Bagikan melalui

Skenario - Menggunakan ekstensi direktori dengan provisi grup ke Direktori Aktif

  • Artikel

Skenario: Anda memiliki ratusan grup di ID Microsoft Entra. Anda ingin menyediakan beberapa grup ini tetapi tidak semua kembali ke Direktori Aktif. Anda ingin filter cepat yang dapat diterapkan ke grup tanpa harus membuat filter cakupan yang lebih rumit.

Diagram tulis balik grup dengan sinkronisasi cloud.

Anda dapat menggunakan lingkungan yang Anda buat dalam skenario ini untuk pengujian atau untuk lebih terbiasa dengan sinkronisasi cloud.

Asumsi

  • Skenario ini mengasumsikan bahwa Anda sudah memiliki lingkungan kerja yang menyinkronkan pengguna ke ID Microsoft Entra.
  • Kami memiliki 4 pengguna yang disinkronkan. Britta Simon, Lola Jacobson, Anna Ringdahl, dan John Smith.
  • Tiga Unit organisasi telah dibuat di Direktori Aktif - Penjualan, Pemasaran, dan Grup
  • Akun pengguna Britta Simon dan Anna Ringdahl berada di Unit Organisasi Penjualan.
  • Akun pengguna Lola Jacobson dan John Smith berada di Unit Organisasi Pemasaran.
  • Groups OU adalah tempat grup kami dari MICROSOFT Entra ID disediakan.

Tip

Untuk pengalaman yang lebih baik mengeksekusi cmdlet Microsoft Graph PowerShell SDK, gunakan Visual Studio Code dengan ms-vscode.powershell ekstensi dalam Mode ISE.

Membuat dua grup di ID Microsoft Entra

Untuk memulai, buat dua grup di ID Microsoft Entra. Satu grup adalah Penjualan dan yang lainnya adalah Pemasaran.

Untuk membuat dua grup, ikuti langkah-langkah ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke Grup>Identitas>Semua grup.
  3. Di bagian atas, klik Grup baru.
  4. Pastikan jenis Grup diatur ke keamanan.
  5. Untuk Nama Grup masukkan Penjualan
  6. Untuk Jenis keanggotaan, tetap tetap ditugaskan.
  7. Klik Buat.
  8. Ulangi proses ini menggunakan Pemasaran sebagai Nama Grup.

Menambahkan pengguna ke grup yang baru dibuat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke Grup>Identitas>Semua grup.
  3. Di bagian atas, di kotak pencarian, masukkan Penjualan.
  4. Klik grup Penjualan baru.
  5. Di sebelah kiri, klik Anggota
  6. Di bagian atas, klik Tambahkan anggota.
  7. Di bagian atas, di kotak pencarian, masukkan Britta Simon.
  8. Periksa di samping Britta Simon dan Anna Ringdahl dan klik Pilih
  9. Itu harus berhasil menambahkannya ke grup.
  10. Di ujung kiri, klik Semua grup dan ulangi proses ini menggunakan grup Pemasaran dan tambahkan Lola Jacobson dan John Smith ke grup tersebut.

Catatan

Saat menambahkan pengguna ke grup Pemasaran, catat ID grup di halaman gambaran umum. ID ini digunakan nanti untuk menambahkan properti yang baru dibuat ke grup.

Menginstal dan menyambungkan Microsoft Graph PowerShell SDK

  1. Jika belum diinstal, ikuti dokumentasi Microsoft Graph PowerShell SDK untuk menginstal modul utama Microsoft Graph PowerShell SDK: Microsoft.Graph.

  2. Buka PowerShell dengan hak istimewa Administratif

  3. Untuk mengatur kebijakan eksekusi, jalankan (tekan [A] Ya ke semua saat diminta):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Sambungkan ke penyewa Anda (Pastikan untuk menerima atas nama saat masuk):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Buat aplikasi CloudSyncCustomExtensionApp dan perwakilan layanan kami

Penting

Ekstensi direktori untuk Microsoft Entra Cloud Sync hanya didukung untuk aplikasi dengan URI pengidentifikasi "api://< tenantId>/CloudSyncCustomExtensionsApp" dan Aplikasi Ekstensi Skema Penyewa yang dibuat oleh Microsoft Entra Connect.

  1. Dapatkan ID Penyewa:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Catatan

Ini akan menghasilkan ID Penyewa kami saat ini. Anda dapat mengonfirmasi ID Penyewa ini dengan menavigasi ke Gambaran Umum Identitas > pusat> admin Microsoft Entra.

  1. $tenantId Dengan menggunakan variabel dari langkah sebelumnya, periksa untuk melihat apakah CloudSyncCustomExtensionApp ada.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Jika CloudSyncCustomExtensionApp ada, lewati ke langkah berikutnya. Jika tidak, buat aplikasi CloudSyncCustomExtensionApp baru:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Periksa apakah aplikasi CloudSyncCustomExtensionsApp memiliki prinsip keamanan yang terkait. Jika Anda baru saja membuat aplikasi baru, lewati ke langkah berikutnya.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Jika Anda baru saja membuat aplikasi baru atau prinsip keamanan tidak dikembalikan, buat prinsip keamanan untuk CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Membuat atribut ekstensi kustom kami

Tip

Dalam skenario ini kita akan membuat atribut ekstensi kustom yang disebut WritebackEnabled untuk digunakan dalam filter cakupan Microsoft Entra Cloud Sync, sehingga hanya grup dengan WritebackEnabled yang diatur ke True yang ditulis kembali ke Direktori Aktif lokal, mirip dengan bendera yang diaktifkan Writeback di pusat admin Microsoft Entra.

