出于各种原因,公司通常无法修改旧版应用的代码。 例如,应用程序可以使用自定义属性(比如自定义员工 ID),并依赖该属性执行 LDAP 操作。
Microsoft Entra ID 支持使用 扩展将自定义数据添加到资源。 Microsoft Entra 域服务可以从 Microsoft Entra ID 同步以下类型的扩展,因此还可以使用依赖于自定义属性的应用和域服务:
- onPremisesExtensionAttributes 是一组 15 个属性,可以存储扩展的用户字符串属性。
- 目录扩展允许通过在租户中的应用程序进行注册,使用强类型属性来对特定的目录对象(如用户和组)的架构进行扩展。
可以使用 Microsoft Entra Connect 为本地管理的用户配置这两种扩展类型,或使用 Microsoft Graph API 为仅限云的用户进行配置。
注释
同步不支持以下类型的扩展:
- Microsoft Entra ID 中的自定义安全属性
- Microsoft Graph 架构扩展
- Microsoft Graph 开放扩展
要求
自定义属性支持的最低 SKU 是企业 SKU。 如果使用 Standard,则需要将托管域 升级到 Enterprise 或 Premium。 有关详细信息,请参阅 Microsoft Entra 域定价。
自定义属性的工作原理
创建托管域后,单击“设置”下的“自定义属性”(预览),启用属性同步。 单击“ 保存” 以确认更改。
启用预定义的属性同步
单击“OnPremisesExtensionAttributes”以同步属性 extensionAttribute1-15,该属性也称为交换自定义属性。
同步 Microsoft Entra 目录扩展属性
这些是Microsoft Entra 租户中定义的扩展用户或组属性。
选择 “+ 添加” 以选择要同步的自定义属性。 该列表显示租户中的可用扩展属性。 可以使用搜索栏筛选列表。
如果未看到要查找的目录扩展,请输入该扩展的关联应用程序 appId,然后单击“ 搜索 ”以仅加载该应用程序定义的扩展属性。 当多个应用程序在租户中定义多个扩展时,此搜索会有所帮助。
注释
如果希望看到Microsoft Entra Connect 同步的目录扩展,请单击 “企业应用 ”并查找 租户架构扩展应用的应用程序 ID。 有关详细信息,请参阅 Microsoft Entra Connect Sync:目录扩展。
单击 “选择”,然后单击 “保存” 以确认更改。
域服务会用载入的自定义属性值填充所有同步的用户和组。 自定义属性值逐渐填充 Microsoft Entra ID 中包含目录扩展的对象。 在回填同步过程中,Microsoft Entra ID 中的增量更改将暂停,同步时间取决于租户的大小。
若要检查回填状态,请单击“域服务运行状况”,并验证与 Microsoft Entra ID 监视器的同步在载入后一小时内具有更新的时间戳。 更新后,回填即完成。
Active Directory 域服务的保留属性
以下属性是为 Windows Server 中的 Active Directory 域服务保留的。 它们不能用于Microsoft Entra 域服务。
| 名字 | 特征 |
|---|---|
| AccountDisabled | accountDisabled |
| AzureAdMailNickname | msDS-AzureADMailNickname |
| AadObjectId | msDS-aadObjectId |
| 城市 | l |
| CommonName | cn |
| 公司 | company |
| 国家 | co |
| Department | department |
| DESCRIPTION | description |
| DisplayName | displayName |
| DistinguishedName | distinguishedName |
| 员工编号 | 员工编号 |
| ExchangeExtensions | extensionAttribute |
| ExchangeExtension1 | extensionAttribute1 |
| ExchangeExtension2 | extensionAttribute2 |
| ExchangeExtension3 | extensionAttribute3 |
| ExchangeExtension4 | extensionAttribute4 |
| ExchangeExtension5 | extensionAttribute5 |
| ExchangeExtension6 | extensionAttribute6 |
| ExchangeExtension7 | extensionAttribute7 |
| ExchangeExtension8 | extensionAttribute8 |
| ExchangeExtension9 | extensionAttribute9 |
| ExchangeExtension10 | extensionAttribute10 |
| ExchangeExtension11 | extensionAttribute11 |
| ExchangeExtension12 | extensionAttribute12 |
| ExchangeExtension13 | extensionAttribute13 |
| ExchangeExtension14 | extensionAttribute14 |
| ExchangeExtension15 | extensionAttribute15 |
| FacsimileTelephoneNumber | facsimileTelephoneNumber |
| GenerationSeq | msDS-generationSeq |
| GivenName | givenName |
| GroupType | groupType |
| LinkSeq | msDS-linkSeq |
| 邮件 | |
| 经理 | 经理 |
| 成员 | member |
| MemberOf | memberOf |
| 手机 | mobile |
| ObjectClass | objectClass |
| ObjectGloballyUniqueIdentifier | objectGUID |
| Pager | pager |
| PhysicalDeliveryOfficeName | 物理递送办公室名称 |
| 邮政编码 | 邮政编码 |
| PreferredLanguage | 首选语言 |
| 代理地址 | 代理地址 |
| PasswordLastSet | pwdLastSet |
| SamAccountName | sAMAccountName |
| 安全描述符 | nTSecurityDescriptor |
| SidHistory | sIDHistory |
| 国家 | st |
| StreetAddress | streetAddress |
| Surname | sn |
| SupplementalCredentials | supplementalCredentials |
| 电话号码 | 电话号码 |
| 标题 | title |
| UnicodePwd | unicodePwd |
| 用户帐户控制 | userAccountControl |
| UserPrincipalName | userPrincipalName |
| EscrowType | msDS-escrowType |
| EscrowOperation | msDS-escrowOperation |
| SourceAadObjectId | msDS-aadObjectId |
| TargetAadObjectId | msDS-targetAadObjectId |
| AadGraphLink | msDS-aadGraphLink |
| AadGraphDQLink | msDS-aadlink |
| EscrowCount | msDS-escrowCount |
| FirstSteadyStateTime | msDS-firstSteadyStateTime |
| LastSteadyStateTime | msDS-lastSteadyStateTime |
| 隔离开始时间 | msDS-quarantineStartTime |
| QuarantineSyncWaitPeriod | msDS-quarantineSyncWaitPeriod |
| SingleSyncRequests | msDS-单次同步请求 |
| StringValues | msDS-stringValues |
| 同步请求状态 | msDS-syncRequestStatus |
| SyncStatus | msDS-syncStatus |
| WhenChanged | whenChanged |
| DeletedObjectNumber | msDS-deletedObjectNumber |
| CustomAttributeState | msDS-customAttribute-state |
| 自定义属性类型 | msDS-customAttribute-type |
| LegacyAadObjectId | msDS-AzureADObjectId |
| 名字 | 姓名 |
| Revision | revision |
| AdminDisplayName | adminDisplayName |
| AdminDescription | adminDescription |
| LdapDisplayName | lDAPDisplayName |
| AttributeId | attributeId |
| 属性语法 | attributeSyntax |
| OmSyntax | omSyntax |
| IsSingleValued | isSingleValued |
| MayContain | mayContain |
| SchemaUpdateNow | schemaUpdateNow |
| IsDefunct | isDefunct |
后续步骤
若要在 Microsoft Entra ID 中为仅限云的用户配置 onPremisesExtensionAttributes 或目录扩展,请参阅 Microsoft Graph 中的自定义数据选项。
若要将 onPremisesExtensionAttributes 或目录扩展从本地同步到 Microsoft Entra ID,请配置 Microsoft Entra Connect。