Tutorial - Memprovisikan grup ke Active Directory Domain Services dengan menggunakan Microsoft Entra Cloud Sync

Tutorial ini memanmbing Anda melalui cara mengonfigurasi Cloud Sync untuk menyinkronkan grup ke Active Directory Domain Services (AD DS) lokal.

Penting

Sebaiknya gunakan Grup keamanan yang dipilih sebagai filter cakupan default saat Anda mengonfigurasi provisi grup ke AD DS. Filter cakupan default ini membantu mencegah masalah performa saat Anda memprovisikan grup.

Memprovisikan ID Microsoft Entra ke Active Directory Domain Services - Prasyarat

Prasyarat berikut diperlukan untuk menerapkan grup provisi ke Active Directory Domain Services (AD DS).

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.

Persyaratan umum

• Akun Microsoft Entra dengan setidaknya peran Administrator Identitas Hibrid .
• Skema AD DS lokal dengan atribut msDS-ExternalDirectoryObjectId , yang tersedia di Windows Server 2016 dan yang lebih baru.
• Agen provisi dengan build versi 1.1.3730.0 atau yang lebih baru.

Catatan

Izin untuk akun layanan hanya diberikan selama instalasi bersih. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual dengan menggunakan PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jika izin diatur secara manual, Anda perlu menetapkan Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.

Izin ini tidak diterapkan ke objek AdminSDHolder secara default. Untuk informasi selengkapnya, lihat cmdlet Microsoft Entra provisioning agent gMSA PowerShell.

• Agen provisi harus diinstal pada server yang menjalankan Windows Server 2022, Windows Server 2019, atau Windows Server 2016.
• Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
  • Diperlukan untuk pencarian Katalog Global untuk memfilter referensi keanggotaan yang tidak valid
• Sinkronisasi Microsoft Entra Connect dengan build versi 2.22.8.0
  • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Sinkronisasi Microsoft Entra Connect
  • Diperlukan untuk menyinkronkan AD DS:user:objectGUID ke AAD DS:user:onPremisesObjectIdentifier

Batas skala untuk kelompok penyediaan ke Active Directory

Performa fitur Provisi Grup ke Direktori Aktif dipengaruhi oleh ukuran penyewa dan jumlah grup dan keanggotaan yang berada dalam cakupan provisi ke Direktori Aktif. Bagian ini memberikan panduan tentang cara menentukan apakah GPAD mendukung persyaratan skala Anda dan cara memilih mode cakupan grup yang tepat untuk mencapai siklus sinkronisasi awal dan delta yang lebih cepat.

Apa yang tidak didukung?

• Grup yang lebih besar dari anggota 50K tidak didukung.
• Penggunaan cakupan "Semua grup keamanan" tanpa menerapkan pemfilteran cakupan atribut tidak didukung.

Pembatasan skala

Mode Penentuan Lingkup	Jumlah grup dalam cakupan	Jumlah tautan keanggotaan (Hanya anggota langsung)	Catatan
Mode "Grup keamanan yang dipilih"	Hingga 10 ribu grup Panel CloudSync di portal Microsoft Entra hanya memungkinkan pemilihan hingga 999 grup serta menampilkan hingga 999 grup. Jika Anda perlu menambahkan lebih dari 1000 grup ke dalam cakupan, lihat: Pilihan grup yang diperluas melalui API.	Hingga 250K total anggota di semua grup yang dicakup.	Gunakan mode cakupan ini jika penyewa Anda melebihi SALAH SATU batas ini 1. Penyewa memiliki lebih dari 200k pengguna 2. Penyewa memiliki lebih dari 40K grup 3. Penyewa memiliki lebih dari 1M keanggotaan grup.
Mode "Semua Grup keamanan" dengan setidaknya satu filter cakupan atribut.	Hingga 20K grup.	Hingga 500K total anggota di semua grup yang termasuk dalam cakupan.	Gunakan mode cakupan ini jika penyewa Anda memenuhi SEMUA batas di bawah ini: 1. Penyewa memiliki kurang dari 200k pengguna 2. Penyewa memiliki kurang dari 40K grup 3. Penyewa memiliki keanggotaan grup kurang dari 1M.

