Microsoft Entra Connect Sync: Katalogtillägg

  • Artikel

Du kan använda katalogtillägg för att utöka schemat i Microsoft Entra-ID med dina egna attribut från lokalni Active Directory. Med den här funktionen kan du skapa LOB-appar genom att använda attribut som du fortsätter att hantera lokalt. Dessa attribut kan användas via tillägg. Du kan se tillgängliga attribut med hjälp av Microsoft Graph Explorer. Du kan också använda den här funktionen för att skapa dynamiska medlemskapsgrupper i Microsoft Entra-ID.

För närvarande använder ingen Microsoft 365-arbetsbelastning dessa attribut.

Viktigt!

Om du har exporterat en konfiguration som innehåller en anpassad regel som används för att synkronisera katalogtilläggsattribut och du försöker importera den här regeln till en ny eller befintlig installation av Microsoft Entra Connect skapas regeln under importen, men katalogtilläggsattributen mappas inte. Du måste välja om attributen för katalogtillägget och associera dem med regeln igen eller återskapa regeln helt för att åtgärda detta.

Anpassa vilka attribut som ska synkroniseras med Microsoft Entra-ID

Du konfigurerar vilka ytterligare attribut som du vill synkronisera i sökvägen för anpassade inställningar i installationsguiden.

Guiden Schematillägg

Kommentar

Manuellt redigering eller kloning av synkroniseringsreglerna för katalogtillägg kan orsaka synkroniseringsproblem. Det går inte att hantera katalogtillägg utanför den här guidesidan.

Installationen visar följande attribut, som är giltiga kandidater:

  • Objekttyper för användare och grupper
  • Attribut med enkelvärde: Sträng, Booleskt värde, Heltal, Binärt
  • Flervärdesattribut: Sträng, Binär

Kommentar

Alla funktioner i Microsoft Entra ID stöder inte tilläggsattribut med flera värden. Se dokumentationen för funktionen där du planerar att använda dessa attribut för att bekräfta att de stöds.

Listan över attribut läss från schemacachen som skapas under installationen av Microsoft Entra Connect. Om du har utökat Active Directory-schemat med ytterligare attribut måste du uppdatera schemat innan de nya attributen visas.

Ett objekt i Microsoft Entra-ID kan ha upp till 100 attribut för katalogtillägg. Den maximala längden är 250 tecken. Om ett attributvärde är längre trunkerar synkroniseringsmotorn det.

Kommentar

Det stöds inte för att synkronisera konstruerade attribut, till exempel msDS-UserPasswordExpiryTimeComputed. Om du uppgraderar från en gammal version av Microsoft Entra Connect kan de här attributen visas i installationsguiden, men du bör inte aktivera dem. Deras värde synkroniseras inte med Microsoft Entra-ID om du gör det. Du kan läsa mer om konstruerade attribut i den här artikeln. Du bör inte heller försöka synkronisera icke-replikerade attribut, till exempel badPwdCount, Last-Logon och Last-Logoff, eftersom deras värden inte synkroniseras med Microsoft Entra-ID.

Konfigurationsändringar i Microsoft Entra-ID som gjorts av guiden

Under installationen av Microsoft Entra Connect registreras ett program där dessa attribut är tillgängliga. Du kan se det här programmet i administrationscentret för Microsoft Entra. Namnet är alltid Klientschematilläggsapp.

Schematilläggsapp

Kommentar

Klientschematilläggsappen är ett systemspecifikt program som inte kan tas bort och attributtilläggsdefinitioner kan inte tas bort.

Se till att du väljer Alla program för att se den här appen.

Attributen är prefix med tillägget _{ApplicationId}_. ApplicationId har samma värde för alla attribut i din Microsoft Entra-klientorganisation. Du behöver det här värdet för alla andra scenarier i det här avsnittet.

Visa attribut med hjälp av Microsoft Graph API

Dessa attribut är nu tillgängliga via Microsoft Graph API med hjälp av Microsoft Graph Explorer.

Kommentar

I Microsoft Graph-API:et måste du be om att attributen ska returneras. Välj uttryckligen attributen så här: https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division.

Mer information finns i Microsoft Graph: Använd frågeparametrar.

Kommentar

Det går inte att synkronisera attributvärden från Microsoft Entra Connect till tilläggsattribut som inte har skapats av Microsoft Entra Connect. Detta kan leda till prestandaproblem och oväntade resultat. Endast tilläggsattribut som skapas enligt ovan stöds för synkronisering.

Använda attributen i dynamiska medlemskapsgrupper

Ett av de mer användbara scenarierna är att använda dessa attribut i dynamiska säkerhetsgrupper eller Microsoft 365-grupper.

  1. Skapa en ny grupp i Microsoft Entra-ID. Ge den ett bra namn och se till att medlemskapstypen är dynamisk användare.

    Skärmbild med en ny grupp

  2. Välj för att lägga till dynamisk fråga. Om du tittar på egenskaperna visas inte dessa utökade attribut. Du måste lägga till dem först. Klicka på Hämta egenskaper för anpassat tillägg, ange program-ID och klicka på Uppdatera egenskaper.

    Skärmbild där katalogtillägg har lagts till

  3. Öppna listrutan för egenskapen och observera att de attribut som du har lagt till nu är synliga.

    Skärmbild med nya attribut som visas i användargränssnittet

    Slutför uttrycket så att det passar dina behov. I vårt exempel är regeln inställd på (user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Försäljning och marknadsföring").

  4. När gruppen har skapats kan du ge Microsoft Entra lite tid att fylla i medlemmarna och sedan granska medlemmarna.

    Skärmbild med medlemmar i den dynamiska gruppen

Nästa steg

Läs mer om Microsoft Entra Connect Sync-konfigurationen .

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.