Поделиться через

Руководство — Настройка групп в Active Directory с помощью Microsoft Entra Cloud Sync

В этом руководстве описывается создание и настройка облачной синхронизации для синхронизации групп с локальной службой Active Directory.

Настройка Microsoft Entra ID в Active Directory — предварительные требования

Для развертывания групп подготовки в Active Directory требуются следующие требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, ознакомьтесь с общими доступными функциями идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора "Гибридная идентичность".
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Предназначен для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки со сборкой версии 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляетесь с предыдущей версии, необходимо вручную назначить разрешения с помощью командлета PowerShell.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что установлены права на чтение, запись, создание и удаление всех свойств для всех дочерних объектов групп и пользователей.

Эти разрешения по умолчанию не применяются к объектам AdminSDHolder, связанным с агентом предоставления Microsoft Entra gMSA PowerShell cmdlets.

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с версией сборки 2.2.8.0 или более поздней
    • Требуется для поддержки членства локальных пользователей, синхронизированных с помощью Microsoft Entra Connect Sync.
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные в облаке группы безопасности
  • Эти группы могут быть назначенными или динамическими группами членства.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами созданной в облаке группы безопасности, могут быть из одного домена или из разных доменов, но все они должны быть из одного леса.
  • Эти группы записываются обратно в универсальную область групп AD. Локальная инфраструктура должна поддерживать универсальный размах группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Арендаторы, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерняя вложенная группа считается одним членом в группе, к которой относится.
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя на атрибут onPremisesObjectIdentifier облачного пользователя можно синхронизировать с помощью Microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • Если вы используете Microsoft Entra Connect Sync (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать провижининг в AD, версия должна быть 2.2.8.0 или новее.
  • Поддерживаются только обычные арендаторы Microsoft Entra ID для предоставления из Microsoft Entra ID в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Предположения

В этом учебнике предполагается следующее:

  • У вас есть локальная среда Active Directory
  • У вас есть настройка облачной синхронизации для синхронизации пользователей с идентификатором Microsoft Entra.
  • У вас есть два пользователя, которые синхронизированы. Брита Саймон и Лола Джейкобсон. Эти пользователи существуют локально и в идентификаторе Microsoft Entra.
  • Три организационных подразделения были созданы в Active Directory — группы, продажи и маркетинг. Они имеют следующие различающиеся имена:
  • OU=Маркетинг,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Группы,DC=contoso,DC=com

Создайте две группы в идентификаторе Microsoft Entra.

Для начала мы создадим две группы в идентификаторе Microsoft Entra. Одна группа — Продажи, а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли гибридного администратора удостоверений.
  2. Перейдите к Entra ID>Группы>Все группы.
  3. В верхней части нажмите кнопку "Создать группу".
  4. Убедитесь, что для типа группы задана безопасность.
  5. В поле "Имя группы" введите "Продажи"
  6. Оставьте тип членства назначенным.
  7. Нажмите кнопку "Создать".
  8. Повторите этот процесс, используя Marketing в качестве названия группы.

Добавление пользователей в только что созданные группы

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли гибридного администратора удостоверений.
  2. Перейдите к Entra ID>Группы>Все группы.
  3. В верхней части окна поиска введите Sales.
  4. Кликните на новую группу продаж.
  5. В левой части экрана нажмите кнопку "Члены"
  6. В верхней части нажмите кнопку "Добавить участников".
  7. В верхней части окна поиска введите Britta Simon.
  8. Установите флажок рядом с Britta Simon и нажмите кнопку "Выбрать"
  9. Это должно успешно добавить её в группу.
  10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы продаж и добавьте Лола Джейкобсон в эту группу.

Настройка управления ресурсами

Чтобы настроить предоставление, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор гибридных удостоверений.

  2. Перейдите к Entra ID>Entra Connect>Cloud sync.

    Снимок экрана: домашняя страница Microsoft Entra Connect Cloud Sync.

  1. Выберите новую конфигурацию.

  2. Выберите Microsoft Entra ID to AD sync. Снимок экрана: выбор конфигурации.

  3. На экране конфигурации выберите домен и включите синхронизацию хэша паролей. Нажмите кнопку "Создать". Снимок экрана: новая конфигурация.

  4. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

  5. Слева нажмите фильтры выбора.

  6. В разделе "Область группы" задано значение "Все группы безопасности"

  7. В разделе "Целевой контейнер" щелкните "Изменить сопоставление атрибутов". Снимок экрана разделов для фильтрации.

  8. Измените тип сопоставления на выражение

  9. В поле выражения введите следующее: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Измените значение по умолчанию на OU=Groups,DC=contoso,DC=com. Снимок экрана: выражение фильтров области.

  11. Нажмите кнопку "Применить ". Это изменяет целевой контейнер в зависимости от атрибута displayName группы.

  12. Нажмите кнопку "Сохранить"

  13. Слева нажмите кнопку "Обзор"

  14. В верхней части нажмите кнопку "Рецензирование" и "Включить"

  15. Справа нажмите кнопку "Включить конфигурацию"

Конфигурация теста

Примечание.

При использовании предоставления по запросу члены не будут автоматически задействованы. Необходимо выбрать участников, которых вы хотите протестировать, и ограничение составляет 5 участников.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор гибридных удостоверений.

  2. Перейдите к Entra ID>Entra Connect>Cloud sync.

    Снимок экрана: домашняя страница Microsoft Entra Connect Cloud Sync.

  1. В разделе "Конфигурация" выберите конфигурацию.

  2. Слева выберите "Подготовка по запросу".

  3. Введите "Продажи " в поле "Выбранная группа "

  4. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования. Снимок экрана: добавление участников.

  5. Нажмите "Настройка".

  6. Вам следует увидеть, что группа подготовлена.

Снимок экрана успешного предоставления по запросу.

Проверка в Active Directory

Теперь вы можете убедиться, что группа настроена в Active Directory.

Выполните следующие действия.

  1. Войдите в локальную среду.
  2. Запустите Пользователи и компьютеры Active Directory
  3. Убедитесь, что новая группа создана. Снимок экрана вновь созданной группы.

Следующие шаги