Apa yang harus dilakukan jika Anda melebihi batas

Melebihi batas yang direkomendasikan akan memperlambat sinkronisasi awal dan delta, mungkin menyebabkan kesalahan sinkronisasi. Jika ini terjadi, ikuti langkah-langkah berikut:

Terlalu banyak grup atau anggota grup dalam mode cakupan 'Grup keamanan yang dipilih':

Kurangi jumlah grup dalam cakupan (targetkan grup nilai yang lebih tinggi), atau pisahkan provisi menjadi beberapa pekerjaan berbeda dengan cakupan yang terputus-putus.

Terlalu banyak grup atau anggota grup dalam mode cakupan 'Semua grup keamanan':

Gunakan mode cakupan grup keamanan yang dipilih seperti yang disarankan .

Beberapa grup melebihi anggota 50K:

Pisahkan keanggotaan di beberapa grup atau adopsi grup bertahap (misalnya, menurut wilayah atau unit bisnis) untuk menjaga setiap grup di bawah batas.

Pilihan grup yang diperluas melalui API

Jika Anda perlu memilih lebih dari 999 grup, Anda harus menggunakan panggilan API Grant an appRoleAssignment untuk prinsipal layanan.

Contoh panggilan API adalah sebagai berikut:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

di mana:

• principalId: ID objek grup.
• resourceId: ID perwakilan layanan pekerjaan.
• appRoleId: Pengidentifikasi peran aplikasi yang diekspos oleh perwakilan layanan sumber daya.

Tabel berikut adalah daftar ID Peran Aplikasi untuk Cloud:

Cloud	appRoleId
Umum	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

Informasi selengkapnya

Berikut adalah poin lainnya yang perlu dipertimbangkan saat Anda memprovisikan grup ke AD DS.

• Grup yang disediakan untuk AD DS menggunakan Cloud Sync hanya dapat berisi pengguna lokal yang disinkronkan atau grup keamanan lain yang dibuat cloud.
• Pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang ditetapkan di akun mereka.
• OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD DS target.
• Atribut objectGUID pengguna lokal dapat disinkronkan ke atribut onPremisesObjectIdentifier pengguna cloud dengan menggunakan klien sinkronisasi.
• Hanya penyewa ID Microsoft Entra global yang dapat memprovisikan dari ID Microsoft Entra ke AD DS. Penyewa seperti B2C tidak didukung.
• Tugas penyediaan grup dijadwalkan untuk berjalan setiap 20 menit.

