Condividi tramite

Scenario: uso delle estensioni di directory con il provisioning di gruppi in Active Directory

  • Articolo

Scenario: sono disponibili centinaia di gruppi in Microsoft Entra ID. Si vuole eseguire il provisioning di alcuni di questi gruppi, ma non di tutti in Active Directory. Si desidera un filtro rapido che può essere applicato ai gruppi senza dover rendere un filtro di ambito più complesso.

Diagramma del writeback di gruppo con la sincronizzazione cloud.

È possibile usare l'ambiente creato in questo scenario per il test o per acquisire familiarità con la sincronizzazione cloud.

Presupposti

  • Questo scenario presuppone che l'utente disponga già di un ambiente di lavoro che sincronizza gli utenti con Microsoft Entra ID.
  • Sono presenti 4 utenti sincronizzati. Britta Simon, Lola Jacobson, Anna Ringdahl e John Smith.
  • Sono state create tre unità organizzative in Active Directory: Vendite, Marketing e Gruppi
  • Gli account utente Britta Simon e Anna Ringdahl risiedono nell'unità organizzativa Vendite.
  • Gli account utente Lola Jacobson e John Smith risiedono nell'unità organizzativa Marketing.
  • L'unità organizzativa Gruppi è la posizione in cui viene effettuato il provisioning dei gruppi di Microsoft Entra ID.

Creare due gruppi in Microsoft Entra ID

Per iniziare, creare due gruppi in Microsoft Entra ID. Un gruppo è Vendite e l'altro è Marketing.

Per creare due gruppi, attenersi alla procedura seguente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gruppi>Tutti i gruppi.
  3. Nella parte superiore fare clic su Nuovo gruppo.
  4. Assicurarsi che Tipo di gruppo sia impostato su Sicurezza.
  5. Per Nome gruppo immettere Vendite
  6. Per Tipo di appartenenza mantenerlo assegnato.
  7. Cliccare su Crea.
  8. Ripetere questo processo usando Marketing come Nome gruppo.

Aggiungere utenti ai gruppi appena creati

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gruppi>Tutti i gruppi.
  3. Nella parte superiore, nella casella di ricerca immettere Vendite.
  4. Fare clic sul nuovo gruppo Vendite.
  5. A sinistra, fare clic su Membri
  6. Nella parte superiore, fare clic su Aggiungi membri.
  7. Nella parte superiore, nella casella di ricerca immettere Britta Simon.
  8. Immettere un segno di spunta accanto a Britta Simon e Anna Ringdahl e fare clic su Seleziona
  9. Dovrebbe aggiungerla correttamente al gruppo.
  10. A sinistra fare clic su Tutti i gruppi e ripetere questo processo usando il gruppo Marketing e aggiungendo Lola Jacobson e John Smith a tale gruppo.

Nota

Quando si aggiungono utenti al gruppo Marketing, prendere nota dell'ID gruppo nella pagina di panoramica. Questo ID viene usato in seguito per aggiungere la proprietà appena creata al gruppo.

Ottenere l'ID tenant

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Panoramica.
  3. Prendere nota dell'ID tenant e copiarlo per usarlo in un secondo momento.

Creare CloudSyncCustomExtensionApp ed entità servizio

Importante

L'estensione directory per la sincronizzazione cloud di Microsoft Entra è supportata solo per le applicazioni con l'URI "identificatore api://<tenantId>/CloudSyncCustomExtensionsApp" e Tenant Schema Extension App creata da Microsoft Entra Connect.

  1. In un computer locale, aprire PowerShell con privilegi amministrativi
  2. Per impostare i criteri di esecuzione, eseguire (premere [A] Sì a tutti quando richiesto):
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. Per installare il modulo v1 dell'SDK in PowerShell Core o Windows PowerShell, eseguire il comando seguente. Premere [Y] Sì quando richiesto.
Install-Module Microsoft.Graph -Scope CurrentUser
  1. Connettersi al tenant (assicurarsi di accettare per conto di durante l'accesso)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. Verificare se CloudSyncCustomExtensionApp esiste.
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. Se esiste, prendere nota del appId e andare al passaggio 8. In caso contrario, creare l'app.
  2. Creare CloudSyncCustomExtensionApp. Sostituire <ID tenant> con l'ID tenant. Copiare l'ID e l'ID app visualizzati dopo la creazione.
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. Se l'app esiste, verificare se dispone di un'entità di sicurezza. Sostituire <ID applicazione> con il valore appId.
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. Se l'app è stata appena creata, creare una nuova entità di sicurezza. Sostituire <ID applicazione> con il valore appId.

