Sie können Verzeichniserweiterungen in Microsoft Entra ID auf verschiedene Arten erstellen.
| Methode | BESCHREIBUNG | URL |
|---|---|---|
| MS Graph | Erstellen von Erweiterungen mithilfe von GRAPH | Erstellen von extensionProperty |
| PowerShell | Erstellen von Erweiterungen mithilfe von PowerShell | New-MgApplicationExtensionProperty |
| Verwenden der Cloudsynchronisierung und von Microsoft Entra Connect | Erstellen von Erweiterungen mithilfe von Microsoft Entra Connect | Erstellen von Erweiterungsattributen mit Microsoft Entra Connect |
| Anpassen der zu synchronisierenden Attribute | Informationen zum Anpassen der zu synchronisierenden Attribute | Anpassen der mit Microsoft Entra ID zu synchronisierenden Attribute |
Verwenden der Attributzuordnung zum Zuordnen von Verzeichniserweiterungen
Wenn Sie Active Directory erweitert haben, um benutzerdefinierte Attribute einzuschließen, können Sie diese Attribute hinzufügen und Benutzern zuordnen.
Wählen Sie Attributzuordnung hinzufügen aus, um Attribute zu ermitteln und zuzuordnen. Die Attribute werden automatisch ermittelt und stehen in der Dropdownliste unter Quellattribut zur Verfügung. Geben Sie den gewünschten Zuordnungstyp ein, und wählen Sie Anwenden aus.
Informationen zu neuen Attributen, die in Microsoft Entra ID hinzugefügt und aktualisiert werden, finden Sie unter userRessourcentyp für Benutzer. Abonnieren Sie gegebenenfalls Änderungsbenachrichtigungen.
Weitere Informationen zu Erweiterungsattributen finden Sie unter Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.