Skenario SOA Grup dan Pengguna

Skenario penggunaan	Jenis grup induk	Jenis grup anggota pengguna	Arah Sinkronisasi	Cara kerja sinkronisasi
Grup keamanan yang SOA-nya berada di cloud dan semua anggota pengguna memiliki SOA lokal	Kelompok keamanan yang SOA-nya berada di cloud	Pengguna yang SOA-nya lokal	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan memprovisikan grup induk dengan semua referensi anggotanya (pengguna anggota).
Grup keamanan yang SOA-nya berada di cloud dan semua anggota pengguna memiliki SOA di cloud	Kelompok keamanan yang SOA-nya berada di cloud	Pengguna yang SOA-nya berada di cloud	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan ini menyediakan grup keamanan tetapi tidak menyediakan referensi anggota apa pun.
Grup keamanan yang SOA-nya berada di cloud dan beberapa anggota pengguna memiliki SOA di cloud sementara yang lain memiliki SOA lokal	Kelompok keamanan yang SOA-nya berada di cloud	Beberapa pengguna memiliki SOA di cloud sementara beberapa memiliki SOA lokal	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan ini menyediakan grup keamanan dan hanya menyertakan referensi anggota yang SOA-nya lokal. Ini melewati referensi anggota yang SOA-nya berada di cloud.
Grup keamanan yang SOA-nya berada di cloud dan tidak memiliki anggota pengguna	Kelompok keamanan yang SOA-nya berada di cloud	Tidak ada anggota pengguna	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan ini memprovisikan grup keamanan (keanggotaan kosong).
Grup keamanan yang SOA-nya berada di lokal dan semua anggota pengguna memiliki SOA lokal	Kelompok keamanan yang SOA-nya lokal	Pengguna yang SOA-nya lokal	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan tidak menyediakan grup keamanan.
Grup keamanan yang SOA-nya berada di lokal dan semua anggota pengguna memiliki SOA di cloud	Kelompok keamanan yang SOA-nya lokal	Pengguna yang SOA-nya berada di cloud	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan tidak menyediakan grup keamanan.
Grup keamanan yang SOA-nya berada di lokal dan beberapa anggota pengguna memiliki SOA di cloud sementara yang lain memiliki SOA lokal	Kelompok keamanan yang SOA-nya lokal	Beberapa pengguna memiliki SOA di cloud sementara beberapa memiliki SOA lokal	Entra ke AD (provisi AAD2ADGroup)	Pekerjaan tidak menyediakan grup keamanan.
Grup keamanan yang SOA-nya berada di lokal dan semua anggota pengguna memiliki SOA lokal	Kelompok keamanan yang SOA-nya lokal	Pengguna yang SOA-nya lokal	AD ke Entra (AD2AADprovisioning)	Pekerjaan ini memprovisikan grup keamanan dengan semua referensi anggotanya (pengguna anggota).
Grup keamanan yang SOA-nya berada di lokal dan semua anggota pengguna memiliki SOA di cloud	Kelompok keamanan yang SOA-nya lokal	Pengguna yang SOA-nya berada di cloud	AD ke Entra (AD2AADprovisioning)	Pekerjaan ini memprovisikan grup keamanan dengan semua referensi anggotanya (pengguna anggota). Jadi referensi anggota yang SOA-nya dikonversi ke cloud untuk grup lokal ini juga akan disinkronkan.
Grup keamanan yang SOA-nya berada di lokal dan beberapa anggota pengguna memiliki SOA di cloud sementara yang lain memiliki SOA lokal	Kelompok keamanan yang SOA-nya lokal	Beberapa pengguna memiliki SOA di cloud sementara beberapa memiliki SOA lokal	AD ke Entra (AD2AADprovisioning)	Pekerjaan memprovisikan grup induk dengan semua referensi anggotanya (pengguna anggota). Jadi referensi anggota yang SOA-nya dikonversi ke cloud untuk grup lokal ini juga akan disinkronkan.
Grup keamanan yang SOA-nya berada di lokal dan tidak memiliki anggota pengguna	Kelompok keamanan yang SOA-nya lokal	Tidak ada anggota pengguna	AD ke Entra (AD2AADprovisioning)	Pekerjaan ini memprovisikan grup keamanan (keanggotaan kosong).
Grup keamanan yang SOA-nya berada di cloud dan semua anggota pengguna memiliki SOA lokal	Kelompok keamanan yang SOA-nya adalah cloud	Pengguna yang SOA-nya lokal	AD ke Entra (AD2AADprovisioning)	Pekerjaan tidak menyediakan grup keamanan.
Grup keamanan yang SOA-nya berada di cloud dan semua anggota pengguna memiliki SOA di cloud	Kelompok keamanan yang SOA-nya adalah cloud	Pengguna yang SOA-nya berada di cloud	AD ke Entra (AD2AADprovisioning)	Pekerjaan tidak menyediakan grup keamanan.
Grup keamanan yang SOA-nya berada di cloud dan beberapa anggota pengguna memiliki SOA di cloud sementara yang lain memiliki SOA lokal	Kelompok keamanan yang SOA-nya adalah cloud	Beberapa pengguna memiliki SOA di cloud sementara beberapa memiliki SOA lokal	AD ke Entra (AD2AADprovisioning)	Pekerjaan tidak menyediakan grup keamanan.

Asumsi

Tutorial ini mengasumsikan:

• Anda memiliki lingkungan lokal AD DS

• Anda memiliki pengaturan sinkronisasi cloud untuk menyinkronkan pengguna ke Microsoft Entra ID.

• Anda memiliki dua pengguna yang disinkronkan: Britta Simon dan Lola Jacobson. Pengguna ini ada secara lokal dan di Microsoft Entra ID.

