Tutorial: Bereitstellen von Gruppen in Active Directory mithilfe der Microsoft Entra-Cloudsynchronisierung
Das folgende Tutorial führt Sie durch die Erstellung und Konfiguration der Cloudsynchronisierung, um Gruppen mit lokalem Active Directory zu synchronisieren.
Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen
Zum Implementieren von Bereitstellungsgruppen in Active Directory müssen die folgenden Voraussetzungen erfüllt sein.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.
Allgemeine Anforderungen
- Ein Microsoft Entra-Konto mit der Rolle Hybrididentitätsadministrator oder höher
- Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher
- Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
- Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.
Hinweis
Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Sie die Berechtigungen manuell mithilfe des PowerShell-Cmdlets zuweisen:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.
Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet.
- Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
- Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
- Microsoft Entra Connect Sync mit der Buildversion 2.2.8.0 oder höher
- Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect Sync synchronisiert wird
- Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier
Unterstützte Gruppen und Skalierungsgrenzwerte
Folgendes wird unterstützt:
- Lediglich in der Cloud erstellte Sicherheitsgruppen werden unterstützt
- Diese Gruppen können zugewiesene Gruppen oder Gruppen mit dynamischer Mitgliedschaft enthalten.
- Diese Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
- Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
- Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den universellen Gruppenbereich unterstützen.
- Gruppen mit mehr als 50.000 Mitgliedern werden nicht unterstützt.
- Mandanten mit mehr als 150.000 Objekten werden nicht unterstützt. Wenn ein Mandant eine Kombination aus Benutzern und Gruppen aufweist, die 150K-Objekte überschreiten, wird der Mandant nicht unterstützt.
- Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe
- Die Abstimmung von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.
Weitere Informationen
Im Anschluss finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.
- Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
- Für diese Benutzer muss das Attribut onPremisesObjectIdentifier in ihrem Konto festgelegt sein.
- onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
- Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden.
- Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
- Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
- Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.
Annahmen
In diesem Tutorial wird Folgendes vorausgesetzt:
- Sie verfügen über eine lokale Active Directory-Umgebung.
- Sie haben die Cloudsynchronisierung eingerichtet, um Benutzer mit Microsoft Entra ID zu synchronisieren.
- Sie haben zwei Benutzer, die synchronisiert werden: Britta Simon und Lola Jacobson. Diese Benutzer sind lokal und in Microsoft Entra ID vorhanden.
- In Active Directory wurden drei Organisationseinheiten erstellt: Groups, Sales und Marketing. Sie haben die folgenden Distinguished Names (distinguishedNames):
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Erstellen von zwei Gruppen in Microsoft Entra ID
Sie erstellen zunächst zwei Gruppen in Microsoft Entra ID. Eine Gruppe heißt „Sales“, die andere „Marketing“.
Führen Sie zum Erstellen der zwei Gruppen die folgenden Schritte aus:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
- Browsen Sie zu Identität>Gruppen>Alle Gruppen.
- Klicken Sie oben auf Neue Gruppe.
- Vergewissern Sie sich, dass Gruppentyp auf Sicherheit festgelegt ist.
- Geben Sie unter Gruppennamen den Namen Sales ein.
- Behalten Sie unter Mitgliedschaftstyp die Zuweisungsoption bei.
- Klicken Sie auf Erstellen.
- Wiederholen Sie diesen Vorgang, und verwenden Sie Marketing als Gruppenname.
Hinzufügen von Benutzern zu neu erstellten Gruppen
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
- Browsen Sie zu Identität>Gruppen>Alle Gruppen.
- Geben Sie oben in das Suchfeld Sales ein.
- Klicken Sie auf die neue Gruppe Sales.
- Klicken Sie auf der linken Seite auf Mitglieder.
- Klicken Sie oben auf Mitglieder hinzufügen.
- Geben Sie oben im Suchfeld Britta Simon ein.
- Setzen Sie ein Häkchen neben Britta Simon, und klicken Sie auf Auswählen.
- Sie sollte der Gruppe erfolgreich hinzugefügt werden.
- Klicken Sie ganz links auf Alle Gruppen, und wiederholen Sie diesen Vorgang für die Gruppe Sales, um Lola Jacobson dieser Gruppe hinzuzufügen.
Konfigurieren der Bereitstellung
Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
Wählen Sie Neue Konfiguration aus.
Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.
Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.
Klicken Sie auf der linken Seite auf Bereichsauswahlfilter.
Legen Sie unter Gruppenbereich die Option Alle Sicherheitsgruppen fest.
Klicken Sie unter Zielcontainer auf Attributzuordnung bearbeiten.
Legen Sie Zuordnungstyp auf Ausdruck fest.
Geben Sie in das Feld „Ausdruck“ Folgendes ein:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
.Ändern Sie den Standardwert in „OU=Groups,DC=contoso,DC=com“.
Klicken Sie auf Übernehmen. Dadurch wird der Zielcontainer geändert, der vom displayName-Attribut der Gruppe abhängig ist.
Klicken Sie unten auf der Seite auf Speichern.
Klicken Sie auf der linken Seite auf Übersicht.
Klicken Sie oben auf Überprüfen und aktivieren.
Klicken Sie rechts auf Konfiguration aktivieren.
Testkonfiguration
Hinweis
Bei der bedarfsorientierten Bereitstellung werden Mitglieder nicht automatisch bereitgestellt. Sie müssen auswählen, für welche Mitglieder Sie Tests durchführen möchten. Hierfür können Sie maximal 5 Mitglieder auswählen.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
- Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.
Wählen Sie unter Konfiguration Ihre Konfiguration aus.
Wählen Sie auf der linken Seite Bedarfsbasiert bereitstellen aus.
Geben Sie Sales in das Feld Ausgewählte Gruppe ein.
Wählen Sie im Abschnitt Ausgewählte Benutzer einige Benutzer*innen für Tests aus.
Klicken Sie auf Bereitstellen.
Die bereitgestellte Gruppe sollte angezeigt werden.
Überprüfen in Active Directory
Jetzt können Sie sich vergewissern, dass die Gruppe in Active Directory bereitgestellt wurde.
Gehen Sie folgendermaßen vor:
- Melden Sie sich bei Ihrer lokalen Umgebung an.
- Starten Sie Active Directory-Benutzer und -Computer.
- Überprüfen Sie, ob die neue Gruppe bereitgestellt wurde.