嘿，针对你提出的这个需求——给Entra ID里的用户、组等资源添加只有管理员能修改的不可变元数据，我整理了几个可行的方案，你可以参考下：

一、选对扩展类型是基础 #

你提到的几种扩展方式里，目录（Microsoft Entra ID）扩展和Schema扩展是最适合这个需求的，它们都是结构化、全局可用的扩展类型，关键是要配合权限控制来锁定修改权限：

• 目录扩展：适合快速添加自定义属性，能关联到用户、组等多种资源类型；
• Schema扩展：适合需要定义更复杂数据结构的场景，扩展性更强。

二、通过权限控制实现“管理员专属修改权” #

核心思路是：让普通用户/资源所有者只有读取权限，而管理员保留读写权限，具体可以通过两种方式实现：

1. 自定义Entra ID角色来限制权限

• 登录Entra ID管理中心，进入「角色和管理员」页面，点击「新建自定义角色」；
• 选择对应的资源类型（比如用户、组），然后在权限列表中找到与扩展属性相关的权限，只勾选「读取」权限分配给普通用户角色；
• 把这个自定义角色分配给所有非管理员用户，而全局管理员、用户管理员等内置管理员角色默认会保留对扩展属性的读写权限，这样就只有管理员能修改这些标签了。

2. 利用内置属性+编辑权限锁定（针对常见属性）

如果你的需求是像「部门」这类已有内置属性的场景，不用额外创建扩展：

• 进入Entra ID的「用户设置」页面，找到「用户可以编辑自己的哪些属性」选项；
• 把「部门」这类你想锁定的属性从可编辑列表中移除，保存设置后，普通用户就无法修改自己的部门属性，只有管理员能在后台进行编辑。

三、额外注意事项 #

• 不管用哪种扩展类型，在创建属性时一定要提前规划好权限，避免后续出现权限溢出的问题；
• 配置完成后，记得用普通用户账号测试一下，确认无法修改目标属性，再用管理员账号验证修改功能正常，确保配置生效。

备注：内容来源于stack exchange，提问作者Shuzheng