• Unit organisasi (OU) dibuat di AD DS untuk setiap departemen berikut:

  Nama tampilan	Nama khusus
  Kelompok	OU = Pemasaran, DC = contoso, DC = com
  Sales	OU = Penjualan, DC = contoso, DC = com
  Marketing	OU = Grup, DC = contoso, DC = com

Menambahkan pengguna ke grup keamanan yang dikonversi cloud-native atau Source of Authority (SOA)

Untuk menambahkan pengguna yang disinkronkan, ikuti langkah-langkah berikut:

Catatan

Hanya referensi anggota pengguna yang disinkronkan yang disediakan untuk AD DS.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
2. Telusuri ke Entra ID>Grup>Semua grup.
3. Di bagian atas, di kotak pencarian, masukkan Penjualan.
4. Pilih grup Penjualan baru.
5. Di sebelah kiri, pilih Anggota.
6. Di bagian atas, pilih Tambahkan anggota.
7. Di bagian atas, di kotak pencarian, masukkan Britta Simon.
8. Centang di samping Britta Simon dan pilih Pilih.
9. Ini harus berhasil menambahkan pengguna ke grup.
10. Di ujung kiri, pilih Semua grup. Ulangi proses ini dengan menggunakan grup Penjualan , dan tambahkan Lola Jacobson ke grup tersebut.

Menyiapkan grup yang telah dikonversi SOA untuk pengaturan kembali ke lokasi unit organisasi (OU) asalnya.

Selesaikan langkah-langkah ini untuk menyiapkan grup yang anda rencanakan untuk dikonversi menjadi dikelola cloud untuk provisi dari ID Microsoft Entra kembali ke jalur OU asli mereka di Active Directory Domain Services (AD DS) lokal:

1. Ubah cakupan grup AD DS menjadi Universal.
2. Buat aplikasi khusus.
3. Buat properti ekstensi direktori untuk grup.

Mengubah cakupan grup untuk grup AD DS menjadi Universal

1. Buka Pusat Administratif Direktori Aktif.
2. Klik kanan grup, klik Properti.
3. Di bagian Grup , pilih Universal sebagai cakupan grup.
4. Kliklah Simpan.

Membuat ekstensi

Cloud Sync hanya mendukung ekstensi yang dibuat pada aplikasi khusus yang disebut CloudSyncCustomExtensionsApp. Jika aplikasi tidak ada di tenant Anda, Anda harus membuatnya. Langkah ini dilakukan sekali per penyewa.

Untuk informasi selengkapnya tentang cara membuat ekstensi, lihat Ekstensi direktori sinkronisasi cloud dan pemetaan atribut kustom.

Graph PowerShell

1. Buka jendela PowerShell yang ditingkatkan dan jalankan perintah berikut untuk menginstal modul dan menyambungkan:

   Install-Module Microsoft.Graph -Scope CurrentUser -Force 
   Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All" 
   

2. Periksa apakah aplikasi ada. Jika tidak, buatlah itu. Pastikan juga perwakilan layanan ada.

   $tenantId = (Get-MgOrganization).Id 
   $app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
   if (-not $app) { 
     $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
   } 
   
   $sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
   if (-not $sp) { 
     $sp = New-MgServicePrincipal -AppId $app.AppId 
   } 
   

3. Sekarang tambahkan properti ekstensi direktori bernama GroupDN. Ini akan menjadi atribut string yang tersedia pada objek grup.

   New-MgApplicationExtensionProperty ` 
     -ApplicationId $app.Id ` 
     -Name "GroupDN" ` 
     -DataType "String" ` 
     -TargetObjects Group 
   

Untuk informasi selengkapnya tentang cara membuat properti ekstensi direktori untuk grup, lihat Ekstensi direktori sinkronisasi cloud dan pemetaan atribut kustom.

