Comparteix a través de


Escenario: uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory

Escenario: tiene cientos de grupos en Microsoft Entra ID. Quiere aprovisionar algunos de estos grupos, pero no todos de vuelta a Active Directory. Le gustaría un filtro rápido que se puede aplicar a los grupos sin tener que hacer un filtro de ámbito más complicado.

Diagrama de escritura diferida de grupos con sincronización en la nube.

El entorno que se crea en este escenario se puede usar para realizar pruebas o para familiarizarse con la sincronización en la nube.

Supuestos

  • En este escenario se supone que ya tiene un entorno de trabajo que está sincronizando los usuarios con Microsoft Entra ID.
  • Tenemos 4 usuarios sincronizados. Britta Simon, Lola Jacobson, Anna Ringdahl, and John Smith.
  • Se han creado tres unidades organizativas en Active Directory: ventas, marketing y grupos
  • Las cuentas de usuario de Britta Simon y Anna Ringdahl residen en la unidad organizativa Ventas.
  • Las cuentas de usuario de Lola Jacobson y John Smith residen en la unidad organizativa Marketing.
  • La unidad organizativa Grupos es donde se aprovisionan nuestros grupos de Microsoft Entra ID.

Sugerencia

Para una mejor experiencia ejecutando cmdlets del SDK de Microsoft Graph PowerShell, use Visual Studio Code con la extensión ms-vscode.powershell en Modo ISE.

Creación de dos grupos en Microsoft Entra ID

Para empezar, cree dos grupos en Microsoft Entra ID. Un grupo es Ventas y el otro es Marketing.

Para crear dos grupos, siga estos pasos.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. En la parte superior, haga clic en Nuevo grupo.
  4. Asegúrese de que el Tipo de grupo está establecido en seguridad.
  5. En Nombre de grupo escriba Ventas
  6. Para Tipo de pertenencia manténgalo asignado.
  7. Haga clic en Crear.
  8. Repita este proceso con Marketing como Nombre del grupo.

Agregar usuarios a los grupos recién creados

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. En la parte superior, en el cuadro de búsqueda, escriba Ventas.
  4. Haga clic en el nuevo grupo Ventas.
  5. A la izquierda, haga clic en Miembros
  6. En la parte superior, haga clic en Agregar miembros.
  7. En la parte superior, en el cuadro de búsqueda, escriba Britta Simon.
  8. Coloque una comprobación junto a Britta Simon y Anna Ringdahl y haga clic en Seleccionar
  9. Debería agregarla correctamente al grupo.
  10. En el extremo izquierdo, haga clic en Todos los grupos y repita este proceso con el grupo Marketing y agregue Lola Jacobson y John Smith a ese grupo.

Nota:

Al agregar usuarios al grupo Marketing, anote el identificador de grupo en la página de información general. Este identificador se usa más adelante para agregar la propiedad recién creada al grupo.

Instalación y conexión del SDK de PowerShell de Microsoft Graph

  1. Si aún no está instalado, siga la documentación de SDK de PowerShell de Microsoft Graph para instalar los módulos principales del SDK de PowerShell de Microsoft Graph: Microsoft.Graph.

  2. Apertura de PowerShell con privilegios administrativos

  3. Para establecer la directiva de ejecución, ejecute (presione [A] Sí en todo cuando se le solicite):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    
  4. Conectarse al inquilino (asegúrese de aceptar en nombre de al iniciar sesión):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"
    

Creación de la aplicación CloudSyncCustomExtensionApp y la entidad de servicio

Importante

La extensión de directorio para Microsoft Entra Cloud Sync solo se admite para las aplicaciones con el URI de identificación "api://<tenantId>/CloudSyncCustomExtensionsApp" y Tenant Schema Extension App creada por Microsoft Entra Connect.

  1. Obtenga el identificador de inquilino:

    $tenantId = (Get-MgOrganization).Id
    $tenantId
    

Nota:

Esto generará el identificador de inquilino actual. Para confirmar este identificador de inquilino, vaya a Centro de administración de Microsoft Entra> Identity > Información general.

  1. Con la variable $tenantId del paso anterior, compruebe si existe CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
    $cloudSyncCustomExtApp
    
  2. Si existe una aplicación CloudSyncCustomExtensionApp, vaya al paso siguiente. De lo contrario, cree la nueva aplicación CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
    $cloudSyncCustomExtApp 
    
  3. Comprueba si la aplicación CloudSyncCustomExtensionsApp tiene asociada una entidad de seguridad. Si acabas de crear una nueva aplicación, vaya al paso siguiente.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"
    
  4. Si acaba de crear una aplicación o una entidad de seguridad no se devuelve, cree una entidad de seguridad para CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId
    

Creación de nuestro atributo de extensión personalizado

Sugerencia

En este escenario, vamos a crear un atributo de extensión personalizado llamado WritebackEnabled para usarse en el filtro de ámbito de Microsoft Entra Cloud Sync, de modo que solo los grupos con WritebackEnabled establecido en True se escriben en Active Directory local, de forma similar a la marca habilitada para escritura diferida en el Centro de administración Microsoft Entra.