    New-MgServicePrincipal -AppId '<appId>'

Creare la configurazione dell'estensione e della sincronizzazione cloud

  1. A questo punto viene creato l'attributo personalizzato e assegnato a CloudSyncCustomExtensionApp. Sostituire <ID> con il proprio ID. Usare l'ID oggetto dell'applicazione.
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. Potrebbe essere richiesto di nuovo di immettere l'ID. Screenshot di PowerShell New-MgApplicationExtensionProperty.

  2. Questo cmdlet crea un attributo simile a extension_<guid>_SynchGroup. È necessario associarlo a un gruppo, ma il cmdlet di PowerShell del grafo non restituisce questo risultato.

  3. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.

  4. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud.

  5. Selezionare Nuova configurazione.

  6. Selezionare Sincronizzazione di Microsoft Entra ID in Active Directory. Screenshot della selezione della configurazione.

  7. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea. Screenshot di una nuova configurazione.

  8. Verrà visualizzata la schermata Attività iniziali. Da qui è possibile continuare a configurare la sincronizzazione cloud

  9. A sinistra fare clic su Filtri di ambito selezionare Ambito gruppo - Tutti i gruppi

  10. Fare clic su Modifica mapping attributi e modificare il Container di destinazione in OU=Groups,DC=contoso,DC=com. Fare clic su Salva.

  11. Fare clic su Aggiungi filtro di ambito attributo

  12. In Attributo di destinazione selezionare l'attributo appena creato simile a extension_<guid>_SynchGroup. Inoltre, annotarlo perché è necessario usarlo per aggiungere questo attributo a uno dei gruppi. Screenshot degli attributi disponibili.

  13. In Operatore selezionare PRESENT

  14. Fare clic su Salva. Fare clic su Salva.

  15. Lasciare disabilitata la configurazione e tornare.

Aggiungere una nuova proprietà di estensione a uno dei gruppi

Per questa parte, verrà aggiunta la proprietà appena creata a uno dei gruppi esistenti, Marketing. A tale scopo, si usa Microsoft Graph Explorer. È necessario assicurarsi di aver acconsentito a Group.ReadWrite.All. A tale scopo, selezionare Modifica autorizzazioni.

  1. Passare a https://developer.microsoft.com/graph/graph-explorer

  2. Accedere con l'account amministratore del tenant. Potrebbe essere necessario disporre di un account di amministratore globale. Per creare questo scenario è stato usato un account amministratore globale. Un account di amministratore delle identità ibride può essere sufficiente.

  3. Nella parte superiore, modificare GET in PATCH

  4. Nella casella indirizzo immettere: https://graph.microsoft.com/v1.0/groups/<id gruppo>

  5. Nel corpo della richiesta immettere:

    {
 extension_<guid>_SynchGroup: true
}

  6. Fare clic su Esegui queryScreenshot dell'esecuzione della query del grafo.

  7. Se l'operazione è stata eseguita correttamente, viene visualizzato [].

  8. Ora nella parte superiore modificare PATCH in GET ed esaminare le proprietà del gruppo di marketing.

  9. Fare clic su Esegui query. Verrà visualizzato l'attributo appena creato. Screenshot delle proprietà dei gruppi.

Testare la configurazione

Nota

Quando si usa il provisioning su richiesta, il provisioning dei membri non viene eseguito automaticamente. È necessario selezionare i membri su cui si vuole eseguire il test ed è previsto un limite di 5 membri.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud. Screenshot della home page di sincronizzazione cloud.

  1. In Configurazione, selezionare la configurazione.

  2. A sinistra selezionare Effettuare il provisioning su richiesta.

  3. Immettere Marketing nella casella Gruppo selezionato

  4. Nella sezione Utenti selezionati selezionare alcuni utenti da testare. Selezionare Lola Jacobson e John Smith.

  5. Fare clic su Provision. Il provisioning dovrebbe essere completato. Screenshot del provisioning riuscito.

  6. Provare ora con il gruppo Vendite e aggiungere Britta Simon e Anna Ringdahl. Non è consigliabile effettuare il provisioning. Screenshot del provisioning bloccato.

  7. In Active Directory dovrebbe essere visualizzato il gruppo Marketing appena creato. Screenshot del nuovo gruppo in utenti e computer di Active Directory.

Passaggi successivi