Graph Explorer

1. Periksa apakah aplikasi dengan URI pengidentifikasi API://<tenantId>/CloudSyncCustomExtensionsApp ada.

   GET /applications?$filter=identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')
   

   Untuk informasi selengkapnya, lihat Mendapatkan aplikasi

2. Jika aplikasi tidak ada, buat aplikasi dengan URI API://<tenantId>/CloudSyncCustomExtensionsApppengidentifikasi :

   POST https://graph.microsoft.com/v1.0/applications
   Content-type: application/json
   
   {
   "displayName": "CloudSyncCustomExtensionsApp",
   "identifierUris": ["api://<tenant id>/CloudSyncCustomExtensionsApp"]
   }
   

   Untuk informasi selengkapnya, lihat membuat aplikasi.

3. Buat ekstensi direktori di ID Microsoft Entra. Misalnya, ekstensi baru yang disebut 'GroupDN', dari jenis string, untuk objek Grup:

   POST https://graph.microsoft.com/v1.0/applications/<ApplicationId>/extensionProperties
   Content-type: application/json
   
   {
     "name": "GroupDN",
     "dataType": "String",
     "isMultiValued": false,
     "targetObjects": [
         "Group"
     ]
   }    
   

Mengonfigurasi pemetaan atribut Sinkronisasi Cloud

Selanjutnya, beri tahu Cloud Sync untuk mengisi properti ekstensi ini dengan Nama Khusus (DN) grup dari Direktori Aktif. Langkah ini memastikan informasi OU dan CN asli dipertahankan dalam ID Microsoft Entra.

1. Buka pusat admin Microsoft Entra >Entra ID>Entra Connect>Cloud Sync.
2. Pilih konfigurasi Active Directory ke Microsoft Entra ID Anda.
3. Buka Pemetaan atribut.
4. Di bagian atas, alihkan Jenis objek ke Grup.
5. Tambahkan pemetaan atribut baru.
   • Jenis pemetaan: Langsung
   • Atribut sumber: distinguishedName (DN grup lokal)
   • Atribut Target: extension_<appIdWithoutHyphens>_GroupDN
6. Simpan skema untuk memicu sinkronisasi.

Dengan memetakan distinguishedName secara langsung, Anda menangkap DN penuh grup (jalur CN + OU) di properti ekstensi, sehingga lebih mudah untuk kemudian membangun kembali CN dan OU saat memprovisikan kembali ke AD.

Verifikasi bahwa pemetaan berfungsi

Setelah sinkronisasi berjalan, Anda harus memverifikasi bahwa properti ekstensi diisi dengan DN. Gunakan Microsoft Graph PowerShell:

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

Perintah ini mengembalikan grup dengan DN-nya yang disimpan di properti ekstensi. Anda juga dapat menguji menggunakan Graph Explorer dengan mengkueri:

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Konversi Sumber Otoritas (SOA)

Setelah Anda memastikan DN disimpan dalam ekstensi, Anda dapat mengonversi Sumber Otoritas grup ke Microsoft Entra ID. Perubahan ini membuat grup dikelola melalui cloud sambil mempertahankan DN aslinya dalam ekstensi untuk penggunaan berikutnya dalam penyediaan grup ke AD DS.

Konfigurasikan penyediaan

Untuk mengonfigurasi provisi, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

2. Jelajahi ke Entra ID>Entra Connect>sinkronisasi Cloud.

   

3. Pilih Konfigurasi baru.

4. Pilih Sinkronisasi Microsoft Entra ID ke AD.

   

5. Pada layar konfigurasi, pilih domain Anda dan apakah akan mengaktifkan sinkronisasi hash kata sandi. Pilih Buat.

   

6. Layar Memulai terbuka. Dari sini, Anda dapat terus mengonfigurasi sinkronisasi cloud.

7. Di sebelah kiri, pilih Filter cakupan.

8. Untuk Cakupan Grup, pilih Grup keamanan yang dipilih.

   

9. Ada dua pendekatan yang mungkin untuk mengatur unit organisasi:

   • Anda dapat menggunakan ekspresi kustom untuk memastikan grup dibuat ulang dengan unit organisasi yang sama. Gunakan ekspresi berikut untuk nilai ParentDistinguishedName:

     IIF(
         IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
         Replace(
             Mid(
                 Mid(
                     Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                     Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                     9999
                 ),
                 2,
                 9999
             ),
             "\2C", , , ",", ,
         ),
     "<Existing ParentDistinguishedName>",
     )
     

     Ekspresi ini:

     • Menggunakan unit organisasi bawaan jika ekstensi kosong.
     • Sebaliknya, hapus komponen CN dan pertahankan jalur parentDN, kembali menangani koma yang lolos.