  1. Obtenga la aplicación CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
    
  2. Ahora, en CloudSyncCustomExtensionApp, cree el atributo de extensión personalizado denominado "WritebackEnabled" y asígnelo a objetos Group:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'
    
  3. Este cmdlet crea un atributo de extensión similar a extension_<guid>_WritebackEnabled.

Creación de la configuración de sincronización en la nube

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.

  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync.

  3. Seleccione Nueva configuración.

  4. Seleccione Sincronización de Microsoft Entra ID en AD.

Captura de pantalla de la selección de la configuración

  1. En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear.

Captura de pantalla de una nueva configuración.

  1. Se abre la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube

  2. A la izquierda, haga clic en Filtros de ámbito seleccione Ámbito de grupo - Todos los grupos

  3. Haga clic en Editar asignación de atributos y cambie el Contenedor de destino a OU=Groups,DC=Contoso,DC=com. Haga clic en Save(Guardar).

  4. Haga clic en Agregar filtro de ámbito de atributos

  5. Escriba un nombre para el filtro de ámbito: Filter groups with Writeback Enabled

  6. En Atributo de destino seleccione el atributo recién creado que tiene el aspecto extension_<guid>_WritebackEnabled.

Importante

Es posible que algunos de los atributos de destino que aparecen en la lista desplegable no puedan utilizarse como filtro de ámbito porque no todas las propiedades pueden administrarse en Entra ID, por ejemplo, extensionAttribute[1-15], de ahí que la recomendación sea crear una propiedad de extensión personalizada para este fin específico. Captura de pantalla de los atributos disponibles.

  1. En Operador, seleccione IS TRUE
  2. Haga clic en Save(Guardar). Y haga clic en Guardar.
  3. Deje la configuración deshabilitada y vuelva a ella.

Agregar una nueva propiedad de extensión a uno de nuestros grupos

Para esta parte, vamos a agregar un valor en nuestra propiedad recién creada a uno de nuestros grupos existentes, Marketing.

Establecimiento del valor de la propiedad de extensión mediante el SDK de PowerShell de Microsoft Graph

  1. Use la variable $cloudSyncCustomExtApp del paso anterior para obtener nuestra propiedad de extensión:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
        Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
    $gwbEnabledExtAttrib 
    $gwbEnabledExtName = $gwbEnabledExtAttrib.Name
    
  2. Ahora, obtenga el grupo Marketing:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
    $marketingGrp 
    
  3. A continuación, con la variable $gwbEnabledExtName que contiene extension_<guid>_WritebackEnabled, establezca el valor True para el grupo Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}
    
  4. Para confirmarlo, puede leer el valor de la extension_<guid>_WritebackEnabled propiedad con:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
    $marketingGrp.AdditionalProperties.$gwbEnabledExtName
    

Establecimiento del valor de la propiedad de extensión mediante el Explorador de Microsoft Graph

Debes asegurarte de que has consentido Group.ReadWrite.All. Para ello, selecciona Modificar permisos.

  1. Ve al Explorador de Microsoft Graph

  2. Inicia sesión con tu cuenta de administrador de inquilinos. Puede que tenga que ser una cuenta de administrador de identidad híbrida. Para crear este escenario se utilizó una cuenta de administrador de identidad híbrida. Una cuenta de administrador de identidad híbrida puede ser suficiente.

  3. En la parte superior, cambia el GET a PATCH

  4. En la barra de direcciones, escribe: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. En el cuerpo de la solicitud, escribe:

    {
     extension_<guid>_WritebackEnabled: true
    }
    
    
  6. Haz clic en Ejecutar consultaCaptura de pantalla de la ejecución de la consulta del grafo.

  7. Si se ha realizado correctamente, verás [].

  8. Ahora en la parte superior, cambia PATCH a GET y examina las propiedades del grupo de marketing.

  9. Haz clic en Ejecutar consulta. Deberías ver el atributo recién creado. Captura de pantalla de las propiedades de grupo.

Probar nuestra configuración

Nota:

Al usar el aprovisionamiento a petición, los miembros no se aprovisionan automáticamente. Se debe seleccionar en qué miembros se desea probar, habiendo un límite de 5 miembros.

  1. Inicia sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Ve a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..
  1. En Configuración, selecciona tu configuración.
  2. A la izquierda, selecciona Aprovisionar a petición.
  3. Escribe Marketing en el cuadro de Grupo seleccionado
  4. En la sección Usuarios seleccionados, selecciona algunos usuarios para probar. Selecciona Lola Jacobson y John Smith.
  5. Haz clic en Aprovisionar. Debe aprovisionar correctamente. Captura de pantalla del aprovisionamiento correcto.
  6. Ahora prueba con el grupo Ventas y agrega Britta Simon y Anna Ringdahl. Esto no debería aprovisionar. Captura de pantalla del aprovisionamiento que se está bloqueando.
  7. En Active Directory, deberías ver el grupo Marketing recién creado. Captura de pantalla del nuevo grupo en usuarios y equipos de Active Directory.
  8. Ahora puedes navegar a Identidad>Administración híbrida>Microsoft Entra Connect>Sincronización en la nube > Información general página para Revisar y habilitar nuestra configuración para empezar a sincronizar.

Pasos siguientes