Cenário – Usando extensões de diretório com provisionamento de grupo no Active Directory

Cenário: você tem centenas de grupos no Microsoft Entra ID. Você deseja provisionar alguns desses grupos, mas não todos de volta ao Active Directory. Você gostaria de um filtro rápido que possa ser aplicado a grupos sem precisar criar um filtro de escopo mais complicado.

Você pode usar o ambiente criado neste tutorial para testes ou para se familiarizar mais com a sincronização na nuvem.

Suposições

• Esse cenário pressupõe que você já tem um ambiente de trabalho que esteja sincronizando usuários com o Microsoft Entra ID.
• Há quatro usuários sincronizados. Brenda Fernandes, Lara Cardoso, Marina Azevedo e Pedro Gonçalves.
• Três unidades organizacionais foram criados no Active Directory – Vendas, Marketing e Grupos
• As contas de usuários Britta Simon e Anna Ringdahl residem na UO de Vendas.
• As contas de usuário Lara Cardoso e Pedro Gonçalves residem na UO de Marketing.
• A UO de Grupos é onde nossos grupos do Microsoft Entra ID são provisionados.

Dica

Para uma melhor experiência ao executar cmdlets do SDK do Microsoft Graph PowerShell, use o Visual Studio Code com a extensão ms-vscode.powershell no Modo ISE.

Criar dois grupos no Microsoft Entra ID

Para começar, crie dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
2. Navegue até Entra ID>Grupos>Todos os grupos.
3. Na parte superior, clique em Novo grupo.
4. Verifique se o tipo de grupo está definido como segurança.
5. Para o Nome do Grupo,insira Vendas
6. Para o tipo de associação, mantenha como atribuído.
7. Clique em Criar.
8. Repita esse processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
2. Navegue até Entra ID>Grupos>Todos os grupos.
3. Na parte superior, na caixa de pesquisa, insira Vendas.
4. Clique no novo grupo Vendas .
5. À esquerda, clique em Membros
6. Na parte superior, clique em Adicionar membros.
7. Na parte superior, na caixa de pesquisa, insira Britta Simon.
8. Coloque um cheque ao lado de Brenda Fernandes e Anna Ringdahl e clique em Selecionar
9. Isso deve adicioná-la com sucesso ao grupo.
10. Na extrema esquerda, clique em Todos os grupos e repita esse processo usando o grupo de Marketing e adicionando Lola Jacobson e John Smith a esse grupo.

Observação

Ao adicionar usuários ao grupo Marketing, anote a ID do grupo na página de visão geral. Essa ID será usada posteriormente para adicionar a propriedade recém-criada ao grupo.

Instalar e conectar o SDK do Microsoft Graph PowerShell

1. Se ainda não estiver instalado, siga a documentação do SDK do Microsoft Graph PowerShell para instalar os módulos principais do SDK do Microsoft Graph PowerShell: Microsoft.Graph.

2. Abrir o PowerShell com privilégios administrativos

3. Para definir a política de execução, execute (pressione [A] Sim para todos quando solicitado):

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

4. Conecte-se ao seu locatário (certifique-se de aceitar em nome de ao entrar):

   Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"
   

Criar nosso aplicativo CloudSyncCustomExtensionApp e a entidade de serviço

Importante

A extensão de diretório do Microsoft Entra Cloud Sync só tem suporte para aplicativos com o URI do identificador "api://<tenantId>/CloudSyncCustomExtensionsApp" e o Tenant Schema Extension App criado pelo Microsoft Entra Connect.

1. Obtenha a ID do Locatário:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

Observação

Isso gerará nossa ID de Locatário atual. Você pode confirmar este ID de Locatário navegando até o Centro de administração do Microsoft Entra>ID do Entra>visão geral.

1. Usando a variável $tenantId da etapa anterior, verifique se o CloudSyncCustomExtensionApp existe.

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   $cloudSyncCustomExtApp
   

2. Se houver um CloudSyncCustomExtensionApp, acesse a próxima etapa. Caso contrário, crie o novo aplicativo CloudSyncCustomExtensionApp:

   $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
   $cloudSyncCustomExtApp 
   

3. Verifique se o aplicativo CloudSyncCustomExtensionsApp tem uma entidade de segurança associada. Se você acabou de criar um novo aplicativo, vá para a próxima etapa.

   Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"
   

4. Se você acabou de criar um novo aplicativo ou uma entidade de segurança não for retornada, crie uma entidade de segurança para CloudSyncCustomExtensionsApp:

   New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId
   

Criar nosso atributo de extensão personalizado

Dica

Nesse cenário, vamos criar um atributo de extensão personalizado chamado WritebackEnabled para ser usado no filtro de escopo do Microsoft Entra Cloud Sync, para que apenas grupos com WritebackEnabled definido como True sejam gravados de volta no Active Directory local, da mesma forma que o sinalizador habilitado para Write-back no Centro de administração do Microsoft Entra.

