Oktatóanyag – Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával
Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat felhőszinkronizálást a csoportok szinkronizálásához helyi Active Directory.
Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek
A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.
Licenckövetelmények
A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.
Általános követelmények
- Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
- Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.
Feljegyzés
A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.
Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra
- A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
- Microsoft Entra Connect Sync a 2.2.8.0-s vagy újabb buildtel
- A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
- Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier
Támogatott csoportok és méretezési korlátok
A következők támogatottak:
- Csak a felhőben létrehozott biztonsági csoportok támogatottak
- Ezek a csoportok hozzárendelt vagy dinamikus tagsági csoportokkal rendelkezhetnek.
- Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
- A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
- Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
- Az 50 000 tagnál nagyobb csoportok nem támogatottak.
- A 150 000-nél több objektummal rendelkező bérlők nem támogatottak. Ez azt jelenti, hogy ha egy bérlő 150 000-t meghaladó felhasználók és csoportok kombinációjával rendelkezik, a bérlő nem támogatott.
- Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
- A Microsoft Entra ID és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.
További információk
Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.
- Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
- Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
- Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
- AzPremisesObjectIdentifier attribútumon a helyszíni felhasználók objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
- Ha a Microsoft Entra Connect Sync (2.2.8.0) használatával szinkronizálja a felhasználókat a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak a 2.2.8.0-s vagy újabb verziójának kell lennie.
- Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
- A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.
Feltételezések
Ez az oktatóanyag a következőket feltételezi:
- Helyszíni Active Directory-környezettel rendelkezik
- Felhőszinkronizálási beállítással szinkronizálhatja a felhasználókat a Microsoft Entra-azonosítóval.
- Két szinkronizált felhasználója van. Britta Simon és Lola Jacobson. Ezek a felhasználók a helyszínen és a Microsoft Entra-azonosítóban is léteznek.
- Három szervezeti egység jött létre az Active Directoryban – csoportok, értékesítések és marketing. A következő megkülönböztetőnevekkel rendelkeznek:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Hozzon létre két csoportot a Microsoft Entra-azonosítóban.
Először két csoportot hozunk létre a Microsoft Entra ID-ban. Az egyik csoport az Értékesítés, a másik a Marketing.
Két csoport létrehozásához kövesse az alábbi lépéseket.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
- Tallózással keresse meg a Minden csoport identitáscsoportot>>.
- A lap tetején kattintson az Új csoport elemre.
- Győződjön meg arról, hogy a csoport típusa biztonságra van állítva.
- A csoportnévnél adja meg a Sales (Értékesítés) értéket
- Tagságtípus esetén tartsa a hozzárendelt helyen.
- Kattintson a Létrehozás gombra.
- Ismételje meg ezt a folyamatot a Marketing csoportnév használatával.
Felhasználók hozzáadása az újonnan létrehozott csoportokhoz
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
- Tallózással keresse meg a Minden csoport identitáscsoportot>>.
- Felül, a keresőmezőbe írja be a Sales (Értékesítés) kifejezést.
- Kattintson az új Értékesítési csoportra.
- A bal oldalon kattintson a Tagok elemre
- A lap tetején kattintson a Tagok hozzáadása elemre.
- Felül, a keresőmezőbe írja be Britta Simont.
- Jelölje be Britta Simont, és kattintson a Kiválasztás gombra
- Sikeresen hozzá kell adnia őt a csoporthoz.
- A bal szélen kattintson a Minden csoport elemre, és ismételje meg ezt a folyamatot a Sales csoport használatával, és adja hozzá Lola Jacobsont a csoporthoz.
Kiépítés konfigurálása
A kiépítés konfigurálásához kövesse az alábbi lépéseket.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
Válassza az Új konfiguráció lehetőséget.
Válassza a Microsoft Entra-azonosítót az AD-szinkronizáláshoz.
A konfigurációs képernyőn válassza ki a tartományt, és engedélyezze-e a jelszókivonat-szinkronizálást. Kattintson a Létrehozás gombra.
Megnyílik az Első lépések képernyő. Innen folytathatja a felhőszinkronizálás konfigurálását
A bal oldalon kattintson a Hatókörszűrők elemre.
A Csoport hatóköre csoportban állítsa be az Összes biztonsági csoportra
A Céltároló területen kattintson az Attribútumleképezés szerkesztése elemre.
Leképezés típusának módosítása Kifejezésre
A kifejezésmezőbe írja be a következőket:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
Módosítsa az alapértelmezett értéket OU=Groups,DC=contoso,DC=com értékre .
Kattintson az Alkalmaz gombra – Ez a csoport displayName attribútumától függően módosítja a céltárolót.
Kattintson a Mentés gombra
A bal oldalon kattintson az Áttekintés gombra
A lap tetején kattintson a Véleményezés és engedélyezés gombra
A jobb oldalon kattintson a Konfiguráció engedélyezése elemre
Konfiguráció tesztelése
Feljegyzés
Igény szerinti kiépítés esetén a tagok nem lesznek automatikusan kiugróan kiugróan. Ki kell választania, hogy mely tagokat szeretné tesztelni, és 5 tagkorlát van érvényben.
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
- Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.
A Konfiguráció területen válassza ki a konfigurációt.
A bal oldalon válassza az Igény szerinti kiépítés lehetőséget.
Adja meg az értékesítést a Kijelölt csoport mezőben
A Kijelölt felhasználók szakaszban válasszon ki néhány tesztelni kívánt felhasználót.
Kattintson a Kiépítés gombra.
Látnia kell a kiépített csoportot.
Ellenőrzés az Active Directoryban
Most már meggyőződhet arról, hogy a csoport ki van építve az Active Directoryban.
Végezze el az alábbi műveleteket:
- Jelentkezzen be a helyszíni környezetbe.
- Active Directory - felhasználók és számítógépek indítása
- Ellenőrizze, hogy az új csoport ki van-e építve.