Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Entra ID muss alle zum Erstellen eines Benutzerprofils erforderlichen Daten (Attribute) enthalten, wenn Benutzerkonten aus Microsoft Entra ID in einer branchenspezifischen SaaS-App oder in einer lokalen Anwendung bereitgestellt werden. Sie können Verzeichniserweiterungen verwenden, um das Schema in der Microsoft Entra-ID mit Ihren eigenen Attributen zu erweitern. Mit dieser Funktion können Sie LOB-Apps erstellen, indem Sie lokal verwaltete Attribute verwenden, Benutzer aus Active Directory auf Microsoft Entra ID oder SaaS-Apps bereitstellen und Erweiterungsattribute in Microsoft Entra ID sowie in Microsoft Entra ID Governance-Funktionen wie dynamische Mitgliedschaftsgruppen oder Gruppenbereitstellung in Active Directory nutzen.
Weitere Informationen zu Verzeichniserweiterungen finden Sie unter Verwenden von Verzeichniserweiterungsattributen in Ansprüchen, Microsoft Entra Connect-Synchronisierung: Verzeichniserweiterungen und Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.
Sie können die verfügbaren Attribute mithilfe von Microsoft Graph-Explorer anzeigen.
Hinweis
Um neue Active Directory-Erweiterungsattribute zu ermitteln, muss der Bereitstellungs-Agent neu gestartet werden. Sie sollten den Agent neu starten, nachdem die Verzeichniserweiterungen erstellt wurden. Für Microsoft Entra-Erweiterungsattribute muss der Agent nicht neu gestartet werden.
Synchronisieren von Verzeichniserweiterungen für die Microsoft Entra-Cloudsynchronisierung
Sie können Verzeichniserweiterungen verwenden, um die Verzeichnisdefinition des Synchronisierungsschemas in Microsoft Entra ID um Ihre eigenen Attribute zu erweitern.
Wichtig
Die Verzeichniserweiterung für Microsoft Entra Cloud Sync wird nur für Anwendungen mit dem Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp und der von Microsoft Entra Connect erstellten Mandantenschemaerweiterungs- App unterstützt.
Erstellen einer Anwendung und eines Dienstprinzipals für die Verzeichniserweiterung
Sie müssen eine -Anwendung mit der Bezeichner-URI API://<tenantId>/CloudSyncCustomExtensionsApp erstellen, falls diese nicht existiert, und einen Dienstprinzipal für die Anwendung erstellen, falls dieser nicht vorhanden ist.
Überprüfen Sie, ob die Anwendung mit dem Bezeichner-URI
API://<tenantId>/CloudSyncCustomExtensionsAppvorhanden ist:$tenantId = (Get-MgOrganization).Id Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"Weitere Informationen finden Sie unter Get-MgApplication.
Wenn die Anwendung nicht vorhanden ist, verwenden Sie die
$tenantIdVariable aus dem vorherigen Schritt, um die Anwendung mit Bezeichner-URIAPI://<tenantId>/CloudSyncCustomExtensionsAppzu erstellen:New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"Weitere Informationen finden Sie unter "New-MgApplication".
Verwenden Sie die
$tenantIdVariable aus dem vorherigen Schritt, um zu überprüfen, ob der Dienstprinzipal für die Anwendung mit Bezeichner-URIAPI://<tenantId>/CloudSyncCustomExtensionsAppvorhanden ist:$appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId Get-MgServicePrincipal -Filter "AppId eq '$appId'"Weitere Informationen finden Sie unter Get-MgServicePrincipal.
Wenn kein Dienstprinzipal vorhanden ist, verwenden Sie die
$tenantIdVariable aus dem vorherigen Schritt, um einen neuen Dienstprinzipal für die Anwendung mit Bezeichner-URIAPI://<tenantId>/CloudSyncCustomExtensionsAppzu erstellen:New-MgServicePrincipal -AppId $appIdWeitere Informationen finden Sie unter New-MgServicePrincipal.
Verwenden Sie die
$tenantIdVariable aus dem vorherigen Schritt, um eine Verzeichniserweiterung in Microsoft Entra ID zu erstellen. Beispielsweise eine neue Erweiterung namens 'GroupDN', vom Typ String, für Gruppenobjekte:$appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name GroupDN -DataType String -TargetObjects Group
Sie können Verzeichniserweiterungen auf verschiedene Arten in Microsoft Entra ID erstellen, wie in der folgenden Tabelle beschrieben:
| Methode | BESCHREIBUNG | URL |
|---|---|---|
| MS Graph | Erstellen von Erweiterungen mithilfe von Microsoft Graph | Erstellen von extensionProperty |
| PowerShell | Erstellen von Erweiterungen mithilfe von PowerShell | New-MgApplicationExtensionProperty |
| Cloud-Synchronisation und Microsoft Entra Connect verwenden | Erstellen von Erweiterungen mithilfe von Microsoft Entra Connect | Erstellen von Erweiterungsattributen mit Microsoft Entra Connect |
| Anpassen der zu synchronisierenden Attribute | Informationen zum Anpassen der zu synchronisierenden Attribute | Anpassen der mit Microsoft Entra ID zu synchronisierenden Attribute |
Verwenden der Attributzuordnung zum Zuordnen von Verzeichniserweiterungen
Wenn Sie Active Directory um benutzerdefinierte Attribute erweitert haben, können Sie diese Attribute hinzufügen und benutzern zuordnen.
Um Attribute zu ermitteln und zuzuordnen, wählen Sie Attributzuordnung hinzufügen aus, und die Attribute werden in der Dropdownliste unter Quellattributeverfügbar. Geben Sie den gewünschten Zuordnungstyp ein, und wählen Sie Anwenden aus.
Informationen zu neuen Attributen, die in Microsoft Entra ID hinzugefügt und aktualisiert werden, finden Sie im userRessourcentyp. Ziehen Sie in Betracht, Änderungsbenachrichtigungen zu abonnieren.
Weitere Informationen zu Erweiterungsattributen finden Sie unter Synchronisieren von Erweiterungsattributen für die Microsoft Entra-Anwendungsbereitstellung.