Scenario: directory-extensies gebruiken met groepsinrichting voor Active Directory

  • Artikel

Scenario: U hebt honderden groepen in Microsoft Entra ID. U wilt sommige van deze groepen inrichten, maar niet allemaal terug naar Active Directory. U wilt een snel filter dat kan worden toegepast op groepen zonder dat u een ingewikkelder bereikfilter hoeft te maken.

Diagram van terugschrijven van groepen met cloudsynchronisatie.

U kunt de omgeving die u in dit scenario maakt gebruiken om te testen of om vertrouwd te raken met cloudsynchronisatie.

Aannames

  • In dit scenario wordt ervan uitgegaan dat u al een werkomgeving hebt die gebruikers synchroniseert met Microsoft Entra-id.
  • Er zijn vier gebruikers die worden gesynchroniseerd. Britta Simon, Lola Jacobson, Anna Ringdahl en John Smith.
  • Er zijn drie organisatie-eenheden gemaakt in Active Directory: verkoop, marketing en groepen
  • De gebruikersaccounts Britta Simon en Anna Ringdahl bevinden zich in de OE Sales.
  • De gebruikersaccounts Lola Jacobson en John Smith bevinden zich in de OE Marketing.
  • De organisatie-eenheid Groepen is waar onze groepen van Microsoft Entra-id worden ingericht.

Twee groepen maken in Microsoft Entra-id

Maak eerst twee groepen in Microsoft Entra-id. De ene groep is Sales en the Other is Marketing.

Volg deze stappen om twee groepen te maken.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar Identiteitsgroepen>>Alle groepen.
  3. Klik bovenaan op Nieuwe groep.
  4. Zorg ervoor dat het groepstype is ingesteld op beveiliging.
  5. Voer verkoop in voor de groepsnaam
  6. Voor het lidmaatschapstype blijft dit toegewezen.
  7. Klik op Create.
  8. Herhaal dit proces met behulp van Marketing als groepsnaam .

Gebruikers toevoegen aan de zojuist gemaakte groepen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar Identiteitsgroepen>>Alle groepen.
  3. Voer bovenaan in het zoekvak Verkoop in.
  4. Klik op de nieuwe verkoopgroep .
  5. Klik aan de linkerkant op Leden
  6. Klik bovenaan op Leden toevoegen.
  7. Voer Britta Simon in het zoekvak bovenaan in.
  8. Zet een vinkje naast Britta Simon en Anna Ringdahl en klik op Selecteren
  9. Het zou haar aan de groep moeten toevoegen.
  10. Klik uiterst links op Alle groepen en herhaal dit proces met behulp van de marketinggroep en voeg Lola Jacobson en John Smith toe aan die groep.

Notitie

Wanneer u gebruikers toevoegt aan de groep Marketing, noteert u de groeps-id op de overzichtspagina. Deze id wordt later gebruikt om onze zojuist gemaakte eigenschap toe te voegen aan de groep.

Uw tenant-id ophalen

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar Identiteitsoverzicht>.
  3. Noteer uw tenant-id en kopieer deze omlaag voor later gebruik.

De CloudSyncCustomExtensionApp en service-principal maken

Belangrijk

Directory-extensie voor Microsoft Entra Cloud Sync wordt alleen ondersteund voor toepassingen met de id-URI 'api://< tenantId>/CloudSyncCustomExtensionsApp' en de Tenant Schema Extension-app gemaakt door Microsoft Entra Verbinding maken.

  1. Open PowerShell op een on-premises computer met Beheer istische bevoegdheden
  2. Als u het uitvoeringsbeleid wilt instellen, voert u de opdracht uit (druk op [A] Ja op alles wanneer u hierom wordt gevraagd):
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. Voer de volgende opdracht uit om de v1-module van de SDK in PowerShell Core of Windows PowerShell te installeren. Druk op [Y] Ja wanneer u hierom wordt gevraagd.
Install-Module Microsoft.Graph -Scope CurrentUser
  1. Verbinding maken bij uw tenant (zorg ervoor dat u dit namens u accepteert wanneer u zich aanmeldt)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. Controleer of de CloudSyncCustomExtensionApp bestaat.
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. Als deze bestaat, noteert u de appId en gaat u verder met stap 8. Anders maakt u de app.
  2. Maak de CloudSyncCustomExtensionApp. Vervang <de tenant-id> door uw tenant-id. Kopieer de id en de app-id die na het maken wordt weergegeven.
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. Als de app bestaat, controleert u of deze een beveiligingsprincipaal heeft. Vervang <de toepassings-id> door uw appId. Als u de app zojuist hebt gemaakt
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. Als u de app zojuist hebt gemaakt, maakt u een nieuwe beveiligingsprincipaal. Vervang <de toepassings-id> door uw appId. Als u de app zojuist hebt gemaakt

    New-MgServicePrincipal -AppId '<appId>'

Onze extensie- en cloudsynchronisatieconfiguratie maken

  1. Nu maken we ons aangepaste kenmerk en wijzen we dit toe aan de CloudSyncCustomExtensionApp. Vervang <de id door uw id> . Gebruik de object-id van de toepassing.
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. Mogelijk wordt u opnieuw gevraagd om de id in te voeren. Schermopname van PowerShell New-MgApplicationExtensionProperty.

