Bagikan melalui


Tutorial - Memprovisikan grup ke Direktori Aktif menggunakan Microsoft Entra Cloud Sync

Tutorial ini memandu Anda membuat dan mengonfigurasi sinkronisasi cloud untuk menyinkronkan grup ke Active Directory lokal.

Memprovisikan ID Microsoft Entra ke Direktori Aktif - Prasyarat

Prasyarat berikut diperlukan untuk menerapkan grup provisi ke Direktori Aktif.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.

Persyaratan umum

  • Akun Microsoft Entra dengan setidaknya peran Administrator Identitas Hibrid.
  • Lingkungan Active Directory Domain Services lokal dengan sistem operasi Windows Server 2016 atau yang lebih baru.
    • Diperlukan untuk atribut Skema AD - msDS-ExternalDirectoryObjectId
  • Agen provisi dengan build versi 1.1.1370.0 atau yang lebih baru.

Catatan

Izin ke akun layanan ditetapkan selama penginstalan bersih saja. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual menggunakan cmdlet PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jika izin diatur secara manual, Anda perlu memastikan bahwa Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.

Izin ini tidak diterapkan ke objek AdminSDHolder secara default cmdlet Microsoft Entra provisioning agent gMSA PowerShell

  • Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
    • Diperlukan untuk pencarian katalog global untuk memfilter referensi keanggotaan yang tidak valid
  • Sinkronisasi Microsoft Entra Connect dengan build versi 2.2.8.0 atau yang lebih baru
    • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Sinkronisasi Microsoft Entra Connect
    • Diperlukan untuk menyinkronkan AD:user:objectGUID ke AAD:user:onPremisesObjectIdentifier

Grup dan batas skala yang didukung

Berikut ini didukung:

  • Hanya grup Keamanan yang dibuat cloud yang didukung
  • Grup ini dapat memiliki grup keanggotaan yang ditetapkan atau dinamis.
  • Grup ini hanya dapat berisi pengguna lokal yang disinkronkan dan /atau grup keamanan yang dibuat cloud tambahan.
  • Akun pengguna lokal yang disinkronkan dan merupakan anggota grup keamanan yang dibuat cloud ini, dapat berasal dari domain atau lintas domain yang sama, tetapi semuanya harus berasal dari forest yang sama.
  • Grup-grup ini ditulis kembali dengan cakupan grup AD universal. Lingkungan lokal Anda harus mendukung cakupan grup universal.
  • Grup yang lebih besar dari 50.000 anggota tidak didukung.
  • Penyewa yang memiliki lebih dari 150.000 objek tidak didukung. Artinya, jika penyewa memiliki kombinasi pengguna dan grup yang melebihi objek 150K, penyewa tidak didukung.
  • Setiap grup berlapis anak langsung dihitung sebagai satu anggota dalam grup referensi
  • Rekonsiliasi grup antara MICROSOFT Entra ID dan Active Directory tidak didukung jika grup diperbarui secara manual di Direktori Aktif.

Informasi Tambahan

Berikut ini adalah informasi tambahan tentang provisi grup ke Direktori Aktif.

  • Grup yang disediakan untuk AD menggunakan sinkronisasi cloud hanya dapat berisi pengguna lokal yang disinkronkan dan/atau grup keamanan yang dibuat cloud tambahan.
  • Pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang ditetapkan di akun mereka.
  • OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD target.
  • Atribut objectGUID pengguna lokal ke atribut pengguna cloud onPremisesObjectIdentifier dapat disinkronkan menggunakan Microsoft Entra Cloud Sync (1.1.1370.0) atau Microsoft Entra Connect Sync (2.2.8.0)
  • Jika Anda menggunakan Sinkronisasi Microsoft Entra Connect (2.2.8.0) untuk menyinkronkan pengguna, alih-alih Microsoft Entra Cloud Sync, dan ingin menggunakan Provisi ke AD, itu harus 2.2.8.0 atau yang lebih baru.
  • Hanya penyewa MICROSOFT Entra ID reguler yang didukung untuk provisi dari ID Microsoft Entra ke Direktori Aktif. Penyewa seperti B2C tidak didukung.
  • Pekerjaan provisi grup dijadwalkan untuk berjalan setiap 20 menit.

Asumsi

Tutorial ini mengasumsikan hal berikut:

  • Anda memiliki lingkungan lokal Active Directory
  • Anda memiliki penyiapan sinkronisasi cloud untuk menyinkronkan pengguna ke ID Microsoft Entra.
  • Anda memiliki dua pengguna yang disinkronkan. Britta Simon dan Lola Jacobson. Pengguna ini ada di tempat dan di ID Microsoft Entra.
  • Tiga Unit Organisasi telah dibuat di Direktori Aktif - Grup, Penjualan, dan Pemasaran. Mereka memiliki distinguishedNames berikut:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Buat dua grup di ID Microsoft Entra.

