Руководство. Подготовка групп в Active Directory с помощью Microsoft Entra Cloud Sync

В этом руководстве описывается создание и настройка облачной синхронизации для синхронизации групп с локальная служба Active Directory.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензии

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.

Общие требования

• Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
• Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
• Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Заметка

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

• Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
  • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
• Синхронизация Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
  • Требуется для поддержки локального членства пользователей, синхронизированных с помощью microsoft Entra Connect Sync
  • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

• Поддерживаются только созданные облаком группы безопасности
• Эти группы могут быть назначены или динамические группы членства.
• Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
• Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
• Группы, превышающие 50 000 членов, не поддерживаются.
• Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
• Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
• Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительные сведения

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

• Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
• Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
• OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
• Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
• Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
• Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
• Задание подготовки группы планируется выполнять каждые 20 минут.

Предположения

В этом руководстве предполагается следующее:

• У вас есть локальная среда Active Directory
• У вас есть настройка облачной синхронизации для синхронизации пользователей с идентификатором Microsoft Entra.
• У вас есть два пользователя, которые синхронизированы. Брита Саймон и Лола Джейкобсон. Эти пользователи существуют локально и в идентификаторе Microsoft Entra.
• Три организационных подразделения были созданы в Active Directory — группы, продажи и маркетинг. Они имеют следующие различающиеся имена:
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Создайте две группы в идентификаторе Microsoft Entra.

Для начала мы создадим две группы в идентификаторе Microsoft Entra. Одна группа — Продажи, а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
2. Перейдите к группам>удостоверений>Все группы.
3. В верхней части нажмите кнопку "Создать группу".
4. Убедитесь, что для типа группы задана безопасность.
5. В поле "Имя группы" введите "Продажи"
6. Для типа членства он назначается.
7. Нажмите кнопку " Создать".
8. Повторите этот процесс с помощью маркетинга в качестве имени группы.

Добавление пользователей в только что созданные группы

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
2. Перейдите к группам>удостоверений>Все группы.
3. В верхней части окна поиска введите Sales.
4. Щелкните новую группу продаж .
5. В левой части экрана нажмите кнопку "Члены"
6. В верхней части нажмите кнопку "Добавить участников".
7. В верхней части окна поиска введите Britta Simon.
8. Установите флажок рядом с Britta Simon и нажмите кнопку " Выбрать"
9. Она должна успешно добавить ее в группу.
10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы продаж и добавьте Лола Джейкобсон в эту группу.

Настройка подготовки

Чтобы настроить подготовку, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.

3. Выберите новую конфигурацию.

4. Выберите идентификатор Microsoft Entra в службу синхронизации AD.

5. На экране конфигурации выберите домен и включите синхронизацию хэша паролей. Нажмите кнопку " Создать".

6. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

7. Слева щелкните фильтры области.

8. В разделе "Область группы" задано значение "Все группы безопасности"

9. В разделе "Целевой контейнер " щелкните "Изменить сопоставление атрибутов".

10. Изменение типа сопоставления с выражением

11. В поле выражения введите следующее: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Измените значение по умолчанию, чтобы быть OU=Groups,DC=contoso,DC=com.

13. Нажмите кнопку "Применить ". Это изменяет целевой контейнер в зависимости от атрибута displayName группы.

14. Нажмите кнопку " Сохранить"

15. Слева нажмите кнопку "Обзор"

16. В верхней части нажмите кнопку "Рецензирование" и " Включить"

17. Справа нажмите кнопку "Включить конфигурацию"

Конфигурация теста

Заметка

При использовании подготовки по запросу члены не будут автоматически провизионированы. Необходимо выбрать участников, на которые вы хотите протестировать, и есть ограничение на 5 членов.

1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.

3. В разделе "Конфигурация" выберите конфигурацию.

4. Слева выберите "Подготовка по запросу".

5. Введите "Продажи" в поле "Выбранная группа"

6. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования.

7. Нажмите кнопку "Подготовка".

8. Вы должны увидеть подготовленную группу.

Проверка в Active Directory

Теперь вы можете убедиться, что группа подготовлена в Active Directory.

Сделайте следующее:

1. Войдите в локальную среду.
2. Запуск Пользователи и компьютеры Active Directory
3. Убедитесь, что новая группа подготовлена.

Дальнейшие действия

• Обратная запись групп с помощью Microsoft Entra Cloud Sync
• Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
• Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync