Partage via

Scénario : utilisation d’extensions de répertoire avec l’approvisionnement de groupes dans Active Directory

  • Article

Scénario : vous avez des centaines de groupes dans Microsoft Entra ID. Vous souhaitez approvisionner certains de ces groupes, mais pas tous dans Active Directory. Vous souhaitez un filtre rapide que vous pouvez appliquer à des groupes sans avoir à créer un filtre d’étendue plus compliqué.

Diagramme de l’écriture différée de groupe avec synchronisation cloud.

Vous pouvez utiliser l’environnement que vous créez dans ce scénario à des fins de test, ou pour vous familiariser avec la synchronisation cloud.

Hypothèses

  • Ce scénario suppose que vous disposez déjà d’un environnement de travail qui synchronise les utilisateurs sur Microsoft Entra ID.
  • Nous avons 4 utilisateurs synchronisés. Britta Simon, Lola Jacobson, Anna Ringdahl, et John Smith.
  • Trois unités d’organisation ont été créées dans Active Directory : Sales, Marketing et Groupes
  • Les comptes d’utilisateur de Britta Simon et d’Anna Ringdahl résident dans l’unité d’organisation Sales.
  • Les comptes d’utilisateur de Lola Jacobson et de John Smith résident dans l’unité d’organisation Marketing.
  • L’unité d’organisation Groupes est l’emplacement où nos groupes de Microsoft Entra ID sont approvisionnés.

Créer deux groupes dans Microsoft Entra ID

Pour commencer, créez deux groupes dans Microsoft Entra ID. Un groupe est Sales et l’autre est Marketing.

Pour créer deux groupes, suivez ces étapes.

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Groupes>Tous les groupes.
  3. En haut, cliquez sur Nouveau groupe.
  4. Vérifiez que le type de groupe est défini sur sécurité.
  5. Pour le nom du groupe, entrez Sales.
  6. Conservez le type d’appartenance sur attribué.
  7. Cliquez sur Créer.
  8. Répétez ce processus en utilisant Marketing comme nom de groupe.

Ajouter des utilisateurs aux groupes nouvellement créés

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Groupes>Tous les groupes.
  3. En haut, dans la zone de recherche, entrez Sales.
  4. Cliquez sur le nouveau groupe Sales.
  5. À gauche, cliquez sur Membres.
  6. En haut, cliquez sur Ajouter des membres.
  7. En haut, dans la zone de recherche, entrez Britta Simon.
  8. Cochez les cases en regard de Britta Simon et d’Anna Ringdahl, puis cliquez sur Sélectionner.
  9. Cela permet normalement de l’ajouter au groupe.
  10. À l’extrême gauche, cliquez sur Tous les groupes, puis répétez ce processus en utilisant le groupe Marketing et en ajoutant Lola Jacobson et John Smith à ce groupe.

Remarque

Lors de l’ajout d’utilisateurs au groupe Marketing, notez l’ID de groupe sur la page de présentation. Cet ID servira ultérieurement à ajouter notre propriété nouvellement créée au groupe.

Récupérer votre ID de locataire

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Vue d’ensemble.
  3. Notez votre ID de tenant, puis copiez-le pour une utilisation ultérieure.

Créer l’application CloudSyncCustomExtensionApp et le principal de service

Important

L’extension de répertoire pour Microsoft Entra Cloud Sync est uniquement prise en charge pour les applications avec l’URI d’identificateur « api://<tenantId>/CloudSyncCustomExtensionsApp » et l’application Tenant Schema Extension App créée par Microsoft Entra Connect.

  1. Sur une machine locale, ouvrez PowerShell avec des privilèges d’administrateur.
  2. Pour définir la stratégie d’exécution, exécutez (appuyez sur [A] Oui pour tous lorsque vous y êtes invité) :
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. Pour installer le module v1 du Kit de développement logiciel (SDK) dans PowerShell Core ou Windows PowerShell, exécutez la commande suivante. Appuyez sur [O] Oui à l’invite.
Install-Module Microsoft.Graph -Scope CurrentUser
  1. Connectez-vous à votre tenant (veillez à accepter au nom du tenant lors de la connexion)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. Vérifiez si l’application CloudSyncCustomExtensionApp existe.
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. Si elle existe, notez l’ID appId, puis passez à l’étape 8. Dans le cas contraire, créez l’application.
  2. Créez l’application CloudSyncCustomExtensionApp. Remplacez <ID tenant> par votre ID de tenant. Copiez l’ID et l’ID d’application qui apparaissent après la création.
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. Si l’application existe, vérifiez si elle a un principal de sécurité. Remplacez <id application> par votre ID d’application.
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. Si vous venez de créer l’application, créez un principal de sécurité. Remplacez <id application> par votre ID d’application.

    New-MgServicePrincipal -AppId '<appId>'

Créer notre configuration d’extension et de synchronisation cloud

  1. Nous allons maintenant créer notre attribut personnalisé, puis l’affecter à l’application CloudSyncCustomExtensionApp. Remplacez <id> par votre ID. Utilisez l’ID d’objet de l’application.
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. Le programme vous demandera peut-être d’entrer à nouveau l’ID. Capture d’écran de PowerShell New-MgApplicationExtensionProperty.

  2. Cette cmdlet crée un attribut qui ressemble à extension_<guid>_SynchGroup. Vous devez l’associer à un groupe, mais la cmdlet PowerShell de graphique ne retourne pas cela.

  3. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.

  4. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud.

  5. Sélectionnez Nouvelle configuration.

  6. Sélectionnez Synchronisation de Microsoft Entra ID vers AD. Capture d’écran de la sélection de la configuration.

  7. Dans l’écran Configuration, sélectionnez votre domaine et indiquez si vous souhaitez activer, ou non, la synchronisation du hachage de mot de passe. Cliquez sur Créer. Capture d’écran d’une nouvelle configuration.

  8. L’écran Démarrage s’ouvre. Depuis là, vous pouvez continuer à configurer la synchronisation cloud.

  9. À gauche, cliquez sur Filtres d’étendue sélectionnez Étendue de groupe - Tous les groupes.

  10. Cliquez sur Modifier le mappage d’attributs, puis redéfinissez le conteneur cible sur OU=Groups,DC=contoso,DC=com. Cliquez sur Enregistrer.

  11. Cliquez sur Ajouter un filtre d’étendue d’attributs.

  12. Sous Attribut cible, sélectionnez l’attribut nouvellement créé qui ressemble à extension_<guid>_SynchGroup. En outre, notez cela, car nous devons l’utiliser pour ajouter cet attribut à l’un de nos groupes. Capture d’écran des attributs disponibles.

  13. Sous Opérateur, sélectionnez PRÉSENT.

  14. Cliquez sur Enregistrer. Cliquez ensuite sur Enregistrer.

  15. Laissez la configuration désactivée, puis revenez-y.

Ajouter une nouvelle propriété d’extension à l’un de nos groupes

Pour cette partie, nous allons ajouter notre propriété nouvellement créée à l’un de nos groupes existants, Marketing. Pour ce faire, nous utilisons Microsoft Graph Explorer. Vous devez vérifier que vous avez consenti à Group.ReadWrite.All. Pour ce faire, vous pouvez sélectionner Modifier les autorisations.

  1. Accédez à https://developer.microsoft.com/graph/graph-explorer.

  2. Connectez-vous à l’aide de votre compte d’administrateur client. Il peut s’agir d’un compte d’administrateur global. Un compte d’administrateur global a été utilisé lors de la création de ce scénario. Un compte administrateur hybride peut être suffisant.

  3. En haut, remplacez GET par PATCH.

  4. Dans la zone d’adresse, entrez : https://graph.microsoft.com/v1.0/groups/<id de groupe>.

  5. Dans le corps de la demande, entrez :

    {
 extension_<guid>_SynchGroup: true
}

  6. Cliquez sur Exécuter la requêteCapture d’écran de l’exécution de la requête de graphique..

  7. Si vous avez terminé correctement, l’écran affiche [].

  8. À présent, en haut, remplacez PATCH par GET, puis examinez les propriétés du groupe marketing.

  9. Cliquez sur Exécuter la requête. L’attribut récemment créé doit apparaître sur votre système. Capture d’écran des propriétés du groupe

Tester notre configuration

Remarque

Lorsque vous utilisez l’approvisionnement à la demande, les membres ne sont pas automatiquement approvisionnés. Vous devez sélectionner les membres sur lesquels vous voulez effectuer le test, dans la limite de 5 membres.

  1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
  2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud. Capture d’écran de la page d’accueil de Synchronisation cloud.

  1. Sous Configuration, sélectionnez votre configuration.

  2. Sélectionnez Provisionnement à la demande à gauche.

  3. Entrez Marketing dans la zone Groupe sélectionné.

  4. Dans la section Utilisateurs sélectionnés, sélectionnez certains utilisateurs à tester. Sélectionnez Lola Jacobson et John Smith.

  5. Cliquez sur Approvisionner. L’approvisionné devrait s’effectuer avec succès. Capture d’écran d’un approvisionnement réussi.

  6. Essayez maintenant avec le groupe Sales, puis ajoutez Britta Simon et Anna Ringdahl. Cela ne permet normalement pas l’approvisionnement. Capture d’écran de l’approvisionnement bloqué.

  7. Dans Active Directory, le groupe Marketing nouvellement créé doit apparaître. Capture d’écran du nouveau groupe chez les utilisateurs et dans ordinateurs Active Directory.

Étapes suivantes