Microsoft Entra Connect Sync: ディレクトリ拡張機能

2025-06-26

ディレクトリ拡張機能を使用すると、オンプレミスの Active Directory から独自の属性を使用して、Microsoft Entra ID のスキーマを拡張できます。この機能により、オンプレミスで引き続き管理する属性を使用して LOB アプリを構築できます。これらの属性は、拡張機能から使用できます。使用可能な属性は、 Microsoft Graph Explorer、 Microsoft Graph PowerShell SDK 、または Microsoft Entra PowerShell を使用して確認できます。現時点では、これらの属性を使用する Microsoft 365 ワークロードはありませんが、Microsoft Entra ID の動的グループメンバーシップでこの機能を使用できます。

Microsoft Entra ID と同期する属性を選択する

カスタム設定で、Microsoft Entra Connect 構成ウィザードを使用して、同期する拡張属性を構成します。

スキーマ拡張機能のウィザード

ウィザードには、ディレクトリ拡張機能で使用する有効な候補である属性が表示されます。

ユーザーおよびグループオブジェクト型
単一値の属性: 文字列、ブール値、整数、バイナリ
複数値の属性: 文字列、バイナリ

ディレクトリ拡張機能を使用する場合の重要な考慮事項

属性の一覧は、Microsoft Entra Connect の初期インストール時に Active Directory スキーマから読み取られます。より多くのカスタム属性を使用して Active Directory スキーマを拡張する場合は、これらの新しい属性を表示する前にスキーマを更新する必要があります。
ディレクトリ拡張属性の同期に使用するカスタム規則を含む構成をエクスポートし、この規則を Microsoft Entra Connect の新規または既存のインストールにインポートしようとすると、インポート中にルールが作成されますが、ディレクトリ拡張機能の属性はマップされません。ディレクトリ拡張機能の属性を再選択し、それらをルールに再関連付けるか、ルール全体を再作成してこれを修正する必要があります。
Microsoft Entra ID のすべての機能が、複数値の拡張属性をサポートしているわけではありません。これらの属性を使用してサポートされていることを確認する予定の機能のドキュメントを参照してください。
Microsoft Entra ID のオブジェクトでは、ディレクトリ拡張機能に対して最大 100 個の属性を持つことができます。最大長は 250 文字です。属性値がそれより長い場合は、同期エンジンによって切り捨てられます。
msDS-UserPasswordExpiryTimeComputed などの構築された属性の同期はサポートされていません。古いバージョンの Microsoft Entra Connect からアップグレードしても、これらの属性がインストールウィザードに表示される場合があります。その値は Microsoft Entra ID と同期されないため、有効にしないでください。学習モード。
badPwdCount、Last-Logon、Last-Logoff などのレプリケートされていない属性は、値が Microsoft Entra ID と同期されないため、同期はサポートされていません。
Microsoft Entra Connect ウィザードの外部でオンプレミスディレクトリ拡張機能を管理することはサポートされていません。ディレクトリ拡張機能の同期規則を手動で編集または複製すると、同期の問題が発生する可能性があります。
Microsoft Entra Connect の属性値を、Microsoft Entra Connect によって作成されていない拡張属性と同期することはサポートされていません。これを行うと、パフォーマンスの問題が発生し、予期しない結果が生じる可能性があります。

ウィザードによって行われた Microsoft Entra ID の構成変更

Microsoft Entra Connect のインストール中に、これらの属性が構成されている場所にアプリケーションが登録されます。このアプリケーションは、テナントスキーマ拡張アプリという名前の Microsoft Entra 管理センターで確認できます。このアプリを表示するには、[ すべてのアプリケーション ] を選択してください。

スキーマ拡張機能アプリ

注意

テナントスキーマ拡張アプリは、削除できないシステム専用アプリケーションです。 テナントスキーマ拡張アプリに関連付けられているサービスプリンシパルを削除すると、同期が中断されます。ディレクトリ拡張機能の同期を回復するには、論理的に削除されたサービスプリンシパルを復元するか、新しいサービスプリンシパルを再作成します。

Microsoft Entra ID での拡張属性の表示

拡張属性の形式は extension_{ApplicationId}_<attributeName>。ApplicationId は テナントスキーマ拡張アプリのアプリケーション識別子です。この値は、このトピックの他のすべてのシナリオで必要です。

Microsoft Graph API を使用する

これらの属性は、Microsoft Graph エクスプローラーを使用して、 Microsoft Graph API を使用して使用できます。

Microsoft Graph API で、属性が返されるように要求する必要があります。次のような属性を明示的に選択します。

https://graph.microsoft.com/beta/users/abbie.spencer@fabrikamonline.com?$select=extension_9d98ed114c4840d298fad781915f27e4_employeeID,extension_9d98ed114c4840d298fad781915f27e4_division

詳細については、Microsoft Graph: クエリパラメーターの使用に関するトピックをご覧ください。

Microsoft Graph PowerShell SDK の使用

テナントスキーマ拡張機能アプリ アプリケーションを取得します。

Get-MgApplication -Filter "DisplayName eq 'Tenant Schema Extension App'"

テナントスキーマ拡張機能アプリのすべての拡張機能属性を一覧表示します。

Get-MgDirectoryObjectAvailableExtensionProperty

ユーザーオブジェクトのすべての拡張属性を一覧表示します。

(Get-MgBetaUser -UserId "<Id or UserPrincipalName>").AdditionalProperties

Microsoft Entra PowerShell の使用

テナントスキーマ拡張アプリアプリケーション識別子を取得します。

Get-EntraApplication -SearchString "Tenant Schema Extension App"

テナントスキーマ拡張機能アプリ アプリケーションのすべての拡張機能属性を一覧表示します。

Get-EntraExtensionProperty | Where-Object {$_.AppDisplayName -eq 'Tenant Schema Extension App'}

ユーザーオブジェクトのすべての拡張属性を一覧表示します。

Get-EntraUserExtension -UserId "<Id or UserPrincipalName>"

動的メンバーシップグループで属性を使用する

最も便利なシナリオの 1 つは、動的セキュリティまたは Microsoft 365 グループで拡張属性を使用することです。

Microsoft Entra ID で新しいグループを作成します。名前を付け、 メンバーシップの種類 が 動的ユーザーであることを確認します。
[動的クエリの追加] を選択します。プロパティを見ると、最初に追加する必要があるため、これらの拡張属性は見つかりません。 [カスタム拡張機能のプロパティを取得します] をクリックし、アプリケーション ID を入力して、 [プロパティの更新] をクリックします。
プロパティのドロップダウンを開くと、今度は、追加した属性が表示されていることがわかります。
実際の要件に合わせるには、式を完成させます。この例では、ルールは次の値に設定されています。

(user.extension_9d98ed114c4840d298fad781915f27e4_division -eq "Sales and marketing")
グループが作成されたら、Microsoft Entra にメンバーを設定してからメンバーを確認する時間を与えます。