Megosztás a következőn keresztül:


Oktatóanyag – Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával

Ez az oktatóanyag bemutatja, hogyan hozhat létre és konfigurálhat felhőszinkronizálást a csoportok szinkronizálásához helyi Active Directory.

Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek

A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Általános követelmények

  • Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
  • Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
    • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
  • Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.

Feljegyzés

A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.

Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra

  • A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
    • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
  • Microsoft Entra Connect Sync a 2.2.8.0-s vagy újabb buildtel
    • A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
    • Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier

Támogatott csoportok és méretezési korlátok

A következők támogatottak:

  • Csak a felhőben létrehozott biztonsági csoportok támogatottak
  • Ezek a csoportok hozzárendelt vagy dinamikus tagsági csoportokkal rendelkezhetnek.
  • Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
  • A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
  • Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
  • Az 50 000 tagnál nagyobb csoportok nem támogatottak.
  • A 150 000-nél több objektummal rendelkező bérlők nem támogatottak. Ez azt jelenti, hogy ha egy bérlő 150 000-t meghaladó felhasználók és csoportok kombinációjával rendelkezik, a bérlő nem támogatott.
  • Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
  • A Microsoft Entra ID és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.

További információk

Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.

  • Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
  • Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
  • Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
  • AzPremisesObjectIdentifier attribútumon a helyszíni felhasználók objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
  • Ha a Microsoft Entra Connect Sync (2.2.8.0) használatával szinkronizálja a felhasználókat a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak a 2.2.8.0-s vagy újabb verziójának kell lennie.
  • Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
  • A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.

Feltételezések

Ez az oktatóanyag a következőket feltételezi:

  • Helyszíni Active Directory-környezettel rendelkezik
  • Felhőszinkronizálási beállítással szinkronizálhatja a felhasználókat a Microsoft Entra-azonosítóval.
  • Két szinkronizált felhasználója van. Britta Simon és Lola Jacobson. Ezek a felhasználók a helyszínen és a Microsoft Entra-azonosítóban is léteznek.
  • Három szervezeti egység jött létre az Active Directoryban – csoportok, értékesítések és marketing. A következő megkülönböztetőnevekkel rendelkeznek:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Hozzon létre két csoportot a Microsoft Entra-azonosítóban.

Először két csoportot hozunk létre a Microsoft Entra ID-ban. Az egyik csoport az Értékesítés, a másik a Marketing.

Két csoport létrehozásához kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
  2. Tallózással keresse meg a Minden csoport identitáscsoportot>>.
  3. A lap tetején kattintson az Új csoport elemre.
  4. Győződjön meg arról, hogy a csoport típusa biztonságra van állítva.
  5. A csoportnévnél adja meg a Sales (Értékesítés) értéket
  6. Tagságtípus esetén tartsa a hozzárendelt helyen.
  7. Kattintson a Létrehozás gombra.
  8. Ismételje meg ezt a folyamatot a Marketing csoportnév használatával.

Felhasználók hozzáadása az újonnan létrehozott csoportokhoz

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
  2. Tallózással keresse meg a Minden csoport identitáscsoportot>>.
  3. Felül, a keresőmezőbe írja be a Sales (Értékesítés) kifejezést.
  4. Kattintson az új Értékesítési csoportra.
  5. A bal oldalon kattintson a Tagok elemre
  6. A lap tetején kattintson a Tagok hozzáadása elemre.
  7. Felül, a keresőmezőbe írja be Britta Simont.
  8. Jelölje be Britta Simont, és kattintson a Kiválasztás gombra
  9. Sikeresen hozzá kell adnia őt a csoporthoz.
  10. A bal szélen kattintson a Minden csoport elemre, és ismételje meg ezt a folyamatot a Sales csoport használatával, és adja hozzá Lola Jacobsont a csoporthoz.

Kiépítés konfigurálása

A kiépítés konfigurálásához kövesse az alábbi lépéseket.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
  2. Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.Képernyőkép a felhőszinkronizálás kezdőlapjáról.
  1. Válassza az Új konfiguráció lehetőséget.

  2. Válassza a Microsoft Entra-azonosítót az AD-szinkronizáláshoz. Képernyőkép a konfiguráció kiválasztásáról.

  3. A konfigurációs képernyőn válassza ki a tartományt, és engedélyezze-e a jelszókivonat-szinkronizálást. Kattintson a Létrehozás gombra. Képernyőkép egy új konfigurációról.

  4. Megnyílik az Első lépések képernyő. Innen folytathatja a felhőszinkronizálás konfigurálását

  5. A bal oldalon kattintson a Hatókörszűrők elemre.

  6. A Csoport hatóköre csoportban állítsa be az Összes biztonsági csoportra

  7. A Céltároló területen kattintson az Attribútumleképezés szerkesztése elemre. Képernyőkép a hatókörszűrők szakaszairól.

  8. Leképezés típusának módosítása Kifejezésre

  9. A kifejezésmezőbe írja be a következőket: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Módosítsa az alapértelmezett értéket OU=Groups,DC=contoso,DC=com értékre . Képernyőkép a hatókörszűrő-kifejezésről.

  11. Kattintson az Alkalmaz gombra – Ez a csoport displayName attribútumától függően módosítja a céltárolót.

  12. Kattintson a Mentés gombra

  13. A bal oldalon kattintson az Áttekintés gombra

  14. A lap tetején kattintson a Véleményezés és engedélyezés gombra

  15. A jobb oldalon kattintson a Konfiguráció engedélyezése elemre

Konfiguráció tesztelése

Feljegyzés

Igény szerinti kiépítés esetén a tagok nem lesznek automatikusan kiugróan kiugróan. Ki kell választania, hogy mely tagokat szeretné tesztelni, és 5 tagkorlát van érvényben.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid rendszergazdaként.
  2. Tallózással keresse meg az Identity>Hybrid Management>Microsoft Entra Connect>Cloud szinkronizálását.Képernyőkép a felhőszinkronizálás kezdőlapjáról.
  1. A Konfiguráció területen válassza ki a konfigurációt.

  2. A bal oldalon válassza az Igény szerinti kiépítés lehetőséget.

  3. Adja meg az értékesítést a Kijelölt csoport mezőben

  4. A Kijelölt felhasználók szakaszban válasszon ki néhány tesztelni kívánt felhasználót. Képernyőkép a tagok hozzáadásáról.

  5. Kattintson a Kiépítés gombra.

  6. Látnia kell a kiépített csoportot.

Képernyőkép az igény szerinti sikeres üzembe helyezésről.

Ellenőrzés az Active Directoryban

Most már meggyőződhet arról, hogy a csoport ki van építve az Active Directoryban.

Végezze el az alábbi műveleteket:

  1. Jelentkezzen be a helyszíni környezetbe.
  2. Active Directory - felhasználók és számítógépek indítása
  3. Ellenőrizze, hogy az új csoport ki van-e építve. Képernyőkép az újonnan kiépített csoportról.

Következő lépések