Scenariusz — używanie rozszerzeń katalogów z aprowizowaniem grup w usłudze Active Directory

  • Artykuł

Scenariusz: Masz setki grup w identyfikatorze Entra firmy Microsoft. Chcesz aprowizować niektóre z tych grup, ale nie wszystkie z powrotem do usługi Active Directory. Chcesz, aby szybki filtr można zastosować do grup bez konieczności tworzenia bardziej skomplikowanego filtru określania zakresu.

Diagram zapisywania zwrotnego grup z synchronizacją w chmurze.

Możesz użyć środowiska utworzonego w tym scenariuszu do testowania lub zapoznania się z synchronizacją w chmurze.

Założenia

  • W tym scenariuszu przyjęto założenie, że masz już środowisko robocze, które synchronizuje użytkowników z identyfikatorem Entra firmy Microsoft.
  • Mamy 4 użytkowników, którzy są zsynchronizowani. Britta Simon, Lola Jacobson, Anna Ringdahl i John Smith.
  • W usłudze Active Directory utworzono trzy jednostki organizacyjne — Sprzedaż, Marketing i Grupy
  • Konta użytkowników Britta Simon i Anna Ringdahl znajdują się w jednostkach organizacyjnych sprzedaży.
  • Konta użytkowników Lola Jacobson i John Smith znajdują się w jednostki organizacyjnej marketingu.
  • Jednostka organizacyjna grup to miejsce, w którym aprowizowane są nasze grupy z identyfikatora Entra firmy Microsoft.

Napiwek

Aby uzyskać lepsze środowisko wykonywania poleceń cmdlet zestawu Microsoft Graph PowerShell SDK, użyj programu Visual Studio Code z ms-vscode.powershell rozszerzeniem w trybie ISE.

Tworzenie dwóch grup w usłudze Microsoft Entra ID

Aby rozpocząć, utwórz dwie grupy w identyfikatorze Entra firmy Microsoft. Jedna grupa to Sprzedaż, a Druga to Marketing.

Aby utworzyć dwie grupy, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części kliknij pozycję Nowa grupa.
  4. Upewnij się, że typ grupy jest ustawiony na zabezpieczenia.
  5. W polu Nazwa grupy wprowadź wartość Sales (Sprzedaż)
  6. W polu Typ członkostwa zachowaj go przy przypisaniu.
  7. Kliknij pozycję Utwórz.
  8. Powtórz ten proces przy użyciu marketingu jako nazwy grupy.

Dodawanie użytkowników do nowo utworzonych grup

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części pola wyszukiwania wpisz Sales (Sprzedaż).
  4. Kliknij nową grupę Sprzedaż .
  5. Po lewej stronie kliknij pozycję Członkowie
  6. W górnej części kliknij pozycję Dodaj członków.
  7. W górnej części pola wyszukiwania wprowadź Britta Simon.
  8. Umieść znacznik wyboru obok użytkownika Britta Simon i Anny Ringdahl , a następnie kliknij pozycję Wybierz
  9. Powinna ona pomyślnie dodać ją do grupy.
  10. Po lewej stronie kliknij pozycję Wszystkie grupy i powtórz ten proces przy użyciu grupy Marketing i dodaj Lola Jacobson i John Smith do tej grupy.

Uwaga

Podczas dodawania użytkowników do grupy Marketing zanotuj identyfikator grupy na stronie przeglądu. Ten identyfikator jest używany później do dodawania nowo utworzonej właściwości do grupy.

Instalowanie i łączenie zestawu Microsoft Graph PowerShell SDK

  1. Jeśli jeszcze nie zainstalowano, postępuj zgodnie z dokumentacją zestawu MICROSOFT Graph PowerShell SDK, aby zainstalować główne moduły zestawu Microsoft Graph PowerShell SDK : Microsoft.Graph.

