Microsoft Entra ID からユーザー アカウントを基幹業務 (LOB)、SaaS アプリ、またはオンプレミス アプリケーションにプロビジョニングするときは、ユーザー プロファイルを作成するために必要なすべてのデータ (属性) が Microsoft Entra ID に含まれている必要があります。 ディレクトリ拡張機能を使用して、独自の属性を使用して Microsoft Entra ID のスキーマを拡張できます。 この機能を使用すると、オンプレミスで引き続き管理する属性を使用して LOB アプリを構築し、Active Directory から Microsoft Entra ID または SaaS アプリにユーザーをプロビジョニングし、動的メンバーシップ グループや Active Directory へのグループ プロビジョニングなどの Microsoft Entra ID と Microsoft Entra ID ガバナンス機能で拡張機能属性を使用できます。
ディレクトリ拡張機能の詳細については、要求でのディレクトリ拡張属性の使用に関するページ、「Microsoft Entra Connect Sync: ディレクトリ拡張機能」および「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。
使用可能な属性を確認するには、Microsoft Graph エクスプローラーを使用します。
注
新しい Active Directory 拡張機能属性を検出するには、プロビジョニング エージェントを再起動する必要があります。 ディレクトリ拡張機能が作成されたら、エージェントを再起動する必要があります。 Microsoft Entra 拡張機能属性の場合、エージェントを再起動する必要はありません。
Microsoft Entra クラウド同期のディレクトリ拡張機能の同期
ディレクトリ拡張機能を使用すると、Microsoft Entra ID の同期スキーマ ディレクトリ定義を、独自の属性を使用して拡張できます。
重要
Microsoft Entra Cloud Sync のディレクトリ拡張機能は、識別子 URI API://<tenantId>/CloudSyncCustomExtensionsApp を持つアプリケーションと、Microsoft Entra Connect によって作成された テナント スキーマ拡張機能アプリ でのみサポートされます。
ディレクトリ拡張機能のアプリケーションとサービス プリンシパルを作成する
識別子 URI が存在しない場合は API://<tenantId>/CloudSyncCustomExtensionsApp を作成し、存在しない場合はアプリケーションのサービス プリンシパルを作成する必要があります。
識別子 URI
API://<tenantId>/CloudSyncCustomExtensionsAppを持つアプリケーションが存在するかどうかを確認します。$tenantId = (Get-MgOrganization).Id Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')"詳細については、「 Get-MgApplication」を参照してください。
アプリケーションが存在しない場合は、前の手順の
$tenantId変数を使用して、識別子 URIAPI://<tenantId>/CloudSyncCustomExtensionsAppを持つアプリケーションを作成します。New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp"詳細については、「 New-MgApplication」を参照してください。
前の手順の
$tenantId変数を使用して、識別子 URI がAPI://<tenantId>/CloudSyncCustomExtensionsAppされたアプリケーションのサービス プリンシパルが存在するかどうかを確認します。$appId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").AppId Get-MgServicePrincipal -Filter "AppId eq '$appId'"詳細については、「 Get-MgServicePrincipal」を参照してください。
サービス プリンシパルが存在しない場合は、前の手順の
$tenantId変数を使用して、識別子 URIAPI://<tenantId>/CloudSyncCustomExtensionsAppを持つアプリケーションの新しいサービス プリンシパルを作成します。New-MgServicePrincipal -AppId $appId詳細については、「 New-MgServicePrincipal」を参照してください。
前の手順の
$tenantId変数を使用して、Microsoft Entra ID でディレクトリ拡張機能を作成します。 たとえば、Group オブジェクトの文字列型の "GroupDN" という名前の新しい拡張機能を次に示します。$appObjId = (Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')").Id New-MgApplicationExtensionProperty -ApplicationId $appObjId -Name GroupDN -DataType String -TargetObjects Group
次の表に示すように、Microsoft Entra ID には、いくつかの異なる方法でディレクトリ拡張機能を作成できます。
| メソッド | 説明 | URL |
|---|---|---|
| MS Graph | Microsoft Graph を使用して拡張機能を作成する | extensionProperty を作成する |
| PowerShell | PowerShell を使用して拡張機能を作成する | New-MgApplicationExtensionProperty (新しいMgアプリケーション拡張プロパティ) |
| クラウド同期と Microsoft Entra Connect の使用 | Microsoft Entra Connect を使用して拡張機能を作成する | Microsoft Entra Connect を使用して拡張属性を作成する |
| 同期する属性のカスタマイズ | 同期する属性のカスタマイズに関する情報 | Microsoft Entra ID と同期する属性をカスタマイズする |
属性マッピングを使用してディレクトリ拡張機能をマップする
カスタム属性を含むように Active Directory を拡張した場合は、これらの属性を追加してユーザーにマップできます。
属性を検出してマップするには、[属性マッピング の追加] を選択し、属性 ソース属性のドロップダウンで使用できるようになります。 目的のマッピングの種類を入力し、[適用] をクリックします。
Microsoft Entra ID で追加および更新される新しい属性の詳細については、user リソース タイプに関する記事を参照し、変更通知のサブスクライブを検討してください。
拡張属性の詳細については、「Microsoft Entra アプリケーション プロビジョニングのための拡張属性の同期」を参照してください。