Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Vous pouvez utiliser des extensions d'annuaire pour étendre le schéma dans Microsoft Entra ID avec vos propres attributs à partir d'Active Directory sur site. Cette fonctionnalité vous permet de générer des applications métiers en consommant les attributs que vous continuez à gérer en local. Ces attributs peuvent être utilisés via des extensions. Vous pouvez voir les attributs disponibles à l’aide de l’Explorateur Microsoft Graph, du Kit de développement logiciel (SDK) Microsoft Graph PowerShell ou de Microsoft Entra PowerShell. Actuellement, aucune charge de travail Microsoft 365 n’utilise ces attributs, mais vous pouvez utiliser cette fonctionnalité avec des appartenances de groupe dynamiques dans l’ID Microsoft Entra.
Sélectionner les attributs à synchroniser avec l’ID Microsoft Entra
Vous configurez les attributs étendus que vous souhaitez synchroniser à l’aide de l’Assistant Configuration de Microsoft Entra Connect, dans les paramètres personnalisés.
L’Assistant affiche les attributs qui sont des candidats valides à utiliser avec les extensions d’annuaire :
- Types d’utilisateur et d’objet de groupe
- Attributs à valeur unique : chaîne, booléen, entier, binaire
- Attributs à valeurs multiples : chaîne, binaire
Considérations importantes lors de l’utilisation des extensions d’annuaire
La liste des attributs est lue à partir du schéma Active Directory lors de l’installation initiale de Microsoft Entra Connect. Si vous étendez le schéma Active Directory avec des attributs plus personnalisés, vous devez actualiser le schéma avant que ces nouveaux attributs ne soient visibles.
Si vous avez exporté une configuration qui contient une règle personnalisée utilisée pour synchroniser les attributs d’extension d’annuaire et que vous tentez d’importer cette règle dans une installation nouvelle ou existante de Microsoft Entra Connect, la règle est créée lors de l’importation, mais les attributs d’extension d’annuaire ne sont pas mappés. Vous devez sélectionner à nouveau les attributs d’extension de répertoire et les associer à la règle ou recréer entièrement la règle pour résoudre ce problème.
Toutes les fonctionnalités de Microsoft Entra ID ne prennent pas en charge les attributs d’extension à valeurs multiples. Reportez-vous à la documentation de la fonctionnalité dans laquelle vous envisagez d’utiliser ces attributs pour confirmer qu’ils sont pris en charge.
Un objet dans Microsoft Entra ID peut avoir jusqu’à 100 valeurs d’attribut d’extension d’annuaire. Pour les attributs à valeurs multiples, chaque valeur individuelle compte vers cette limite de 100 valeurs.
La longueur maximale d’une valeur d’attribut de chaîne est de 256 caractères. Si une valeur d’attribut dépasse cette limite, le moteur de synchronisation tronque la valeur.
Il n’est pas pris en charge pour synchroniser des attributs construits, tels que msDS-UserPasswordExpiryTimeComputed. Si vous effectuez une mise à niveau depuis une ancienne version de Microsoft Entra Connect, il est possible que ces attributs s’affichent toujours dans l’Assistant d’installation : vous ne devez pas les activer car leur valeur ne sera pas synchronisée avec Microsoft Entra ID. Mode Learn.
Il n’est pas pris en charge pour synchroniser les attributs non répliqués, tels que badPwdCount, Last-Logon et Last-Logoff, car leurs valeurs ne sont pas synchronisées avec l’ID Microsoft Entra.
La gestion des extensions d’annuaire locales en dehors de l’Assistant Microsoft Entra Connect n’est pas prise en charge. Le clonage ou la modification manuelle des règles de synchronisation pour Extensions d’annuaire peut entraîner des problèmes de synchronisation.
Il n’est pas pris en charge pour synchroniser les valeurs d’attributs de Microsoft Entra Connect à des attributs d’extension qui ne sont pas créés par Microsoft Entra Connect. Cela peut entraîner des problèmes de performances et des résultats inattendus.
Modifications de configuration dans Microsoft Entra ID effectuées par l'assistant
Lors de l’installation de Microsoft Entra Connect, une application est inscrite où ces attributs sont configurés. Vous pouvez voir cette application dans le Centre d'administration Microsoft Entra, appelée Application d'extension du schéma locataire. Veillez à sélectionner Toutes les applications pour voir cette application.
Remarque
L’application d’extension du schéma de locataire est une application uniquement système qui ne peut pas être supprimée. La suppression du principal de service associé à Tenant Schema Extension App interrompt la synchronisation. Pour récupérer la synchronisation des extensions d’annuaire, restaurez le principal de service supprimé de manière réversible ou recréez-en un.
Affichage des attributs étendus dans l’ID Microsoft Entra
Le format des attributs étendus est extension_{ApplicationId}_<attributeName>, où ApplicationId est l’identificateur d’application de votre Application d’Extension de Schéma de Locataire. Vous avez besoin de cette valeur pour tous les autres scénarios de cette rubrique.
Utilisation de l’API Microsoft Graph
Ces attributs sont disponibles via l’API Microsoft Graph, à l’aide de l’Explorateur Microsoft Graph.
Dans l’API Microsoft Graph, vous devez demander que les attributs soient retournés. Sélectionnez explicitement les attributs comme suit :
https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division
Pour plus d’informations, consultez l’article Microsoft Graph : Utilisation de paramètres de requête.
Utilisation du Kit de développement logiciel (SDK) Microsoft Graph PowerShell
- Téléchargez l’application Tenant Schema Extension App :
Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"
- Répertoriez tous les attributs d’extension pour l’application "Tenant Schema Extension App" :
Get-MgDirectoryObjectAvailableExtensionProperty
- Répertoriez tous les attributs d’extension pour un objet utilisateur :
(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties
Utilisation de Microsoft Entra PowerShell
- Obtenez l’identificateur de l’application Tenant Schema Extension App :
Get-EntraApplication -SearchString "Tenant Schema Extension App"
- Répertoriez tous les attributs d’extension pour l’application Tenant Schema Extension App :
Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}
- Répertoriez tous les attributs d’extension pour un objet utilisateur :
Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"
Utiliser les attributs dans des groupes à appartenance dynamique
L’un des scénarios les plus utiles consiste à utiliser des attributs d’extension dans des groupes de sécurité dynamique ou Microsoft 365.
Créez un nouveau groupe dans Microsoft Entra ID. Attribuez-lui un nom et vérifiez que le type d’appartenance est Un utilisateur dynamique.
Sélectionnez l’option permettant d’Ajouter une requête dynamique. Lorsque vous examinez les propriétés, ces attributs étendus sont manquants, car vous devez d’abord les ajouter. Cliquez sur Obtenir des propriétés d’extension personnalisée, entrez l’ID d’application, puis cliquez sur Actualiser les propriétés.
Ouvrez la liste déroulante des propriétés et notez que les attributs que vous avez ajoutés sont désormais visibles.
Pour répondre à vos besoins, complétez l’expression. Dans notre exemple, la règle est fixée à :
(user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")Une fois le groupe créé, donnez un certain temps à Microsoft Entra pour remplir les membres, puis passez en revue les membres.
Étapes suivantes
Apprenez-en davantage sur la configuration de Microsoft Entra Connect Sync.
Explorez plus en détail l’Intégration de vos identités locales avec Microsoft Entra ID.