  2. Otwieranie programu PowerShell z uprawnieniami administracyjnymi

  3. Aby ustawić zasady wykonywania, uruchom polecenie (naciśnij przycisk [A] Tak, aby wszystkie po wyświetleniu monitu):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Połącz się z dzierżawą (pamiętaj o zaakceptowaniu w imieniu użytkownika podczas logowania):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Tworzenie naszej aplikacji CloudSyncCustomExtensionApp i jednostki usługi

Ważne

Rozszerzenie katalogu dla usługi Microsoft Entra Cloud Sync jest obsługiwane tylko w przypadku aplikacji z identyfikatorem URI "api://< tenantId>/CloudSyncCustomExtensionsApp" i aplikacją rozszerzenia schematu dzierżawy utworzoną przez firmę Microsoft Entra Connect.

  1. Pobierz identyfikator dzierżawy:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Uwaga

Spowoduje to wyprowadzenia bieżącego identyfikatora dzierżawy. Możesz potwierdzić ten identyfikator dzierżawy, przechodząc do pozycji Microsoft Entra admin center Identity Overview (Omówienie tożsamości > centrum administracyjnego firmy> Microsoft).

  1. Korzystając ze zmiennej $tenantId z poprzedniego kroku, sprawdź, czy istnieje aplikacja CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Jeśli istnieje aplikacja CloudSyncCustomExtensionApp, przejdź do następnego kroku. W przeciwnym razie utwórz nową aplikację CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Sprawdź, czy aplikacja CloudSyncCustomExtensionsApp ma skojarzoną jednostkę zabezpieczeń. Jeśli właśnie utworzono nową aplikację, przejdź do następnego kroku.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Jeśli właśnie utworzono nową aplikację lub podmiot zabezpieczeń nie zostanie zwrócony, utwórz podmiot zabezpieczeń dla klasy CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Tworzenie atrybutu rozszerzenia niestandardowego

Napiwek

W tym scenariuszu utworzymy niestandardowy atrybut rozszerzenia o nazwie WritebackEnabled , który ma być używany w filtrze określania zakresu synchronizacji z chmurą firmy Microsoft, tak aby tylko grupy z wartością WritebackEnabled ustawione na True były zapisywane z powrotem do lokalnej usługi Active Directory, podobnie jak flaga włączona zapisywania zwrotnego w centrum administracyjnym firmy Microsoft Entra.

  1. Pobierz aplikację CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Teraz w obszarze CloudSyncCustomExtensionApp utwórz atrybut rozszerzenia niestandardowego o nazwie "WritebackEnabled" i przypisz go do obiektów grupy:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. To polecenie cmdlet tworzy atrybut rozszerzenia, który wygląda jak extension_<guid>_WritebackEnabled.

Tworzenie konfiguracji synchronizacji w chmurze

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

  2. Przejdź do sekcji Identity>Hybrid Management Microsoft Entra Connect Cloud sync (Synchronizacja z chmurą>firmy Microsoft Entra Connect).>

  3. Wybierz pozycję Nowa konfiguracja.

  4. Wybierz pozycję Microsoft Entra ID do synchronizacji usługi AD.

Zrzut ekranu przedstawiający wybór konfiguracji.

  1. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji w chmurze

  2. Po lewej stronie kliknij pozycję Filtry określania zakresu wybierz pozycję Zakres - grupy Wszystkie grupy

  3. Kliknij pozycję Edytuj mapowanie atrybutów i zmień kontener docelowy na OU=Groups,DC=Contoso,DC=com. Kliknij przycisk Zapisz.

  4. Kliknij pozycję Dodaj filtr określania zakresu atrybutów

  5. Wpisz nazwę filtru określania zakresu: Filter groups with Writeback Enabled

  6. W obszarze Atrybut docelowy wybierz nowo utworzony atrybut, który wygląda jak extension_<guid>_WritebackEnabled.

Ważne

Niektóre atrybuty docelowe wyświetlane na liście rozwijanej mogą nie być używane jako filtr określania zakresu, ponieważ nie wszystkie właściwości można zarządzać w identyfikatorze Entra, na przykład extensionAttribute[1–15], dlatego zaleceniem jest utworzenie niestandardowej właściwości rozszerzenia dla tego konkretnego celu. Zrzut ekranu przedstawiający dostępne atrybuty.