  1. Dapatkan aplikasi CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Sekarang, di bawah CloudSyncCustomExtensionApp, buat atribut ekstensi kustom yang disebut "WritebackEnabled" dan tetapkan ke objek Grup:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Cmdlet ini membuat atribut ekstensi yang terlihat seperti extension_<guid>_WritebackEnabled.

Membuat konfigurasi sinkronisasi cloud kami

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

  2. Telusuri ke Sinkronisasi Cloud Microsoft Entra Connect>Manajemen>Hibrid Identitas.>

  3. Pilih Konfigurasi baru.

  4. Pilih Microsoft Entra ID ke sinkronisasi AD.

Cuplikan layar pemilihan konfigurasi.

  1. Pada layar konfigurasi, pilih domain dan apakah Anda akan mengaktifkan sinkronisasi hash kata sandi. Klik Buat.

Cuplikan layar konfigurasi baru.

  1. Layar Memulai terbuka. Dari sini, Anda dapat terus mengonfigurasi sinkronisasi cloud

  2. Di sebelah kiri, klik Filter cakupan pilih Lingkup - Grup Semua grup

  3. Klik Edit pemetaan atribut dan ubah Kontainer Target menjadi OU=Groups,DC=Contoso,DC=com. Klik Simpan.

  4. Klik Tambahkan filter cakupan Atribut

  5. Ketik nama untuk filter cakupan: Filter groups with Writeback Enabled

  6. Di bawah Atribut Target pilih atribut yang baru dibuat yang terlihat seperti extension_<guid>_WritebackEnabled.

Penting

Beberapa atribut target yang ditampilkan dalam daftar dropdown mungkin tidak dapat digunakan sebagai filter cakupan karena tidak semua properti dapat dikelola di ID Entra, misalnya extensionAttribute[1-15], oleh karena itu rekomendasinya adalah membuat properti ekstensi kustom untuk tujuan khusus ini. Cuplikan layar atribut yang tersedia.

  1. Di bawah Operator pilih IS TRUE
  2. Klik Simpan. Dan klik Simpan.
  3. Biarkan konfigurasi dinonaktifkan dan kembali ke konfigurasi tersebut.

Menambahkan properti ekstensi baru ke salah satu grup kami

Untuk bagian ini, kami akan menambahkan nilai pada properti yang baru dibuat ke salah satu grup kami yang sudah ada, Marketing.

Mengatur nilai properti ekstensi menggunakan Microsoft Graph PowerShell SDK

  1. $cloudSyncCustomExtApp Gunakan variabel dari langkah sebelumnya untuk mendapatkan properti ekstensi kami:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Sekarang, dapatkan Marketing grup:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Kemudian, dengan variabel $gwbEnabledExtName yang berisi extension_<guid>_WritebackEnabled, atur nilai True untuk grup Pemasaran:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Untuk mengonfirmasi, Anda dapat membaca extension_<guid>_WritebackEnabled nilai properti dengan:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Mengatur nilai properti ekstensi menggunakan Microsoft Graph Explorer

Anda perlu memastikan bahwa Anda telah menyetujui .Group.ReadWrite.All Anda dapat melakukan ini dengan memilih Ubah izin.

  1. Menavigasi ke Microsoft Graph Explorer

  2. Masuk menggunakan akun administrator penyewa Anda. Ini mungkin perlu menjadi akun Administrator Identitas Hibrid. Akun Administrator Identitas Hibrid digunakan dalam membuat skenario ini. Akun Administrator Identitas Hibrid mungkin cukup.

  3. Di bagian atas, ubah GET ke PATCH

  4. Dalam kotak alamat masukkan: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. Di isi Permintaan masukkan:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Klik Jalankan kueriCuplikan layar menjalankan kueri grafik.

  7. Jika dilakukan dengan benar, Anda akan melihat [].

  8. Sekarang di bagian atas, ubah PATCH ke GET dan lihat properti grup pemasaran.

  9. Klik Jalankan kueri. Anda akan melihat atribut yang baru dibuat. Cuplikan layar properti grup.

Uji konfigurasi kami

Catatan

Saat menggunakan provisi sesuai permintaan, anggota tidak diprovisikan secara otomatis. Anda perlu memilih anggota mana yang ingin Anda uji dan ada batas 5 anggota.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Hibrid.
  2. Telusuri ke Manajemen>Hibrid Identitas>sinkronisasi Microsoft Entra Connect>Cloud.Cuplikan layar beranda sinkronisasi cloud.
  1. Di bawah Konfigurasi, pilih konfigurasi Anda.
  2. Di sebelah kiri, pilih Provisi sesuai permintaan.
  3. Masukkan Pemasaran dalam kotak Grup yang dipilih
  4. Dari bagian Pengguna yang dipilih, pilih beberapa pengguna untuk diuji. Pilih Lola Jacobson dan John Smith.
  5. Klik Provisi. Ini harus berhasil disediakan. Cuplikan layar provisi yang berhasil.
  6. Sekarang coba dengan grup Penjualan dan tambahkan Britta Simon dan Anna Ringdahl. Ini seharusnya tidak menyediakan. Cuplikan layar provisi diblokir.
  7. Di Direktori Aktif, Anda akan melihat grup Pemasaran yang baru dibuat. Cuplikan layar grup baru di pengguna direktori aktif dan komputer.
  8. Sekarang Anda dapat menelusuri ke halaman Gambaran Umum sinkronisasi > Identity>Hybrid Management>Microsoft Entra Connect>Cloud untuk Meninjau dan Mengaktifkan konfigurasi kami untuk mulai menyinkronkan.

Langkah berikutnya