Microsoft Entra Connect Sync: extensões de diretório
Você pode usar extensões de diretório para estender o esquema no Microsoft Entra ID com seus próprios atributos do Ative Directory local. Esse recurso permite que você crie aplicativos LOB consumindo atributos que você continua a gerenciar localmente. Esses atributos podem ser consumidos por meio de extensões. Você pode ver os atributos disponíveis usando o Microsoft Graph Explorer. Você também pode usar esse recurso para criar grupos de associação dinâmica no Microsoft Entra ID.
No momento, nenhuma carga de trabalho do Microsoft 365 consome esses atributos.
Importante
Se você tiver exportado uma configuração que contenha uma regra personalizada usada para sincronizar atributos de extensão de diretório e tentar importar essa regra para uma instalação nova ou existente do Microsoft Entra Connect, a regra será criada durante a importação, mas os atributos de extensão de diretório não serão mapeados. Você precisará selecionar novamente os atributos de extensão de diretório e associá-los novamente à regra ou recriar a regra inteiramente para corrigir isso.
Personalizar quais atributos sincronizar com o Microsoft Entra ID
Você configura quais atributos adicionais deseja sincronizar no caminho de configurações personalizadas no assistente de instalação.
Nota
Editar ou clonar manualmente as regras de sincronização para Extensões de Diretório pode causar problemas de sincronização. Não há suporte para gerenciar extensões de diretório fora desta página do assistente.
A instalação mostra os seguintes atributos, que são candidatos válidos:
- Tipos de objeto Usuário e Grupo
- Atributos de valor único: String, Booleano, Inteiro, Binário
- Atributos com vários valores: String, Binary
Nota
Nem todos os recursos do Microsoft Entra ID oferecem suporte a atributos de extensão de vários valores. Consulte a documentação do recurso no qual você planeja usar esses atributos para confirmar que eles são suportados.
A lista de atributos é lida a partir do cache de esquema criado durante a instalação do Microsoft Entra Connect. Se você tiver estendido o esquema do Ative Directory com atributos adicionais, deverá atualizá-lo antes que esses novos atributos fiquem visíveis.
Um objeto no Microsoft Entra ID pode ter até 100 atributos para extensões de diretório. O comprimento máximo é de 250 caracteres. Se um valor de atributo for maior, o mecanismo de sincronização o truncará.
Nota
Não há suporte para sincronizar atributos construídos, como msDS-UserPasswordExpiryTimeComputed. Se você atualizar de uma versão antiga do Microsoft Entra Connect você ainda pode ver esses atributos aparecer no assistente de instalação, você não deve habilitá-los embora. Seu valor não será sincronizado com o Microsoft Entra ID se você fizer isso. Você pode ler mais sobre atributos construídos neste artigo. Você também não deve tentar sincronizar atributos não replicados, como badPwdCount, Last-Logon e Last-Logoff, pois seus valores não serão sincronizados com o Microsoft Entra ID.
Alterações de configuração no Microsoft Entra ID feitas pelo assistente
Durante a instalação do Microsoft Entra Connect, um aplicativo é registrado onde esses atributos estão disponíveis. Pode ver esta aplicação no centro de administração do Microsoft Entra. Seu nome é sempre Tenant Schema Extension App.
Nota
O Aplicativo de Extensão de Esquema de Locatário é um aplicativo somente do sistema que não pode ser excluído e as definições de extensão de atributo não podem ser removidas.
Certifique-se de selecionar Todos os aplicativos para ver este aplicativo.
Os atributos são prefixados com a extensão _{ApplicationId}_. ApplicationId tem o mesmo valor para todos os atributos em seu locatário do Microsoft Entra. Você precisará desse valor para todos os outros cenários neste tópico.
Exibindo atributos usando a API do Microsoft Graph
Esses atributos agora estão disponíveis por meio da API do Microsoft Graph, usando o Microsoft Graph Explorer.
Nota
Na API do Microsoft Graph, você precisa solicitar que os atributos sejam retornados. Selecione explicitamente os atributos como este: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
.
Para obter mais informações, consulte Microsoft Graph: Usar parâmetros de consulta.
Nota
Não há suporte para sincronizar valores de atributos do Microsoft Entra Connect com atributos de extensão que não são criados pelo Microsoft Entra Connect. Isso pode gerar problemas de desempenho e resultados inesperados. Somente os atributos de extensão criados conforme mostrado acima são suportados para sincronização.
Usar os atributos em grupos dinâmicos de associação
Um dos cenários mais úteis é usar esses atributos em segurança dinâmica ou grupos do Microsoft 365.
Crie um novo grupo no Microsoft Entra ID. Dê-lhe um bom nome e certifique-se de que o tipo de associação é Usuário dinâmico.
Selecione para Adicionar consulta dinâmica. Se você examinar as propriedades, não verá esses atributos estendidos. Você precisa adicioná-los primeiro. Clique em Obter propriedades de extensão personalizadas, insira a ID do aplicativo e clique em Atualizar propriedades.
Abra a lista suspensa de propriedades e observe que os atributos adicionados agora estão visíveis.
Preencha a expressão para atender às suas necessidades. No nosso exemplo, a regra é definida como (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Vendas e marketing").
Depois que o grupo tiver sido criado, dê ao Microsoft Entra algum tempo para preencher os membros e, em seguida, revisá-los.
Próximos passos
Saiba mais sobre a configuração do Microsoft Entra Connect Sync .
Saiba mais sobre como integrar suas identidades locais com a ID do Microsoft Entra.