     Perubahan ini menyebabkan sinkronisasi penuh dan tidak memengaruhi grup yang ada. Uji pengaturan atribut GroupDN untuk grup yang sudah ada menggunakan Microsoft Graph dan pastikan bahwa ia pindah kembali ke unit organisasi asli.

   • Jika Anda tidak ingin mempertahankan jalur OU asli dan informasi CN dari lokal, di bawah Kontainer target pilih Edit pemetaan atribut.

     1. Ubah Jenis pemetaan menjadi Ekspresi.

     2. Dalam kotak ekspresi, masukkan:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

     3. Ubah nilai Default menjadi OU=Groups,DC=contoso,DC=com.

        

     4. Pilih Terapkan. Kontainer target berubah tergantung pada atribut displayName grup.

10. Anda dapat menggunakan ekspresi kustom untuk memastikan grup dibuat ulang dengan Common Name (CN) yang sama. Gunakan ekspresi berikut untuk nilai CN:

    IIF(
        IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
        Replace(
            Replace(
                Replace(
                    Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                    "CN=", , , "", ,
                ),
                "cn=", , , "", ,
            ),
            "\2C", , , ",", ,
        ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
    )
    

    Ekspresi ini:

    • Jika ekstensi kosong, menghasilkan CN fallback dari DisplayName + ObjectId.
    • Jika tidak, lakukan ekstrak CN dengan cara menangani koma yang di-escape dengan menggantinya sementara menggunakan nilai hex.

11. Pilih Simpan.

12. Di sebelah kiri, pilih Gambaran Umum.

13. Di bagian atas, pilih Tinjau dan aktifkan.

14. Di sebelah kanan, pilih Aktifkan konfigurasi.

Konfigurasi pengujian

Catatan

Saat Anda menjalankan provisi sesuai permintaan, anggota tidak diprovisikan secara otomatis. Anda perlu memilih anggota yang ingin Anda uji, dan batasnya adalah lima anggota.

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

2. Jelajahi ke Entra ID>Entra Connect>sinkronisasi Cloud.

   

3. Di bawah Konfigurasi, pilih konfigurasi Anda.

4. Di sebelah kiri, pilih Provisi sesuai permintaan.

5. Masukkan Penjualan dalam kotak Grup yang dipilih .

6. Dari bagian Pengguna yang dipilih , pilih beberapa pengguna untuk diuji.

   

7. Pilih Ketentuan.

8. Anda seharusnya melihat grup yang disediakan.

Verifikasi di AD DS

Ikuti langkah-langkah ini untuk memastikan grup diprovisikan ke AD DS:

1. Masuk ke lingkungan lokal Anda.

2. Luncurkan Pengguna dan Komputer Direktori Aktif.

3. Verifikasi bahwa grup baru sudah disediakan.

   

Pengaturan Grup untuk perilaku Active Directory Domain Services untuk objek SOA yang dikonversi

Saat Anda mengonversi Sumber Otoritas (SOA) ke cloud untuk grup lokal, grup tersebut menjadi memenuhi syarat untuk provisi grup ke AD DS.

Misalnya, dalam diagram berikut, SOA atau SOATestGroup1 dikonversi ke cloud. Akibatnya, ini menjadi tersedia untuk cakupan pekerjaan dalam provisi grup ke AD DS.

• Ketika proses berjalan, SOATestGroup1 berhasil dipersiapkan.

• Dalam log Pemberian, Anda dapat mencari SOATestGroup1 dan memverifikasi bahwa grup telah dipersiapkan.

  

• Detail menunjukkan bahwa SOATestGroup1 cocok dengan grup target yang ada.

  

• Anda juga dapat mengonfirmasi bahwa adminDescription dan cn dari grup target diperbarui.

  

• Saat melihat AD DS, Anda dapat menemukan bahwa grup asli diperbarui.

