Extensões de diretório e mapeamento do atributo personalizado da Sincronização na Nuvem

O Microsoft Entra ID deve conter todos os dados (atributos) necessários para criar um perfil de usuário ao provisionar contas de usuário do Microsoft Entra ID para uma linha de negócios (LOB), aplicativo SaaS ou aplicativo local. É possível usar extensões de diretório para estender o esquema no Microsoft Entra ID com seus próprios atributos do Active Directory local. Este recurso permite criar aplicativos LOB consumindo atributos que você continua a gerenciar localmente, provisionar usuários pelo Windows Server Active Directory por meio do Microsoft Entra ID para aplicativos SaaS e usar atributos de extensão no Microsoft Entra ID e recursos do Microsoft Entra ID Governance, como grupos de associação dinâmica.

Para obter mais informações sobre extensões de diretório, confira Usar atributos de extensão de diretório em declarações, Microsoft Entra Connect Sync: extensões de diretório e Sincronização de atributos de extensão para o provisionamento de aplicativos do Microsoft Entra.

É possível ver os atributos disponíveis usando o Explorador do Microsoft Graph.

Observação

Para descobrir novos atributos de extensão do Active Directory, o agente de provisionamento precisa ser reiniciado. Você deve reiniciar o agente depois que as extensões de diretório tiverem sido criadas. Para os atributos de extensão do Azure AD, o agente não precisa ser reiniciado.

Sincronização das extensões de diretório para a sincronização na nuvem do Microsoft Entra

Você pode usar as extensões de diretório para estender a definição de diretório do esquema de sincronização no Microsoft Entra ID com seus próprios atributos.

Importante

Há suporte para extensão de diretório para a sincronização na nuvem do Microsoft Entra somente em aplicativos com o URI do identificador “api://<tenantId>/CloudSyncCustomExtensionsApp” e o Tenant Schema Extension App criado pelo Microsoft Entra Connect

Criar aplicativo e entidade de serviço para a extensão de diretório

Você precisa criar um aplicativo com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp", se ele não existir, e criar uma entidade de serviço para o aplicativo, se ela não existir.

  1. Verifique se o aplicativo com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp" existe.

    • Usando o Microsoft Graph
    GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
    

    Para obter mais informações, confira get application

    • Como usar o PowerShell
    Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
    

    Para obter mais informações, confira Get-MgApplication

  2. Se o aplicativo não existir, crie o aplicativo com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp".

    • Usar o Microsoft Graph
    POST https://graph.microsoft.com/v1.0/applications
    Content-type: application/json
    
    {
     "displayName": "CloudSyncCustomExtensionsApp",
     "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
    }
    

    Para obter mais informações, confira create application

    • Como usar o PowerShell
    New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant id>/CloudSyncCustomExtensionsApp"
    

    Para obter mais informações, consulte New-MgApplication

  3. Verifique se a entidade de serviço existe para o aplicativo com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp".

    • Usar o Microsoft Graph
    GET /servicePrincipals?$filter=(appId eq '{appId}')
    

    Para obter mais informações, confira get service principal

    • Como usar o PowerShell
    Get-MgServicePrincipal -Filter "AppId eq '<application id>'"
    

    Para mais informações, consulte Get-MgServicePrincipal

  4. Se uma entidade de serviço não existir, crie uma nova entidade de serviço para o aplicativo com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp".

    • Usar o Microsoft Graph
    POST https://graph.microsoft.com/v1.0/servicePrincipals
    Content-type: application/json
    
    {
    "appId": 
    "<application appId>"
    }
    

    Para obter mais informações, confira create servicePrincipal

    • Como usar o PowerShell
    New-MgServicePrincipal -AppId '<appId>'
    

    Para mais informações, consulte New-MgServicePrincipal

  5. Você pode criar extensões de diretório no Microsoft Entra ID de várias maneiras diferentes.

Método Descrição URL
MS Graph Criar extensões usando o GRAPH Criar extensionProperty
PowerShell Criar extensões usando o PowerShell New-MgApplicationExtensionProperty
Usando a sincronização na nuvem e o Microsoft Entra Connect Criar extensões usando o Microsoft Entra Connect Criar um atributo de extensão usando o Microsoft Entra Connect
Personalização de atributos para sincronização Informações sobre personalização, quais atributos devem ser sincronizados Personalizar quais atributos sincronizar com o Microsoft Entra ID

Usar o mapeamento de atributo para mapear as extensões de diretório

Se você estendeu o Active Directory para incluir atributos personalizados, pode adicionar esses atributos e mapeá-los para os usuários.

Para descobrir e mapear atributos, selecione Adicionar mapeamento de atributo. Os atributos serão descobertos automaticamente e estarão disponíveis na lista suspensa no atributo de origem. Preencha o tipo de mapeamento desejado e clique em Aplicar. Mapeamento de atributo personalizado

Para obter informações sobre novos atributos adicionados e atualizados no Microsoft Entra ID, consulte o usertipo de recurso e considere assinar as notificações de alteração.

Para obter mais informações sobre atributos de extensão, confira Sincronização de atributos de extensão para o Provisionamento de Aplicativos do Microsoft Entra.

Recursos adicionais