Microsoft Entra ID 中的对象(如任何目录)是一种编程高级数据构造,表示用户、组和联系人等内容。 在 Microsoft Entra ID 中创建新用户或联系人时,将创建该对象的新实例。 可以根据这些实例的属性来区分这些实例。
Microsoft Entra ID 中的属性是负责将有关对象实例的信息存储在 Microsoft Entra ID 中的元素。
Microsoft Entra 架构定义可在条目中使用的属性、这些属性可能具有的值类型以及用户如何与这些值交互的规则。
Microsoft Entra ID 有两种类型的属性:
- 内置属性:Microsoft Entra 架构预定义的属性。 这些属性提供不同的用途,并且可能无法访问。
- 目录扩展:提供的属性,以便可以自定义Microsoft Entra ID 供自己使用。 例如,如果已使用特定属性扩展本地 Active Directory 并想要流式处理该属性,则可以使用提供的自定义属性之一。
每个云同步配置都包含 同步架构。 此同步架构定义将同步哪些对象及其同步方式。
属性和表达式
将用户等对象预配到 Microsoft Entra ID 时,将创建用户对象的新实例。 此创建物包括该对象的属性,也称为特性。 最初,新创建的对象的属性设置为由同步规则确定的值。 然后,这些属性通过云预配代理保持最新状态。
例如,用户可能是市场营销部门的一部分。 其Microsoft Entra 部门属性最初是在预配时创建的,该值设置为 Marketing。 六个月后,如果他们更改为 Sales,则其本地 Active Directory 部门属性将更改为 Sales。 此更改同步到 Microsoft Entra ID,并反映在其Microsoft Entra 用户对象中。
属性同步可能是直接的,其中Microsoft Entra ID 中的值直接设置为本地属性的值。 或者,编程表达式可以处理同步。 在必须进行某些逻辑或确定以填充值的情况下,需要编程表达式。
例如,如果你有邮件属性“john.smith@contoso.com”,并且需要去除“@contoso.com”部分,并且仅流出值“john.smith”,则使用如下所示的内容:
Replace([mail], "@contoso.com", , ,"", ,)
示例输入/输出:
- 输入 (mail):“john.smith@contoso.com”
- 输出:“john.smith”
有关如何编写自定义表达式和语法的详细信息,请参阅 在 Microsoft Entra ID 中编写属性映射的表达式。
下表列出了常见属性及其如何同步到 Microsoft Entra ID。
| 内部部署的 Active Directory | 映射类型 | Microsoft Entra ID |
|---|---|---|
| cn | 直接 | 通用名称 |
| countryCode (国家代码) | 直接 | countryCode (国家代码) |
| displayName | 直接 | displayName |
| givenName | 表达式 | givenName |
| objectGUID | 直接 | sourceAnchorBinary |
| userPrincipalName | 直接 | userPrincipalName |
| 代理地址 | 直接 | ProxyAddress |
查看同步架构
警告
云同步配置创建服务主体。 服务主体在 Microsoft Entra 管理中心可见。 不要使用 Microsoft Entra 管理中心中的服务主体功能来修改属性映射。 此操作不受支持。