Udostępnij za pośrednictwem

Scenariusz — używanie rozszerzeń katalogów z aprowizowaniem grup w usłudze Active Directory

  • Artykuł

Scenariusz: Masz setki grup w identyfikatorze Entra firmy Microsoft. Chcesz aprowizować niektóre z tych grup, ale nie wszystkie z powrotem do usługi Active Directory. Chcesz, aby szybki filtr można zastosować do grup bez konieczności tworzenia bardziej skomplikowanego filtru określania zakresu.

Diagram zapisywania zwrotnego grup z synchronizacją w chmurze.

Możesz użyć środowiska utworzonego w tym scenariuszu do testowania lub zapoznania się z synchronizacją w chmurze.

Założenia

  • W tym scenariuszu przyjęto założenie, że masz już środowisko robocze, które synchronizuje użytkowników z identyfikatorem Entra firmy Microsoft.
  • Mamy 4 użytkowników, którzy są zsynchronizowani. Britta Simon, Lola Jacobson, Anna Ringdahl i John Smith.
  • W usłudze Active Directory utworzono trzy jednostki organizacyjne — Sprzedaż, Marketing i Grupy
  • Konta użytkowników Britta Simon i Anna Ringdahl znajdują się w jednostkach organizacyjnych sprzedaży.
  • Konta użytkowników Lola Jacobson i John Smith znajdują się w jednostki organizacyjnej marketingu.
  • Jednostka organizacyjna grup to miejsce, w którym aprowizowane są nasze grupy z identyfikatora Entra firmy Microsoft.

Tworzenie dwóch grup w usłudze Microsoft Entra ID

Aby rozpocząć, utwórz dwie grupy w identyfikatorze Entra firmy Microsoft. Jedna grupa to Sprzedaż, a Druga to Marketing.

Aby utworzyć dwie grupy, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części kliknij pozycję Nowa grupa.
  4. Upewnij się, że typ grupy jest ustawiony na zabezpieczenia.
  5. W polu Nazwa grupy wprowadź wartość Sales (Sprzedaż)
  6. W polu Typ członkostwa zachowaj go przy przypisaniu.
  7. Kliknij pozycję Utwórz.
  8. Powtórz ten proces przy użyciu marketingu jako nazwy grupy.

Dodawanie użytkowników do nowo utworzonych grup

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do pozycji Grupy tożsamości>>Wszystkie grupy.
  3. W górnej części pola wyszukiwania wpisz Sales (Sprzedaż).
  4. Kliknij nową grupę Sprzedaż .
  5. Po lewej stronie kliknij pozycję Członkowie
  6. W górnej części kliknij pozycję Dodaj członków.
  7. W górnej części pola wyszukiwania wprowadź Britta Simon.
  8. Umieść znacznik wyboru obok użytkownika Britta Simon i Anny Ringdahl , a następnie kliknij pozycję Wybierz
  9. Powinna ona pomyślnie dodać ją do grupy.
  10. Po lewej stronie kliknij pozycję Wszystkie grupy i powtórz ten proces przy użyciu grupy Marketing i dodaj Lola Jacobson i John Smith do tej grupy.

Uwaga

Podczas dodawania użytkowników do grupy Marketing zanotuj identyfikator grupy na stronie przeglądu. Ten identyfikator jest używany później do dodawania nowo utworzonej właściwości do grupy.

Uzyskiwanie identyfikatora dzierżawy

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do strony Przegląd tożsamości>.
  3. Zanotuj identyfikator dzierżawy i skopiuj go do użycia później.

Tworzenie klasy CloudSyncCustomExtensionApp i jednostki usługi

Ważne

Rozszerzenie katalogu dla usługi Microsoft Entra Cloud Sync jest obsługiwane tylko w przypadku aplikacji z identyfikatorem URI "api://< tenantId>/CloudSyncCustomExtensionsApp" i aplikacją rozszerzenia schematu dzierżawy utworzoną przez firmę Microsoft Entra Połączenie.

  1. Na maszynie lokalnej otwórz program PowerShell z uprawnieniami Administracja istracyjnymi
  2. Aby ustawić zasady wykonywania, uruchom polecenie (naciśnij przycisk [A] Tak, aby wszystkie po wyświetleniu monitu):
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
  1. Aby zainstalować moduł w wersji 1 zestawu SDK w programie PowerShell Core lub środowisku Windows PowerShell, uruchom następujące polecenie. Po wyświetleniu monitu naciśnij przycisk [Y] Tak.
Install-Module Microsoft.Graph -Scope CurrentUser
  1. Połączenie do dzierżawy (pamiętaj o zaakceptowaniu w imieniu użytkownika podczas logowania)
Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"
  1. Sprawdź, czy istnieje aplikacja CloudSyncCustomExtensionApp.
Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"
  1. Jeśli istnieje, zanotuj identyfikator appId i przejdź do kroku 8. W przeciwnym razie utwórz aplikację.
  2. Utwórz aplikację CloudSyncCustomExtensionApp. Zastąp <identyfikator dzierżawy identyfikatorem> dzierżawy. Skopiuj identyfikator i identyfikator aplikacji, który zostanie wyświetlony po utworzeniu.
New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"
  1. Jeśli aplikacja istnieje, sprawdź, czy ma podmiot zabezpieczeń. Zastąp <identyfikator aplikacji swoim> identyfikatorem appId.
Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

  1. Jeśli aplikacja została właśnie utworzona, utwórz nowego podmiotu zabezpieczeń. Zastąp <identyfikator aplikacji swoim> identyfikatorem appId.

