Samouczek — aprowizuj grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces tworzenia i konfigurowania synchronizacji w chmurze w celu synchronizowania grup w celu lokalna usługa Active Directory.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.

Wymagania ogólne

  • Konto Microsoft Entra z co najmniej rolą administratora tożsamości hybrydowej.
  • Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
  • Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Nuta

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są stosowane do obiektów AdminSDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji firmy Microsoft Entra

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
  • Microsoft Entra Connect Sync z kompilacją w wersji 2.2.8.0 lub nowszej
    • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
    • Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy i limity skalowania

Obsługiwane są następujące elementy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Te grupy mogą mieć przypisane lub dynamiczne grupy członkostwa.
  • Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
  • Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Dzierżawy, które mają więcej niż 150 000 obiektów, nie są obsługiwane. Oznacza to, że jeśli dzierżawa ma dowolną kombinację użytkowników i grup, które przekraczają 150 000 obiektów, dzierżawa nie jest obsługiwana.
  • Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
  • Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
  • Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Connect Sync (2.2.8.0)
  • Jeśli używasz usługi Microsoft Entra Connect Sync (2.2.8.0) do synchronizowania użytkowników, zamiast usługi Microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
  • Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
  • Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.

Założenia

W tym samouczku przyjęto założenie, że:

  • Masz środowisko lokalne usługi Active Directory
  • Masz konfigurację synchronizacji w chmurze, aby zsynchronizować użytkowników z identyfikatorem Entra firmy Microsoft.
  • Masz dwóch użytkowników, którzy są zsynchronizowani. Britta Simon i Lola Jacobson. Ci użytkownicy istnieją lokalnie i w identyfikatorze Entra firmy Microsoft.
  • Trzy jednostki organizacyjne zostały utworzone w usłudze Active Directory — grupy, sprzedaż i marketing. Mają następujące nazwy wyróżniające:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Utwórz dwie grupy w identyfikatorze Entra firmy Microsoft.

Aby rozpocząć, utworzymy dwie grupy w identyfikatorze Entra firmy Microsoft. Jedna grupa to Sprzedaż, a druga to Marketing.

Aby utworzyć dwie grupy, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części kliknij pozycję Nowa grupa.
  4. Upewnij się, że typ grupy jest ustawiony na zabezpieczenia.
  5. W polu Nazwa grupy wprowadź wartość Sales (Sprzedaż)
  6. W polu Typ członkostwa zachowaj go przy przypisaniu.
  7. Kliknij pozycję Utwórz.
  8. Powtórz ten proces przy użyciu marketingu jako nazwy grupy.

Dodawanie użytkowników do nowo utworzonych grup

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części pola wyszukiwania wpisz Sales (Sprzedaż).
  4. Kliknij nową grupę Sprzedaż .
  5. Po lewej stronie kliknij pozycję Członkowie
  6. W górnej części kliknij pozycję Dodaj członków.
  7. W górnej części pola wyszukiwania wprowadź Britta Simon.
  8. Umieść znacznik wyboru obok użytkownika Britta Simon i kliknij pozycję Wybierz
  9. Powinna ona pomyślnie dodać ją do grupy.
  10. Po lewej stronie kliknij pozycję Wszystkie grupy i powtórz ten proces przy użyciu grupy Sales i dodaj lolę Jacobson do tej grupy.

Konfigurowanie aprowizacji

Aby skonfigurować aprowizację, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.

  1. Wybierz pozycję Nowa konfiguracja.

  2. Wybierz pozycję Microsoft Entra ID do synchronizacji usługi AD. Zrzut ekranu przedstawiający wybór konfiguracji.

  3. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz. Zrzut ekranu przedstawiający nową konfigurację.

  4. Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji w chmurze

  5. Po lewej stronie kliknij pozycję Filtry określania zakresu.

  6. W obszarze Zakres grupy ustaw dla niej pozycję Wszystkie grupy zabezpieczeń

  7. W obszarze Kontener docelowy kliknij pozycję Edytuj mapowanie atrybutów. Zrzut ekranu przedstawiający sekcje filtrów określania zakresu.

  8. Zmień typ mapowania na Wyrażenie

  9. W polu wyrażenia wprowadź następujące wartości: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Zmień wartość domyślną na OU=Groups,DC=contoso,DC=com. Zrzut ekranu przedstawiający wyrażenie filtrów określania zakresu.

  11. Kliknij przycisk Zastosuj — spowoduje to zmianę kontenera docelowego w zależności od atrybutu displayName grupy.

  12. Kliknij pozycję Zapisz

  13. Po lewej stronie kliknij pozycję Przegląd

  14. U góry kliknij pozycję Przejrzyj i włącz

  15. Po prawej stronie kliknij pozycję Włącz konfigurację

Konfiguracja testu

Nuta

W przypadku korzystania z aprowizacji na żądanie członkowie nie są automatycznie prowokowani. Musisz wybrać członków, na których chcesz testować, i istnieje limit 5 elementów członkowskich.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.

  1. W obszarze Konfiguracja wybierz konfigurację.

  2. Po lewej stronie wybierz pozycję Aprowizuj na żądanie.

  3. Wprowadź wartość Sales (Sprzedaż) w polu Wybrana grupa

  4. W sekcji Wybrani użytkownicy wybierz niektórych użytkowników do przetestowania. Zrzut ekranu przedstawiający dodawanie członków.

  5. Kliknij pozycję Aprowizuj.

  6. Powinna zostać wyświetlona aprowizowana grupa.

Zrzut ekranu przedstawiający pomyślną aprowizację na żądanie.

Weryfikowanie w usłudze Active Directory

Teraz możesz upewnić się, że grupa jest aprowizowana w usłudze Active Directory.

Wykonaj następujące czynności:

  1. Zaloguj się do środowiska lokalnego.
  2. Uruchamianie Użytkownicy i komputery usługi Active Directory
  3. Sprawdź, czy nowa grupa jest aprowizowana. Zrzut ekranu przedstawiający nowo aprowizowaną grupę.

Następne kroki