Scenario: directory-extensies gebruiken met groepsinrichting voor Active Directory

Artikel
04/27/2024

Scenario: U hebt honderden groepen in Microsoft Entra ID. U wilt sommige van deze groepen inrichten, maar niet allemaal terug naar Active Directory. U wilt een snel filter dat kan worden toegepast op groepen zonder dat u een ingewikkelder bereikfilter hoeft te maken.

U kunt de omgeving die u in dit scenario maakt gebruiken om te testen of om vertrouwd te raken met cloudsynchronisatie.

Aannames

In dit scenario wordt ervan uitgegaan dat u al een werkomgeving hebt die gebruikers synchroniseert met Microsoft Entra-id.
Er zijn vier gebruikers die worden gesynchroniseerd. Britta Simon, Lola Jacobson, Anna Ringdahl en John Smith.
Er zijn drie organisatie-eenheden gemaakt in Active Directory: verkoop, marketing en groepen
De gebruikersaccounts Britta Simon en Anna Ringdahl bevinden zich in de OE Sales.
De gebruikersaccounts Lola Jacobson en John Smith bevinden zich in de OE Marketing.
De organisatie-eenheid Groepen is waar onze groepen van Microsoft Entra-id worden ingericht.

Twee groepen maken in Microsoft Entra-id

Maak eerst twee groepen in Microsoft Entra-id. De ene groep is Sales en the Other is Marketing.

Volg deze stappen om twee groepen te maken.

Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
Blader naar Identiteitsgroepen>>Alle groepen.
Klik bovenaan op Nieuwe groep.
Zorg ervoor dat het groepstype is ingesteld op beveiliging.
Voer verkoop in voor de groepsnaam
Voor het lidmaatschapstype blijft dit toegewezen.
Klik op Create.
Herhaal dit proces met behulp van Marketing als groepsnaam .

Gebruikers toevoegen aan de zojuist gemaakte groepen

Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
Blader naar Identiteitsgroepen>>Alle groepen.
Voer bovenaan in het zoekvak Verkoop in.
Klik op de nieuwe verkoopgroep .
Klik aan de linkerkant op Leden
Klik bovenaan op Leden toevoegen.
Voer Britta Simon in het zoekvak bovenaan in.
Zet een vinkje naast Britta Simon en Anna Ringdahl en klik op Selecteren
Het zou haar aan de groep moeten toevoegen.
Klik uiterst links op Alle groepen en herhaal dit proces met behulp van de marketinggroep en voeg Lola Jacobson en John Smith toe aan die groep.

Notitie

Wanneer u gebruikers toevoegt aan de groep Marketing, noteert u de groeps-id op de overzichtspagina. Deze id wordt later gebruikt om onze zojuist gemaakte eigenschap toe te voegen aan de groep.

Uw tenant-id ophalen

Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
Blader naar Identiteitsoverzicht>.
Noteer uw tenant-id en kopieer deze omlaag voor later gebruik.

De CloudSyncCustomExtensionApp en service-principal maken

Belangrijk

Directory-extensie voor Microsoft Entra Cloud Sync wordt alleen ondersteund voor toepassingen met de id-URI 'api://< tenantId>/CloudSyncCustomExtensionsApp' en de Tenant Schema Extension-app gemaakt door Microsoft Entra Verbinding maken.

Open PowerShell op een on-premises computer met Beheer istische bevoegdheden
Als u het uitvoeringsbeleid wilt instellen, voert u de opdracht uit (druk op [A] Ja op alles wanneer u hierom wordt gevraagd):

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

Voer de volgende opdracht uit om de v1-module van de SDK in PowerShell Core of Windows PowerShell te installeren. Druk op [Y] Ja wanneer u hierom wordt gevraagd.

Install-Module Microsoft.Graph -Scope CurrentUser

Verbinding maken bij uw tenant (zorg ervoor dat u dit namens u accepteert wanneer u zich aanmeldt)

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"

Controleer of de CloudSyncCustomExtensionApp bestaat.

Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"

Als deze bestaat, noteert u de appId en gaat u verder met stap 8. Anders maakt u de app.
Maak de CloudSyncCustomExtensionApp. Vervang <de tenant-id> door uw tenant-id. Kopieer de id en de app-id die na het maken wordt weergegeven.

New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"

Als de app bestaat, controleert u of deze een beveiligingsprincipaal heeft. Vervang <de toepassings-id> door uw appId.

Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

Als u de app zojuist hebt gemaakt, maakt u een nieuwe beveiligingsprincipaal. Vervang <de toepassings-id> door uw appId.
```
New-MgServicePrincipal -AppId '<appId>'
```

Onze extensie- en cloudsynchronisatieconfiguratie maken

Nu maken we ons aangepaste kenmerk en wijzen we dit toe aan de CloudSyncCustomExtensionApp. Vervang <de id door uw id> . Gebruik de object-id van de toepassing.

New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

Mogelijk wordt u opnieuw gevraagd om de id in te voeren.
Met deze cmdlet maakt u een kenmerk dat eruitziet als extension_<guid>_SynchGroup. U hebt dit nodig om deze aan een groep te koppelen, maar de PowerShell-cmdlet voor grafieken retourneert dit niet.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
Blader naar Identity>Hybrid Management>Microsoft Entra Verbinding maken> Cloud-synchronisatie.
Selecteer Nieuwe configuratie.
Selecteer Microsoft Entra-id voor AD-synchronisatie.
Selecteer in het configuratiescherm uw domein en geef aan of u wachtwoord-hashsynchronisatie wilt inschakelen. Klik op Maken.
Het scherm Aan de slag wordt geopend. Vanaf hier kunt u doorgaan met het configureren van cloudsynchronisatie
Klik aan de linkerkant op Bereikfilters groepeerbereik - alle groepen
Klik op Kenmerktoewijzing bewerken en wijzig de Target Contaniner in OU=Groups,DC=contoso,DC=com. Klik op Opslaan.
Klik op Kenmerkbereikfilter toevoegen
Selecteer onder Doelkenmerk het zojuist gemaakte kenmerk dat eruitziet als extension_<guid>_SynchGroup. Schrijf dit ook op omdat we dit moeten gebruiken om dit kenmerk toe te voegen aan een van onze groepen.
Selecteer ONDER Operator PRESENT
Klik op Opslaan. Klik vervolgens op Opslaan.
Laat de configuratie uitgeschakeld en kom terug.

Nieuwe extensie-eigenschap toevoegen aan een van onze groepen

Voor dit gedeelte gaan we onze zojuist gemaakte eigenschap toevoegen aan een van onze bestaande groepen, Marketing. Hiervoor gebruiken we Microsoft Graph Explorer. U moet ervoor zorgen dat u toestemming hebt gegeven voor Group.ReadWrite.All. U kunt dit doen door machtigingen wijzigen te selecteren.

Ga naar https://developer.microsoft.com/graph/graph-explorer
Meld u aan met uw tenantbeheerdersaccount. Dit moet mogelijk een globale beheerdersaccount zijn. Er is een globale beheerdersaccount gebruikt bij het maken van dit scenario. Een hybride beheerdersaccount kan voldoende zijn.
Wijzig bovenaan de GET in PATCH
Voer in het adresvak in: https://graph.microsoft.com/v1.0/groups/<groeps-id>
Voer in de hoofdtekst van de aanvraag het volgende in:
```
{
 extension_<guid>_SynchGroup: true
}
```
Klik op Query uitvoeren
Als dit correct is gedaan, ziet u [].
Wijzig nu PATCH bovenaan in GET en bekijk de eigenschappen van de marketinggroep.
Klik op Query uitvoeren. U ziet nu het zojuist gemaakte kenmerk.

Onze configuratie testen

Notitie

Wanneer u inrichting op aanvraag gebruikt, worden leden niet automatisch ingericht. U moet selecteren op welke leden u wilt testen en er is een limiet van 5 leden.

Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
Blader naar hybride>identiteitsbeheer>microsoft Entra Verbinding maken> Cloud-synchronisatie.

Selecteer uw configuratie onder Configuratie.
Selecteer aan de linkerkant Inrichting op aanvraag.
Marketing invoeren in het vak Geselecteerde groep
Selecteer in de sectie Geselecteerde gebruikers enkele gebruikers die u wilt testen. Selecteer Lola Jacobson en John Smith.
Klik op Inrichten. Het moet worden ingericht.
Probeer nu met de verkoopgroep en voeg Britta Simon en Anna Ringdahl toe. Dit mag niet worden ingericht.
In Active Directory ziet u de zojuist gemaakte marketinggroep.