  1. W obszarze Operator wybierz wartość TRUE
  2. Kliknij przycisk Zapisz. Kliknij pozycję Zapisz.
  3. Pozostaw konfigurację wyłączoną i wróć do niej.

Dodawanie nowej właściwości rozszerzenia do jednej z naszych grup

W tej części dodamy wartość nowo utworzonej właściwości do jednej z istniejących grup Marketing.

Ustawianie wartości właściwości rozszerzenia przy użyciu zestawu Microsoft Graph PowerShell SDK

  1. Użyj zmiennej $cloudSyncCustomExtApp z poprzedniego kroku, aby uzyskać naszą właściwość rozszerzenia:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Teraz pobierz grupę Marketing :

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Następnie z zmienną $gwbEnabledExtName zawierającą extension_<guid>_WritebackEnabled, ustaw wartość True grupy Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Aby potwierdzić, możesz odczytać extension_<guid>_WritebackEnabled wartość właściwości za pomocą:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Ustawianie wartości właściwości rozszerzenia przy użyciu Eksploratora programu Microsoft Graph

Musisz upewnić się, że użytkownik wyraził zgodę na Group.ReadWrite.All. Możesz to zrobić, wybierając pozycję Modyfikuj uprawnienia.

  1. Przejdź do Eksploratora programu Microsoft Graph

  2. Zaloguj się przy użyciu konta administratora dzierżawy. Może to być konto administratora tożsamości hybrydowej. Konto administratora tożsamości hybrydowej zostało użyte podczas tworzenia tego scenariusza. Konto administratora tożsamości hybrydowej może być wystarczające.

  3. W górnej części zmień polecenie GET na PATCH

  4. W polu adresu wprowadź: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. W treści żądania wprowadź:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Kliknij pozycję Uruchom zapytanieZrzut ekranu przedstawiający uruchamianie zapytania grafu.

  7. Jeśli wszystko zostanie wykonane poprawnie, zobaczysz komunikat [].

  8. Teraz w górnej części zmień wartość PATCH na GET i przyjrzyj się właściwościom grupy marketingowej.

  9. Kliknij pozycję Uruchom zapytanie. Powinien zostać wyświetlony nowo utworzony atrybut. Zrzut ekranu przedstawiający właściwości grupy.

Testowanie konfiguracji

Uwaga

W przypadku korzystania z aprowizacji na żądanie członkowie nie są automatycznie aprowizowani. Musisz wybrać członków, na których chcesz testować, i istnieje limit 5 elementów członkowskich.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. W obszarze Konfiguracja wybierz konfigurację.
  2. Po lewej stronie wybierz pozycję Aprowizuj na żądanie.
  3. Wprowadź marketing w polu Wybrana grupa
  4. W sekcji Wybrani użytkownicy wybierz niektórych użytkowników do przetestowania. Wybierz pozycję Lola Jacobson i John Smith.
  5. Kliknij pozycję Aprowizuj. Powinna ona zostać pomyślnie zainicjowana. Zrzut ekranu przedstawiający pomyślną aprowizację.
  6. Teraz spróbuj użyć grupy Sales i dodaj Britta Simon i Anna Ringdahl. Nie powinno to aprowizować. Zrzut ekranu przedstawiający blokowanie aprowizacji.
  7. W usłudze Active Directory powinna zostać wyświetlona nowo utworzona grupa Marketing. Zrzut ekranu przedstawiający nową grupę użytkowników i komputerów usługi Active Directory.
  8. Teraz możesz przejść do strony Omówienie synchronizacji z > chmurą zarządzania tożsamościami>>firmy Microsoft Entra Connect>w chmurze, aby przejrzeć i włączyć naszą konfigurację, aby rozpocząć synchronizację.

Następne kroki