    New-MgServicePrincipal -AppId '<appId>'

Tworzenie naszej konfiguracji rozszerzenia i synchronizacji w chmurze

  1. Teraz utworzymy nasz atrybut niestandardowy i przypiszemy go do aplikacji CloudSyncCustomExtensionApp. Zastąp <wartość id> identyfikatorem. Użyj identyfikatora obiektu aplikacji.
New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

  1. Może zostać wyświetlony monit o wprowadzenie identyfikatora. Zrzut ekranu programu PowerShell New-MgApplicationExtensionProperty.

  2. To polecenie cmdlet tworzy atrybut, który wygląda jak extension_<guid>_SynchGroup. Musisz ją skojarzyć z grupą, jednak polecenie cmdlet programu PowerShell grafu nie zwraca tego.

  3. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.

  4. Przejdź do sekcji Identity Hybrid Management>Microsoft Entra Połączenie Cloud sync (Synchronizacja w usłudze Microsoft>Entra Połączenie> Cloud).

  5. Wybierz pozycję Nowa konfiguracja.

  6. Wybierz pozycję Microsoft Entra ID do synchronizacji usługi AD. Zrzut ekranu przedstawiający wybór konfiguracji.

  7. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz. Zrzut ekranu przedstawiający nową konfigurację.

  8. Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji w chmurze

  9. Po lewej stronie kliknij pozycję Filtry określania zakresu wybierz pozycję Zakres - grupy Wszystkie grupy

  10. Kliknij pozycję Edytuj mapowanie atrybutów i zmień element Target Contaniner na OU=Groups,DC=contoso,DC=com. Kliknij przycisk Zapisz.

  11. Kliknij pozycję Dodaj filtr określania zakresu atrybutów

  12. W obszarze Atrybut docelowy wybierz nowo utworzony atrybut, który wygląda jak extension_<guid>_SynchGroup. Zapisz to również, ponieważ musimy użyć tego atrybutu w celu dodania tego atrybutu do jednej z naszych grup. Zrzut ekranu przedstawiający dostępne atrybuty.

  13. W obszarze Operator wybierz pozycję PRESENT

  14. Kliknij przycisk Zapisz. Kliknij pozycję Zapisz.

  15. Pozostaw konfigurację wyłączoną i wróć do niej.

Dodawanie nowej właściwości rozszerzenia do jednej z naszych grup

W tej części dodamy naszą nowo utworzoną właściwość do jednej z istniejących grup Marketing. W tym celu użyjemy Eksploratora programu Microsoft Graph. Musisz upewnić się, że użytkownik wyraził zgodę na plik Group.ReadWrite.All. Możesz to zrobić, wybierając pozycję Modyfikuj uprawnienia.

  1. Przejdź do strony https://developer.microsoft.com/graph/graph-explorer

  2. Zaloguj się przy użyciu konta administratora dzierżawy. Może to być konto administratora globalnego. Konto administratora globalnego zostało użyte podczas tworzenia tego scenariusza. Konto administratora hybrydowego może być wystarczające.

  3. W górnej części zmień polecenie GET na PATCH

  4. W polu adresu wprowadź: https://graph.microsoft.com/v1.0/groups/<identyfikator grupy>

  5. W treści żądania wprowadź:

    {
 extension_<guid>_SynchGroup: true
}

  6. Kliknij pozycję Uruchom zapytanieZrzut ekranu przedstawiający uruchamianie zapytania grafu.

  7. Jeśli wszystko zostanie wykonane poprawnie, zobaczysz komunikat [].

  8. Teraz w górnej części zmień wartość PATCH na GET i przyjrzyj się właściwościom grupy marketingowej.

  9. Kliknij pozycję Uruchom zapytanie. Powinien zostać wyświetlony nowo utworzony atrybut. Zrzut ekranu przedstawiający właściwości grupy.

Testowanie konfiguracji

Uwaga

W przypadku korzystania z aprowizacji na żądanie członkowie nie są automatycznie aprowizowani. Musisz wybrać członków, na których chcesz testować, i istnieje limit 5 elementów członkowskich.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.

  1. W obszarze Konfiguracja wybierz konfigurację.

  2. Po lewej stronie wybierz pozycję Aprowizuj na żądanie.

  3. Wprowadź marketing w polu Wybrana grupa

  4. W sekcji Wybrani użytkownicy wybierz niektórych użytkowników do przetestowania. Wybierz pozycję Lola Jacobson i John Smith.

  5. Kliknij pozycję Aprowizuj. Powinna ona zostać pomyślnie zainicjowana. Zrzut ekranu przedstawiający pomyślną aprowizację.

  6. Teraz spróbuj użyć grupy Sales i dodaj Britta Simon i Anna Ringdahl. Nie powinno to aprowizować. Zrzut ekranu przedstawiający blokowanie aprowizacji.

  7. W usłudze Active Directory powinna zostać wyświetlona nowo utworzona grupa Marketing. Zrzut ekranu przedstawiający nową grupę użytkowników i komputerów usługi Active Directory.

Następne kroki