Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Entra ID 必须包含创建用户配置文件所需的所有数据(属性),以便在将用户帐户从 Microsoft Entra ID 预配到业务应用(LOB)或本地应用程序时使用。 可以使用目录扩展通过自己的属性扩展Microsoft Entra ID中的架构。 通过此功能,您可以利用继续在本地管理的属性来构建 LOB 应用,将用户从 Active Directory 预配到 Microsoft Entra ID 或 SaaS 应用,并在 Microsoft Entra ID 和 Microsoft Entra ID 治理功能中使用扩展属性。功能包括动态成员资格组或 Active Directory 的组预配。
有关目录扩展的详细信息,请参阅 在声明中使用目录扩展属性、Microsoft Entra Connect 同步:目录扩展以及 用于 Microsoft Entra 应用程序预配的同步扩展属性。
注释
若要发现新的Active Directory扩展属性,需要重启预配代理。 应在创建目录扩展后重启代理。 对于Microsoft Entra扩展属性,无需重启代理。
同步Microsoft Entra云同步的目录扩展
可以使用 directory extensions 通过自己的属性扩展Microsoft Entra ID中的同步架构目录定义。
重要
Microsoft Entra Cloud Sync 的目录扩展仅支持具有标识符 URI API://<tenantId>/CloudSyncCustomExtensionsApp 和由 Microsoft Entra Connect 创建的 Tenant Schema Extension App的应用程序。
针对目录扩展创建应用程序和服务主体
如果不存在具有标识符 URI 的API://<tenantId>/CloudSyncCustomExtensionsApp,请创建一个,并为该应用程序创建一个服务主体(若不存在)。
检查是否存在标识符 URI
API://<tenantId>/CloudSyncCustomExtensionsApp的应用程序:$tenantId = (Get-MgOrganization).Id Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"有关详细信息,请参阅 Get-MgApplication。
如果应用程序不存在,请使用上一步中的
$tenantId变量创建标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序:New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"有关详细信息,请参阅 New-MgApplication。
使用上一步中的
$tenantId变量检查是否存在标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序的服务主体:$appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId Get-MgServicePrincipal -Filter "AppId eq '$appId'"有关详细信息,请参阅 Get-MgServicePrincipal。
如果服务主体不存在,请使用
$appId variable上一步中的步骤为具有标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序创建新的服务主体:New-MgServicePrincipal -AppId $appId有关详细信息,请参阅 New-MgServicePrincipal。
使用上一步中的
$tenantId变量在 Microsoft Entra ID 中创建目录扩展。 例如,组对象有一种字符串类型的新扩展属性,名为“GroupDN”:$appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name GroupDN -DataType String -TargetObjects Group
可以通过多种不同的方式在Microsoft Entra ID中创建目录扩展,如下表所述:
| 方法 | 说明 | URL |
|---|---|---|
| MS Graph(微软图形平台) | 使用 Microsoft Graph 创建扩展 | 创建 extensionProperty |
| PowerShell | 使用 PowerShell 创建扩展 | New-MgApplicationExtensionProperty |
| 使用云同步和Microsoft Entra连接 | 使用 Microsoft Entra Connect 创建扩展 | 使用 Microsoft Entra Connect 创建扩展属性 |
| 自定义要同步的属性 | 有关自定义要同步的属性的信息 | 自定义要与 Microsoft Entra ID 同步的属性 |
使用属性映射来映射目录扩展
如果扩展了Active Directory以包含自定义属性,则可以添加这些属性并将其映射到用户。
若要发现和映射属性,请选择 添加属性映射,并且属性在 源属性下的下拉列表中可用。 填写所需的映射类型,然后选择“应用”。
有关 Microsoft Entra ID 中新增和更新属性的信息,请参阅 user 资源类型,并考虑订阅 更改通知。
有关扩展属性的详细信息,请参阅Microsoft Entra 应用程序预配的同步扩展属性。
更多资源
- 定义Microsoft Entra架构和自定义表达式
- Microsoft Entra Connect Sync:目录扩展
- Microsoft Entra Cloud Sync 中的属性映射