Microsoft Entra ID 必须包含在将用户帐户从 Microsoft Entra ID 预配到业务线(LOB)或本地应用程序时创建用户配置文件所需的所有数据(属性)。 可以通过目录扩展来使用你自己的属性扩展 Microsoft Entra ID 中的架构。 借助此功能,你可以使用继续在本地管理的属性来构建 LOB 应用,将用户从 Active Directory 预配到 Microsoft Entra ID 或 SaaS 应用,并使用 Microsoft Entra ID 和 Microsoft Entra ID 治理功能中的扩展属性(如动态成员资格组或预配到 Active Directory 的组)。
有关目录扩展的详细信息,请参阅在声明中使用目录扩展属性、Microsoft Entra Connect 同步:目录扩展和为 Microsoft Entra 应用程序预配同步扩展属性。
注释
若要发现新的 Active Directory 扩展属性,需要重启预配代理。 应在创建目录扩展后重启代理。 对于 Microsoft Entra 扩展属性,无需重启代理。
同步 Microsoft Entra 云同步的目录扩展
可以使用目录扩展通过你自己的属性扩展 Microsoft Entra ID 中的同步架构目录定义。
重要
Microsoft Entra Cloud Sync 的目录扩展仅支持标识符 URI 为 API://<tenantId>/CloudSyncCustomExtensionsApp 的应用程序,以及由 Microsoft Entra Connect 创建的标识符为 的租户架构扩展应用程序。
针对目录扩展创建应用程序和服务主体
如果不存在具有标识符 URI 的API://<tenantId>/CloudSyncCustomExtensionsApp,请创建一个,并为该应用程序创建一个服务主体(若不存在)。
检查是否存在标识符 URI
API://<tenantId>/CloudSyncCustomExtensionsApp的应用程序:$tenantId = (Get-MgOrganization).Id Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"有关详细信息,请参阅 Get-MgApplication。
如果应用程序不存在,请使用上一步中的
$tenantId变量创建标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序:New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"有关详细信息,请参阅 New-MgApplication。
使用上一步中的
$tenantId变量检查是否存在标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序的服务主体:$appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId Get-MgServicePrincipal -Filter "AppId eq '$appId'"有关详细信息,请参阅 Get-MgServicePrincipal。
如果服务主体不存在,请使用上一步中的
$tenantId变量为具有标识符 URIAPI://<tenantId>/CloudSyncCustomExtensionsApp的应用程序创建新的服务主体:New-MgServicePrincipal -AppId $appId有关详细信息,请参阅 New-MgServicePrincipal。
使用上一步骤中的
$tenantId变量在 Microsoft Entra ID 中创建目录扩展。 例如,组对象有一种字符串类型的新扩展属性,名为“GroupDN”:$appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name GroupDN -DataType String -TargetObjects Group
可以通过多种不同的方式在 Microsoft Entra ID 中创建目录扩展,如下表所述:
| 方法 | 说明 | URL |
|---|---|---|
| MS Graph(微软图形平台) | 使用 Microsoft Graph 创建扩展 | 创建 extensionProperty |
| PowerShell | 使用 PowerShell 创建扩展 | New-MgApplicationExtensionProperty |
| 使用云同步和 Microsoft Entra Connect | 使用 Microsoft Entra Connect 创建扩展 | 使用 Microsoft Entra Connect 创建扩展属性 |
| 自定义要同步的属性 | 有关自定义要同步的属性的信息 | 自定义要与 Microsoft Entra ID 同步的属性 |
使用属性映射来映射目录扩展
如果扩展 Active Directory 以包含自定义属性,可以添加这些属性并将其映射到用户。
若要发现和映射属性,请选择 添加属性映射,并且属性在 源属性下的下拉列表中可用。 填写所需的映射类型,然后选择“应用”。
有关在 Microsoft Entra ID 中添加和更新的新属性的信息,请参阅 user 资源类型,并考虑订阅更改通知。
有关扩展属性的详细信息,请参阅为 Microsoft Entra 应用程序预配同步扩展属性。