Kurz – Zřízení skupin do služby Active Directory pomocí Microsoft Entra Cloud Sync
Tento kurz vás provede vytvořením a konfigurací cloudové synchronizace pro synchronizaci skupin s místní Active Directory.
Zřízení ID Microsoft Entra pro Active Directory – požadavky
K implementaci skupin zřizování do služby Active Directory se vyžadují následující požadavky.
Požadavky na licenci
Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.
Obecné požadavky
- Účet Microsoft Entra s alespoň rolí správce hybridní identity
- Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
- Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
- Zřizování agenta s buildem verze 1.1.1370.0 nebo novější
Poznámka:
Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.
Tato oprávnění nejsou použita pro objekty AdminSDHolder ve výchozím nastavení microsoft Entra provisioning agent gMSA PowerShell
- Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
- Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
- Microsoft Entra Connect Sync s buildem verze 2.2.8.0 nebo novějším
- Vyžadováno pro podporu místního členství uživatelů synchronizovaných pomocí Synchronizace Microsoft Entra Connect
- Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier
Podporované skupiny a omezení škálování
Podporuje se následující:
- Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
- Tyto skupiny mohou mít přiřazené nebo dynamické skupiny členství.
- Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
- Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
- Tyto skupiny se zapisují zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
- Skupiny, které jsou větší než 50 000 členů, se nepodporují.
- Tenanti, kteří mají více než 150 000 objektů, se nepodporují. To znamená, že pokud má tenant jakoukoli kombinaci uživatelů a skupin, které překračují 150 tisíc objektů, tenant se nepodporuje.
- Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
- Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.
Další informace
Následuje další informace o zřizování skupin ve službě Active Directory.
- Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
- Tito uživatelé musí mít atribut onPremisesObjectIdentifier nastavený na svém účtu.
- OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
- Atribut objectGUID místních uživatelů pro cloudové uživatele onPremisesObjectIdentifier lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0)
- Pokud k synchronizaci uživatelů používáte Microsoft Entra Connect Sync (2.2.8.0) a chcete používat zřizování pro AD, musí to být verze 2.2.8.0 nebo novější.
- Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Tenanti, jako je B2C, se nepodporují.
- Úloha zřizování skupin se plánuje spustit každých 20 minut.
Předpoklady
V tomto kurzu se předpokládá následující:
- Máte místní prostředí Služby Active Directory.
- Máte nastavení synchronizace cloudu pro synchronizaci uživatelů s Microsoft Entra ID.
- Máte dva uživatele, kteří jsou synchronizovaní. Britta Simon a Lola Jacobson. Tito uživatelé existují místně a v Microsoft Entra ID.
- Ve službě Active Directory byly vytvořeny tři organizační jednotky – skupiny, prodej a marketing. Mají následující rozlišující názvy:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Vytvořte dvě skupiny v MICROSOFT Entra ID.
Abychom mohli začít, vytvoříme dvě skupiny v MICROSOFT Entra ID. Jedna skupina je Prodej a druhá je Marketing.
Pokud chcete vytvořit dvě skupiny, postupujte takto.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
- Přejděte do skupin>identit>Všechny skupiny.
- V horní části klikněte na možnost Nová skupina.
- Ujistěte se, že je typ skupiny nastavený na zabezpečení.
- Do pole Název skupiny zadejte Sales (Prodej).
- Pro typ členství jej ponechejte při přiřazení.
- Klikněte na Vytvořit.
- Tento proces opakujte pomocí marketingu jako názvu skupiny.
Přidání uživatelů do nově vytvořených skupin
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
- Přejděte do skupin>identit>Všechny skupiny.
- Nahoře do vyhledávacího pole zadejte Sales(Prodej).
- Klikněte na novou prodejní skupinu.
- Na levé straně klikněte na Členové.
- Nahoře klikněte na Přidat členy.
- Nahoře do vyhledávacího pole zadejte Britta Simon.
- Zaškrtněte políčko vedle Britta Simon a klikněte na Vybrat
- Měla by ji úspěšně přidat do skupiny.
- Úplně vlevo klikněte na Všechny skupiny a opakujte tento proces pomocí skupiny Prodej a přidejte Do této skupiny Lola Jacobson.
Konfigurace zřizování
Pokud chcete nakonfigurovat zřizování, postupujte podle těchto kroků.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
- Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.
Vyberte Možnost Nová konfigurace.
Na konfigurační obrazovce vyberte svoji doménu a jestli chcete povolit synchronizaci hodnot hash hesel. Klikněte na Vytvořit.
Otevře se obrazovka Začínáme . Odsud můžete pokračovat v konfiguraci cloudové synchronizace.
Na levé straně klikněte na Filtry oborů.
V části Obor skupiny ho nastavte na Všechny skupiny zabezpečení.
V části Cílový kontejner klikněte na Upravit mapování atributů.
Změnit typ mapování na výraz
Do pole výrazu zadejte následující:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
Klikněte na Použít – Tím změníte cílový kontejner v závislosti na atributu displayName skupiny.
Klikněte na Uložit.
Na levé straně klikněte na Přehled.
Nahoře klikněte na Zkontrolovat a povolit.
Na pravé straně klikněte na Povolit konfiguraci.
Testovací konfigurace
Poznámka:
Při použití zřizování na vyžádání se členové automaticky neprozrazují. Musíte vybrat členy, na kterých chcete testovat, a existuje limit 5 členů.
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
- Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.
V části Konfigurace vyberte konfiguraci.
Na levé straně vyberte Zřídit na vyžádání.
Enter Sales in the Selected group box
V části Vybraní uživatelé vyberte některé uživatele, které chcete otestovat.
Klikněte na Zřídit.
Měla by se zobrazit zřízená skupina.
Ověření ve službě Active Directory
Teď se můžete ujistit, že je skupina zřízená ve službě Active Directory.
Postupujte následovně:
- Přihlaste se k místnímu prostředí.
- Spuštění Uživatelé a počítače služby Active Directory
- Ověřte, že je nová skupina zřízená.