AzureAD側で用意されているカスタム属性「extensionattribute1~15」に値をセットしたくて調べていましたが、あまり情報がないのでまとめておきます。特にセットした値をPowerShellで確認する方法が見当たらないなくて、いろいろ試したけど結局、「Microsoft Graph Explore」から確認することになりました。詳しくは記事を読み進めていただければと思います。
■extensionattributeに値をセットする
カスタム属性に値をセットするためには「Set-AzureADUserExtension」コマンドを利用します。このコマンドを利用するために「Windows PowerShell SE」から「Install-Module AzureAD」コマンドでモジュールをインポートしてください。詳細はこちらの記事を参照していただければと思います。
①「Connect-AzureAD」コマンドでAzureADに接続
②「Get-AzureADUser -SearchString “検索文字列” | Select-Object *」で「ObjectID」を調査
③「Set-AzureADUserExtension -ObjectId xxxxx -ExtensionName extensionattribute5 -ExtensionValue “値”」
②では「Select-Object *」なのでたくさん情報が表示されると思いますが、最初のほうに「ObjectID」が表示されていると思います。③のコマンドではカスタム属性「extensionattribute5」に値をセットしています(なんとなく5番に値を入れてみました)。コマンドの実行結果は(成功、エラーなど)何も表示されません。ということで「ちゃんと値がセットされているか?」を確認したいと思います。
■extensionattributeにセットした値を確認する
簡単なPowerShellコマンドから確認できると思っていましたができませんでした(ご存じの方、教えてください)。「Get-AzureADUser -ObjectId xxxxx | Select-Object -ExpandProperty ExtensionProperty」コマンドで確認できそうだったのですが、独自で追加した拡張属性の値は表示されるけど用意されている「extensionattribute」は表示できませんでした。何でやねん!?ということで「Microsoft Graph Explore」を使って「Graph API」を利用して確認します。最初はスクリプト作ろうかと思いましたが「Microsoft Graph Explore」はブラウザから利用でき、ソフトウェアのインストールなどはないので手軽に使えます。ということで、これでいきます。
■Microsoft Graph Exploreから値を確認する
まずは「Microsoft Graph Explore」のサイトにアクセスしてAzureADの管理者アカウントでログインしてください。ログインすると「Graph API」を実行することができます。
Microsoft Graph Explorer URL:https://developer.microsoft.com/ja-jp/graph/graph-explorer
①AzureADの管理者アカウントでログインしてください。
②デフォルト(GET / v1.0)でOKです。
③「Graph API」コマンド(URL)を入力します。「extensionattribute」を取得するURLは以下です。
https://graph.microsoft.com/v1.0/users/ObjectIDの値?$select=onPremisesExtensionAttributes
④クエリ(入力したコマンド)を実行します。
■まとめ
「extensionattribute1~15」は「AzureAD Connect」を利用するとオンプレミスの「Active Directory」から同期できる属性でもあります。「Graph API」のクエリにも「onPremisesExtensionAttributes」とあるので”オンプレAD向けのカスタム属性”という意味が強いのかなと思っています。
ちなみにこの「extensionattribute1~15」は、SAML Responseの「NameID」や「Attribute」に利用することができます。
それにしてもPowerShellから簡単に確認できればよかったのですが・・・。
「The onPremisesExtensionAttributes is a property just for the User object in Microsoft Graph.you could not get it with command like Get-AzureADUser.(onPremisesExtensionAttributesはMicrosoftGraphのUserオブジェクト専用のプロパティです。Get-AzureADUserのようなコマンドでは取得できません。)」という記述も見かけたので、PowerShellからは呼び出せないようですね。
Shared Technology V 