1. Obtenha a ID do Locatário:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

2. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   

3. Agora, no CloudSyncCustomExtensionApp, crie o atributo de extensão personalizado chamado "WritebackEnabled" e atribua-o a objetos de Grupo:

   New-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'
   

4. Esse cmdlet cria um atributo de extensão que se parece com extension_<guid>_WritebackEnabled.

Criar nossa configuração de sincronização de nuvem

1. Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

2. Navegue até Entra ID>Entra Connect>sincronização na nuvem.

3. Selecione Nova configuração.

4. Selecione a ID do Microsoft Entra para sincronização do AD.

5. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Clique em Criar.

6. A tela Introdução é aberta. Aqui, você pode continuar configurar a sincronização na nuvem

7. À esquerda, clique em Filtros de escopo , selecione Escopo de grupo - Todos os grupos

8. Clique em Editar mapeamento de atributo e altere o contêiner de destino para OU=Groups,DC=Contoso,DC=com. Clique em Salvar.

9. Clique em Adicionar filtro de escopo de atributo

10. Digite um nome para o filtro de escopo: Filter groups with Writeback Enabled

11. Em Atributo de Destino, selecione o atributo recém-criado que se parece com extension_<guid>_WritebackEnabled.

Importante

Alguns dos atributos de destino exibidos na lista suspensa podem não ser utilizáveis como um filtro de escopo porque nem todas as propriedades podem ser gerenciadas no Entra ID, por exemplo, extensionAttribute[1-15]. Portanto, a recomendação é criar uma propriedade de extensão personalizada para essa finalidade específica.

13. Em Operador , selecione IS TRUE
14. Clique em Salvar. E clique em Salvar.
15. Deixe a configuração desabilitada e volte para ela.

Adicione a nova propriedade de extensão a um dos grupos

Quanto à essa parte, adicionaremos um valor à nossa propriedade recém-criada a um dos grupos existentes, Marketing.

Definir o valor da propriedade de extensão usando o SDK do Microsoft Graph PowerShell

1. Obtenha a ID do Locatário:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

2. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   

3. Obtenha nossa propriedade de extensão:

   $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
       Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
   $gwbEnabledExtAttrib 
   $gwbEnabledExtName = $gwbEnabledExtAttrib.Name
   

4. Agora, obtenha o grupo Marketing:

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
   $marketingGrp 
   

5. Em seguida, com a variável $gwbEnabledExtName que contém extension_<guid>_WritebackEnabled, defina o valor True para o grupo de Marketing:

   Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}
   

6. Para confirmar, você pode ler o valor da propriedade extension_<guid>_WritebackEnabled com o seguinte comando:

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
   $marketingGrp.AdditionalProperties.$gwbEnabledExtName
   

Definir o valor da propriedade de extensão usando o Microsoft Graph Explorer

Você precisa ter certeza de que deu consentimento a Group.ReadWrite.All. Você pode fazer isso selecionando Modificar permissões.

1. Navegue até o Microsoft Graph Explorer

2. Entre usando a conta de administrador de locatários. Talvez seja necessário usar uma conta de administrador de identidade híbrida. Uma conta de administrador de identidade híbrida foi usada na criação desse cenário. Uma conta de administrador de identidade híbrida pode ser suficiente.

3. Na parte superior, altere o GET para PATCH.

4. Na caixa de endereços, insira: https://graph.microsoft.com/v1.0/groups/<Group Id>

5. No corpo da solicitação, insira:

   {
    extension_<guid>_WritebackEnabled: true
   }
   
   

6. Clique em Executar consulta

7. Se for feito corretamente, você verá [].

8. Agora, na parte superior, altere PATCH para GET e examine as propriedades do grupo de marketing.

9. Clique em Executar consulta. Você deve ver o atributo recém-criado.

Testar nossa configuração

Observação

Ao usar o provisionamento sob demanda, os membros não são provisionados automaticamente. Você precisa selecionar quais membros deseja avaliar, com limite de cinco membros.

1. Entre no Centro de administração do Microsoft Entra como pelo menos um administrador de identidade híbrida.

2. Navegue até Entra ID>Entra Connect>sincronização na nuvem.

   

3. Em Configuração, selecione sua configuração.
4. À esquerda, selecione Provisionar sob demanda.
5. Insira Marketing na caixa Grupo Selecionado
6. Na seção Usuários selecionados , selecione alguns usuários para testar. Selecione Lola Jacobson e John Smith.
7. Clique em Provisionar. Ele deve ser provisionado com sucesso.
8. Agora tente com o grupo Vendas e adicione Britta Simon e Anna Ringdahl. Isso não deve ser provisionado.
9. No Active Directory, você deverá ver o grupo Marketing recém-criado.
10. Agora você pode navegar até a > na página de Entra ID>>, para verificar e habilitar nossa configuração para começar a sincronizar.

Próximas etapas

• Usar gravação de grupo com o Microsoft Entra Cloud Sync

• Governe aplicativos baseados no Active Directory local (Kerberos) usando a Governança de ID do Microsoft Entra

• Migrar o grupo de writeback do Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync