Compartir a través de

Escenario: uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory

  • Artículo

Escenario: tiene cientos de grupos en Microsoft Entra ID. Quiere aprovisionar algunos de estos grupos, pero no todos de vuelta a Active Directory. Le gustaría un filtro rápido que se puede aplicar a los grupos sin tener que hacer un filtro de ámbito más complicado.

Diagrama de escritura diferida de grupos con sincronización en la nube.

El entorno que se crea en este escenario se puede usar para realizar pruebas o para familiarizarse con la sincronización en la nube.

Supuestos

  • En este escenario se supone que ya tiene un entorno de trabajo que está sincronizando los usuarios con Microsoft Entra ID.
  • Tenemos 4 usuarios sincronizados. Britta Simon, Lola Jacobson, Anna Ringdahl, and John Smith.
  • Se han creado tres unidades organizativas en Active Directory: ventas, marketing y grupos
  • Las cuentas de usuario de Britta Simon y Anna Ringdahl residen en la unidad organizativa Ventas.
  • Las cuentas de usuario de Lola Jacobson y John Smith residen en la unidad organizativa Marketing.
  • La unidad organizativa Grupos es donde se aprovisionan nuestros grupos de Microsoft Entra ID.

Creación de dos grupos en Microsoft Entra ID

Para empezar, cree dos grupos en Microsoft Entra ID. Un grupo es Ventas y el otro es Marketing.

Para crear dos grupos, siga estos pasos.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. En la parte superior, haga clic en Nuevo grupo.
  4. Asegúrese de que el Tipo de grupo está establecido en seguridad.
  5. En Nombre de grupo escriba Ventas
  6. Para Tipo de pertenencia manténgalo asignado.
  7. Haga clic en Crear.
  8. Repita este proceso con Marketing como Nombre del grupo.

Agregar usuarios a los grupos recién creados

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya aIdentidad>Grupos>Todos los grupos.
  3. En la parte superior, en el cuadro de búsqueda, escriba Ventas.
  4. Haga clic en el nuevo grupo Ventas.
  5. A la izquierda, haga clic en Miembros
  6. En la parte superior, haga clic en Agregar miembros.
  7. En la parte superior, en el cuadro de búsqueda, escriba Britta Simon.
  8. Coloque una comprobación junto a Britta Simon y Anna Ringdahl y haga clic en Seleccionar
  9. Debería agregarla correctamente al grupo.
  10. En el extremo izquierdo, haga clic en Todos los grupos y repita este proceso con el grupo Marketing y agregue Lola Jacobson y John Smith a ese grupo.

Nota:

Al agregar usuarios al grupo Marketing, anote el identificador de grupo en la página de información general. Este identificador se usa más adelante para agregar la propiedad recién creada al grupo.

Obtención del identificador del inquilino

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Información general.
  3. Anote el identificador de inquilino y cópielo para usarlo más adelante.

Creación de CloudSyncCustomExtensionApp y la entidad de servicio

Importante

La extensión de directorio para Microsoft Entra Cloud Sync solo se admite para las aplicaciones con el URI de identificación "api://<tenantId>/CloudSyncCustomExtensionsApp" y Tenant Schema Extension App creada por Microsoft Entra Connect.

  1. En un equipo local, abra PowerShell con privilegios administrativos.
  2. Para establecer la directiva de ejecución, ejecute (presione [A] Sí en todo cuando se le solicite):
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. Para instalar el módulo v1 del SDK en PowerShell Core o Windows PowerShell, ejecute el siguiente comando. Presione [Y] Sí cuando se le solicite.
Install-Module Microsoft.Graph -Scope CurrentUser
  1. Conectarse al inquilino (asegúrese de aceptar en nombre de al iniciar sesión)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. Compruebe si existe CloudSyncCustomExtensionApp.
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. Si existe, anote el appId y vaya al paso 8. De lo contrario, cree la aplicación.
  2. Cree CloudSyncCustomExtensionApp. Reemplace el <identificador de inquilino> por su identificador de inquilino. Copie el identificador y el identificador de aplicación que aparece después de la creación.
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. Si la aplicación existe, compruebe si tiene una entidad de seguridad. Reemplace <id. de aplicación> por su appId.
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. Si acaba de crear la aplicación, cree una nueva entidad de seguridad. Reemplace <id. de aplicación> por su appId.

    New-MgServicePrincipal -AppId '<appId>'

Crear nuestra extensión y configuración de sincronización en la nube

  1. Ahora creamos nuestro atributo personalizado y lo asignamos a CloudSyncCustomExtensionApp. Reemplace <id.> por su identificador. Use el identificador de objeto de la aplicación.
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. Es posible que se le pida de nuevo que escriba el identificador. Captura de pantalla de New-MgApplicationExtensionProperty de PowerShell.

  2. Este cmdlet crea un atributo similar al extension_<guid>_SynchGroup. Necesita esto para asociarlo a un grupo, pero el cmdlet de PowerShell del grafo no lo devuelve.

  3. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.

  4. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync.

  5. Seleccione Nueva configuración.

  6. Seleccione Microsoft Entra ID en la sincronización de AD. Captura de pantalla de la selección de configuración.

  7. En la pantalla de configuración, seleccione su dominio y si quiere habilitar la sincronización del hash de contraseñas. Haga clic en Crear. Captura de pantalla de una nueva configuración.

  8. Se abre la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube

  9. A la izquierda, haga clic en Filtros de ámbito seleccione Ámbito de grupo - Todos los grupos

  10. Haga clic en Editar asignación de atributos y cambie el Contenedor de destino a OU=Groups,DC=contoso,DC=com. Haga clic en Save(Guardar).

  11. Haga clic en Agregar filtro de ámbito de atributos

  12. En Atributo de destino seleccione el atributo recién creado similar a extension_<guid>_SynchGroup. Además, anote esto porque necesitamos usarlo para agregar este atributo a uno de nuestros grupos. Captura de pantalla de los atributos disponibles.

  13. En Operador seleccione PRESENT

  14. Haga clic en Save(Guardar). Y haga clic en Guardar.

  15. Deje la configuración deshabilitada y vuelva a ella.

Agregar una nueva propiedad de extensión a uno de nuestros grupos

Para esta parte, vamos a agregar nuestra propiedad recién creada a uno de nuestros grupos existentes, Marketing. Para ello, usamos el Explorador de Microsoft Graph. Debe asegurarse de que ha aceptado Group.ReadWrite.All. Para ello, seleccione Modificar permisos.

  1. Vaya a https://developer.microsoft.com/graph/graph-explorer.

  2. Inicie sesión con su cuenta de administrador de inquilinos. Es posible que deba ser una cuenta de administrador global. Se usó una cuenta de administrador global para crear este escenario. Una cuenta de administrador híbrido puede ser suficiente.

  3. En la parte superior, cambie el GET a PATCH

  4. En el cuadro de dirección, escriba: https://graph.microsoft.com/v1.0/groups/<id. de grupo>

  5. En el cuerpo de la solicitud, escriba:

    {
 extension_<guid>_SynchGroup: true
}

  6. Haga clic en Ejecutar consultaCaptura de pantalla de la ejecución de la consulta del grafo.

  7. Si se ha realizado correctamente, verá [].

  8. Ahora en la parte superior, cambie PATCH a GET y examine las propiedades del grupo de marketing.

  9. Haga clic en Ejecutar consulta. Debería ver el atributo recién creado. Captura de pantalla de las propiedades de grupo.

Probar nuestra configuración

Nota:

Al usar el aprovisionamiento a petición, los miembros no se aprovisionan automáticamente. Se debe seleccionar en qué miembros se desea probar, habiendo un límite de 5 miembros.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador híbrido como mínimo.
  2. Vaya a Identidad>Administración híbrida>Microsoft Entra Connect>Cloud Sync. Captura de pantalla de la página de inicio de Cloud Sync..

  1. En Configuración, seleccione su configuración.

  2. A la izquierda, seleccione Aprovisionar a petición.

  3. Escriba Marketing en el cuadro de Grupo seleccionado

  4. En la sección Usuarios seleccionados, seleccione algunos usuarios para probar. Seleccione Lola Jacobson y John Smith.

  5. Haga clic en Aprovisionar. Debe aprovisionar correctamente. Captura de pantalla del aprovisionamiento correcto.

  6. Ahora pruebe con el grupo Ventas y agregue Britta Simon y Anna Ringdahl. Esto no debería aprovisionar. Captura de pantalla del aprovisionamiento que se está bloqueando.

  7. En Active Directory, debería ver el grupo Marketing recién creado. Captura de pantalla del nuevo grupo en usuarios y equipos de Active Directory.

Pasos siguientes