  2. Met deze cmdlet maakt u een kenmerk dat eruitziet als extension_<guid>_SynchGroup. U hebt dit nodig om deze aan een groep te koppelen, maar de PowerShell-cmdlet voor grafieken retourneert dit niet.

  3. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.

  4. Blader naar Identity>Hybrid Management>Microsoft Entra Verbinding maken> Cloud-synchronisatie.

  5. Selecteer Nieuwe configuratie.

  6. Selecteer Microsoft Entra-id voor AD-synchronisatie. Schermopname van de configuratieselectie.

  7. Selecteer in het configuratiescherm uw domein en geef aan of u wachtwoord-hashsynchronisatie wilt inschakelen. Klik op Maken. Schermopname van een nieuwe configuratie.

  8. Het scherm Aan de slag wordt geopend. Vanaf hier kunt u doorgaan met het configureren van cloudsynchronisatie

  9. Klik aan de linkerkant op Bereikfilters groepeerbereik - alle groepen

  10. Klik op Kenmerktoewijzing bewerken en wijzig de Target Contaniner in OU=Groups,DC=contoso,DC=com. Klik op Opslaan.

  11. Klik op Kenmerkbereikfilter toevoegen

  12. Selecteer onder Doelkenmerk het zojuist gemaakte kenmerk dat eruitziet als extension_<guid>_SynchGroup. Schrijf dit ook op omdat we dit moeten gebruiken om dit kenmerk toe te voegen aan een van onze groepen. Schermopname van beschikbare kenmerken.

  13. Selecteer ONDER Operator PRESENT

  14. Klik op Opslaan. Klik vervolgens op Opslaan.

  15. Laat de configuratie uitgeschakeld en kom terug.

Nieuwe extensie-eigenschap toevoegen aan een van onze groepen

Voor dit gedeelte gaan we onze zojuist gemaakte eigenschap toevoegen aan een van onze bestaande groepen, Marketing. Hiervoor gebruiken we Microsoft Graph Explorer. U moet ervoor zorgen dat u toestemming hebt gegeven voor Group.ReadWrite.All. U kunt dit doen door machtigingen wijzigen te selecteren.

  1. Ga naar https://developer.microsoft.com/graph/graph-explorer

  2. Meld u aan met uw tenantbeheerdersaccount. Dit moet mogelijk een globale beheerdersaccount zijn. Er is een globale beheerdersaccount gebruikt bij het maken van dit scenario. Een hybride beheerdersaccount kan voldoende zijn.

  3. Wijzig bovenaan de GET in PATCH

  4. Voer in het adresvak in: https://graph.microsoft.com/v1.0/groups/<groeps-id>

  5. Voer in de hoofdtekst van de aanvraag het volgende in:

    {
 extension_<guid>_SynchGroup: true
}

  6. Klik op Query uitvoerenSchermopname van het uitvoeren van de grafiekquery.

  7. Als dit correct is gedaan, ziet u [].

  8. Wijzig nu PATCH bovenaan in GET en bekijk de eigenschappen van de marketinggroep.

  9. Klik op Query uitvoeren. U ziet nu het zojuist gemaakte kenmerk. Schermopname van groepseigenschappen.

Onze configuratie testen

Notitie

Wanneer u inrichting op aanvraag gebruikt, worden leden niet automatisch ingericht. U moet selecteren op welke leden u wilt testen en er is een limiet van 5 leden.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar hybride>identiteitsbeheer>microsoft Entra Verbinding maken> Cloud-synchronisatie.Schermopname van de startpagina voor cloudsynchronisatie.

  1. Selecteer uw configuratie onder Configuratie.

  2. Selecteer aan de linkerkant Inrichting op aanvraag.

  3. Marketing invoeren in het vak Geselecteerde groep

  4. Selecteer in de sectie Geselecteerde gebruikers enkele gebruikers die u wilt testen. Selecteer Lola Jacobson en John Smith.

  5. Klik op Inrichten. Het moet worden ingericht. Schermopname van geslaagde inrichting.

  6. Probeer nu met de verkoopgroep en voeg Britta Simon en Anna Ringdahl toe. Dit mag niet worden ingericht. Schermopname van het blokkeren van de inrichting.

  7. In Active Directory ziet u de zojuist gemaakte marketinggroep. Schermopname van nieuwe groep in Active Directory-gebruikers en -computers.

Volgende stappen