Attributs d’extension

Un ensemble prédéfini d’attributs est disponible pour les entités utilisateur et est régulièrement importé et géré. Pour étendre cet ensemble, des attributs utilisateur supplémentaires peuvent être configurés, jusqu’à un maximum de 45. Dans cet article, ils sont appelés extension attributes.

Cette fonctionnalité permet de configurer les extension attributes dans le portail. Ils peuvent être importés via les importations complètes et les importations on-premises, gérés via les actions de gestion prises en charge et utilisés dans les filtres de Tenant virtuel, les rapports et les entités utilisateur.

Exigences de configuration pour les attributs cloud uniquement

Ces attributs sont hébergés dans Microsoft Entra ID en tant que directory extensions / extension properties.

Documentation Microsoft :

• Ajouter des données personnalisées aux ressources à l’aide d’extensions - Microsoft Graph
• Type de ressource extensionProperty (directory extensions) - Microsoft Graph v1.0

$applications = Get-MgApplication
foreach ($app in $applications) {
    $extensionProperties = Get-MgApplicationExtensionProperty -ApplicationId $app.Id
    if ($extensionProperties) {
        Write-Output "Application ID: $($app.Id)"
        Write-Output "Application Name: $($app.DisplayName)"
        Write-Output "Extension Properties:"
        $extensionProperties | Format-Table Id, Name, DataType
        Write-Output "`n"
    }
}

Extensions d’annuaire on-premises

Le schéma Active Directory par défaut inclut les principaux attributs dont la plupart des organisations ont besoin. Dans certains scénarios, des attributs supplémentaires peuvent devoir être créés et liés à la classe utilisateur.

Cet article ne décrit pas comment créer de nouveaux attributs directement dans Active Directory. Pour ce processus, reportez-vous à la documentation Microsoft Entra Connect lorsque l’objectif est de synchroniser des attributs on-premises vers Microsoft Entra ID en tant que directory extensions.

Pour obtenir une liste des attributs on-premises pouvant être intégrés à la plateforme, utilisez la commande PowerShell ci-dessous :

Commande PowerShell

#include DataTypes: Bool(1), Int(2), GeneralizedTime (23-24) and DirectoryString(64)
$allowedTypes = 1,2,23,24,64
$schemaNaming = (Get-ADRootDSE).schemaNamingContext
$attr = (Get-ADObject -SearchBase $schemaNaming -Filter * -Properties lDAPDisplayName, omSyntax).Where({ $allowedTypes -contains $_.omSyntax}) | Select-Object lDAPDisplayName, @{
Name = 'DataType'; Expression ={
if( $_.omSyntax -eq 1){
"Bool"
}
elseif( $_.omSyntax -eq 2){
"Int"
}
elseif( $_.omSyntax -eq 23 -or $_.omSyntax -eq 24){
"DateTime"
}
else{
"String"
}
}
} | Sort-Object lDAPDisplayName
$attr | Out-GridView

Attributs qui ne peuvent pas être importés dans CoreView

Les attributs de chaîne Unicode pouvant contenir plusieurs valeurs ne sont actuellement pas pris en charge. Cela se produit lorsque la valeur renvoyée par Active Directory est stockée sous forme de ADPropertyValueCollection.

Pour vérifier si un attribut on-premises peut être importé, exécutez les commandes suivantes :

$user = Get-ADUser -Identity $identity -Properties postOfficeBox

$user.postOfficeBox.GetType()

Si le résultat est ADPropertyValueCollection, l’attribut ne peut pas être importé, car il s’agit d’un tableau et non d’une chaîne.

 

 

 

La sortie du script inclut deux propriétés : nom d’affichage LDAP et type de données.
Les attributs répertoriés ci-dessous ne peuvent pas être configurés, car ils sont déjà importés automatiquement :

Extensions d’annuaire synchronisées

Il s’agit d’attributs Active Directory on-premises synchronisés vers Microsoft Entra ID.

Pour synchroniser des attributs on-premises vers Microsoft Entra ID en tant que directory extensions, reportez-vous au guide Microsoft : Microsoft Entra Connect Sync: Directory extensions.