Untuk memulai, kami membuat dua grup di MICROSOFT Entra ID. Satu grup adalah Penjualan dan yang lainnya adalah Pemasaran.

Untuk membuat dua grup, ikuti langkah-langkah ini.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke Grup>Identitas>Semua grup.
  3. Di bagian atas, klik Grup baru.
  4. Pastikan jenis Grup diatur ke keamanan.
  5. Untuk Nama Grup masukkan Penjualan
  6. Untuk Jenis keanggotaan, tetap tetap ditugaskan.
  7. Klik Buat.
  8. Ulangi proses ini menggunakan Pemasaran sebagai Nama Grup.

Menambahkan pengguna ke grup yang baru dibuat

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke Grup>Identitas>Semua grup.
  3. Di bagian atas, di kotak pencarian, masukkan Penjualan.
  4. Klik grup Penjualan baru.
  5. Di sebelah kiri, klik Anggota
  6. Di bagian atas, klik Tambahkan anggota.
  7. Di bagian atas, di kotak pencarian, masukkan Britta Simon.
  8. Masukkan cek di samping Britta Simon dan klik Pilih
  9. Itu harus berhasil menambahkannya ke grup.
  10. Di ujung kiri, klik Semua grup dan ulangi proses ini menggunakan grup Penjualan dan tambahkan Lola Jacobson ke grup tersebut.

Konfigurasikan penyediaan

Untuk mengonfigurasi penyediaan, ikuti langkah-langkah berikut.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Hibrid.
  2. Telusuri ke Manajemen>Hibrid Identitas>sinkronisasi Microsoft Entra Connect>Cloud.Cuplikan layar beranda sinkronisasi cloud.
  1. Pilih Konfigurasi baru.

  2. Pilih Microsoft Entra ID ke sinkronisasi AD. Cuplikan layar pemilihan konfigurasi.

  3. Pada layar konfigurasi, pilih domain dan apakah Anda akan mengaktifkan sinkronisasi hash kata sandi. Klik Buat. Cuplikan layar konfigurasi baru.

  4. Layar Memulai terbuka. Dari sini, Anda dapat terus mengonfigurasi sinkronisasi cloud

  5. Di sebelah kiri, klik Filter cakupan.

  6. Di bawah Cakupan grup atur ke Semua Grup keamanan

  7. Di bawah Kontainer target klik Edit pemetaan atribut. Cuplikan layar bagian filter cakupan.

  8. Ubah jenis Pemetaan menjadi Ekspresi

  9. Dalam kotak ekspresi, masukkan yang berikut ini: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Ubah nilai Default menjadi OU=Groups,DC=contoso,DC=com. Cuplikan layar ekspresi filter cakupan.

  11. Klik Terapkan - Ini mengubah kontainer target tergantung pada atribut displayName grup.

  12. Klik Simpan

  13. Di sebelah kiri, klik Gambaran Umum

  14. Di bagian atas, klik Tinjau dan aktifkan

  15. Di sebelah kanan, klik Aktifkan konfigurasi

Konfigurasi pengujian

Catatan

Saat menggunakan provisi sesuai permintaan, anggota tidak secara otomatis diprovisi. Anda perlu memilih anggota mana yang ingin Anda uji dan ada batas 5 anggota.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Hibrid.
  2. Telusuri ke Manajemen>Hibrid Identitas>sinkronisasi Microsoft Entra Connect>Cloud.Cuplikan layar beranda sinkronisasi cloud.
  1. Di bawah Konfigurasi, pilih konfigurasi Anda.

  2. Di sebelah kiri, pilih Provisi sesuai permintaan.

  3. Masukkan Penjualan dalam kotak Grup yang dipilih

  4. Dari bagian Pengguna yang dipilih, pilih beberapa pengguna untuk diuji. Cuplikan layar menambahkan anggota.

  5. Klik Provisi.

  6. Anda akan melihat grup yang disediakan.

Cuplikan layar provisi yang berhasil sesuai permintaan.

Verifikasi di Direktori Aktif

Sekarang Anda dapat memastikan grup diprovisikan ke Direktori Aktif.

Lakukan:

  1. Masuk ke lingkungan lokal Anda.
  2. Luncurkan Pengguna dan Komputer Direktori Aktif
  3. Verifikasi bahwa grup baru telah disediakan. Cuplikan layar grup yang baru disediakan.

Langkah berikutnya