  

  

Komputasi Awan mengabaikan penyediaan objek SOA yang telah dikonversi ke ID Microsoft Entra

Jika Anda mencoba mengedit atribut grup di AD DS setelah mengonversi SOA ke cloud, Cloud Sync melewati objek selama provisi.

Katakanlah kita memiliki grup SOAGroup3, dan kita memperbarui nama grupnya ke SOA Group3.1.

Dalam Log Penyediaan, Anda dapat melihat bahwa SOAGroup3 telah dilewati.

Detailnya menjelaskan bahwa objek tidak disinkronkan karena SOA-nya dikonversi ke cloud.

Penanganan referensi grup dan keanggotaan berlapis

Tabel berikut menjelaskan bagaimana penyediaan menangani referensi keanggotaan setelah Anda mengonversi SOA dalam kasus penggunaan yang berbeda.

Skenario penggunaan	Jenis grup induk	Jenis grup anggota	Pekerjaan	Cara kerja sinkronisasi
Grup keamanan induk Microsoft Entra hanya memiliki anggota Microsoft Entra.	Grup keamanan Microsoft Entra	Grup keamanan Microsoft Entra	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini memprovisikan grup induk dengan semua referensi anggotanya (grup anggota).
Grup keamanan induk Microsoft Entra memiliki beberapa anggota yang merupakan grup yang disinkronkan.	Grup keamanan Microsoft Entra	Grup keamanan AD DS (grup yang disinkronkan)	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini menyediakan grup induk, tetapi semua referensi anggota (Grup anggota) yang merupakan grup AD DS tidak disediakan.
Grup keamanan induk Microsoft Entra memiliki beberapa anggota yang merupakan grup yang disinkronkan yang SOA-nya dikonversi ke cloud.	Grup keamanan Microsoft Entra	Grup keamanan AD DS yang SOA-nya dikonversi ke cloud.	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini memprovisikan grup induk dengan semua referensi anggotanya (grup anggota).
Anda mengonversi SOA grup yang disinkronkan (induk) yang memiliki grup milik cloud sebagai anggota.	Grup keamanan AD DS dengan SOA dikonversi ke cloud	Grup keamanan Microsoft Entra	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini memprovisikan grup induk dengan semua referensi anggotanya (grup anggota).
Anda mengonversi SOA grup yang disinkronkan (induk) yang memiliki grup lain yang disinkronkan sebagai anggota.	Grup keamanan AD DS dengan SOA dikonversi ke cloud	Grup keamanan AD DS (grup yang disinkronkan)	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini menyediakan grup induk, tetapi semua referensi anggota (Grup anggota) yang merupakan grup keamanan AD DS tidak disediakan.
Anda mengonversi SOA grup yang disinkronkan (induk) yang anggotanya adalah grup sinkron lainnya yang memiliki SOA yang dikonversi ke cloud.	Grup keamanan AD DS dengan SOA dikonversi ke cloud	Grup keamanan AD DS dengan SOA dikonversi ke cloud	AAD2ADGroupProvisioning (provisi grup ke AD DS)	Pekerjaan ini memprovisikan grup induk dengan semua referensi anggotanya (grup anggota).

Provisi grup untuk perilaku AD DS setelah Anda mengembalikan grup yang dikonversi SOA

Jika Anda memiliki grup yang dikonversi SOA dalam cakupan dan Anda mengembalikan grup yang dikonversi SOA untuk membuatnya dimiliki oleh AD DS, provisi grup ke AD DS berhenti menyinkronkan perubahan, tetapi tidak menghapus grup lokal. Ini juga menghapus grup dari cakupan konfigurasi. Kontrol lokal grup dilanjutkan di siklus sinkronisasi berikutnya.

• Anda dapat memverifikasi di Log Audit yang sinkronisasinya tidak terjadi untuk objek ini karena dikelola secara lokal.

  

  Anda juga dapat memeriksa AD DS bahwa grup masih utuh dan tidak dihapus.

  

Langkah berikutnya

• Tulis balik grup dengan Microsoft Entra Cloud Sync
• Mengatur aplikasi berbasis AD DS lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
• Memigrasikan penulisan balik grup Microsoft Entra Connect Sync V2 ke Microsoft Entra Cloud Sync