Les attributs synchronisés peuvent conserver leur nom on-premises ou apparaître avec le modèle de nommage des extensions cloud. Pour cette raison, l’approche recommandée consiste à utiliser le nom tel qu’il apparaît après la synchronisation. Cela permet de garantir que l’attribut est correctement reconnu dans les environnements on-premises et cloud.

Pour synchroniser ces attributs, les attributs on-premises doivent d’abord être sélectionnés pour la synchronisation dans Microsoft Entra Connect. Une fois la synchronisation terminée, les attributs sont également disponibles dans le cloud et peuvent être répertoriés à l’aide de l’applet de commande fournie dans la section cloud.

Une fois synchronisés, ces attributs peuvent être attribués à tous les utilisateurs, qu’ils soient cloud uniquement, on-premises ou utilisateurs synchronisés.

Instructions pour définir les attributs dans CoreView

Bien que plusieurs types de données puissent exister dans l’environnement local, CoreView prend en charge uniquement quatre types de données. Chaque type dispose d’un nombre fixe d’emplacements :

• String - 30 emplacements
• Integer - 5 emplacements
• Boolean - 5 emplacements
• DateTime - 5 emplacements

Si les autorisations requises pour modifier les paramètres de l’organisation sont disponibles, ces attributs peuvent être configurés comme suit :

1. Accédez à Paramètres > My organization > Paramètres > Extension attribute mapping.
2. Pour chaque attribut, configurez les valeurs suivantes :

• Type de compte (On-Cloud, On-Premises ou Synchronized)
• Nom d’extension (nom Microsoft)
• Nom convivial
• Type de données (String, Int, Bool ou DateTime)

 

 

Formats de nom d’extension

Le format du nom d’extension dépend du type de compte sélectionné :

extension_{applicationId}_{attributeGivenName}

extension_{applicationId}_{attributeGivenName}

Nom convivial

Le nom convivial est une étiquette interne utilisée pour identifier clairement chaque attribut configuré. Il s’agit de la valeur affichée dans les rapports comme titre de colonne, dans les paramètres du Tenant virtuel et dans les actions de gestion.

Pour les modèles on-cloud, le nom convivial est par défaut attributeGivenName. Une étiquette différente peut être attribuée si nécessaire.

Utilisation des attributs configurés dans CoreView

Les extension attributes configurés peuvent être utilisés dans plusieurs zones du portail :

Fonctions d’importation

• Importation complète : toutes les 24 heures.
• Importation on-premises : toutes les 6 heures.

Rapports

Dans les rapports liés aux utilisateurs, des colonnes peuvent être ajoutées à l’aide des noms conviviaux configurés, et des filtres peuvent être appliqués en conséquence.

Tenant virtuel

Les attributs configurés apparaissent comme filtres de délégation pour les utilisateurs. Ils peuvent être recherchés par nom convivial et utilisés dans les configurations de Tenant virtuel.

Actions de gestion (accessibles uniquement via l’assistant)

• Catégorie Utilisateur :
  • Créer un utilisateur
  • Modifier les propriétés utilisateur
  • Modifier les propriétés utilisateur en masse
  • Définir les attributs du portail
• Catégorie on-premises :
  • Créer un utilisateur on-premises
  • Créer un utilisateur synchronisé
  • Modifier les propriétés utilisateur
  • Modifier un utilisateur synchronisé

Règles de base pour les actions

• Si l’attribut est on-cloud, il est disponible pour tous les utilisateurs cloud et les utilisateurs synchronisés. Pour les utilisateurs synchronisés, il est écrit uniquement dans Microsoft Entra ID.
• Si l’attribut est on-premises, il est disponible pour les utilisateurs on-premises et les utilisateurs synchronisés. Pour les utilisateurs synchronisés, il est écrit uniquement dans l’Active Directory local.
• Si l’attribut est synchronized, il peut être défini pour tous les utilisateurs. Selon le type d’utilisateur, il est visible uniquement dans Microsoft Entra ID pour les utilisateurs cloud, uniquement dans l’Active Directory local pour les utilisateurs on-premises, ou dans les deux annuaires pour les utilisateurs synchronisés.