Dela via

Scenario – Använda katalogtillägg med gruppetablering till Active Directory

  • Artikel

Scenario: Du har hundratals grupper i Microsoft Entra-ID. Du vill etablera några av dessa grupper, men inte alla tillbaka till Active Directory. Du vill ha ett snabbfilter som kan tillämpas på grupper utan att behöva göra ett mer komplicerat omfångsfilter.

Diagram över tillbakaskrivning av grupper med molnsynkronisering.

Du kan använda miljön som du skapar i det här scenariot för testning eller för att bekanta dig mer med molnsynkronisering.

Antaganden

  • Det här scenariot förutsätter att du redan har en arbetsmiljö som synkroniserar användare med Microsoft Entra-ID.
  • Vi har 4 användare som är synkroniserade. Britta Simon, Lola Jacobson, Anna Ringdahl och John Smith.
  • Tre organisationsenheter har skapats i Active Directory – försäljning, marknadsföring och grupper
  • Användarkontona Britta Simon och Anna Ringdahl finns i försäljningsenheten.
  • Lola Jacobson- och John Smith-användarkontona finns i organisationsenheten för marknadsföring.
  • Organisationsenheten Grupper är där våra grupper från Microsoft Entra-ID etableras.

Dricks

Om du vill ha en bättre upplevelse av att köra Microsoft Graph PowerShell SDK-cmdletar använder du Visual Studio Code med ms-vscode.powershell tillägget i ISE-läge.

Skapa två grupper i Microsoft Entra-ID

Börja med att skapa två grupper i Microsoft Entra-ID. En grupp är Försäljning och Den andra är Marknadsföring.

Följ dessa steg för att skapa två grupper.

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
  2. Bläddra till Identitetsgrupper>>Alla grupper.
  3. Längst upp klickar du på Ny grupp.
  4. Kontrollera att grupptypen är inställd på säkerhet.
  5. För gruppnamnet anger du Försäljning
  6. För Medlemskapstyp behåll den tilldelad.
  7. Klicka på Skapa.
  8. Upprepa den här processen med marknadsföring som gruppnamn.

Lägga till användare i de nyligen skapade grupperna

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
  2. Bläddra till Identitetsgrupper>>Alla grupper.
  3. Längst upp i sökrutan anger du Försäljning.
  4. Klicka på den nya gruppen Försäljning .
  5. Klicka på Medlemmar till vänster
  6. Längst upp klickar du på Lägg till medlemmar.
  7. Längst upp i sökrutan anger du Britta Simon.
  8. Sätt en kontroll bredvid Britta Simon och Anna Ringdahl och klicka på Välj
  9. Det bör lägga till henne i gruppen.
  10. Längst till vänster klickar du på Alla grupper och upprepar den här processen med hjälp av marknadsföringsgruppen och lägger till Lola Jacobson och John Smith i gruppen.

Kommentar

När du lägger till användare i marknadsföringsgruppen bör du anteckna grupp-ID:t på översiktssidan. Det här ID:t används senare för att lägga till vår nyskapade egenskap i gruppen.

Installera och ansluta Microsoft Graph PowerShell SDK

  1. Om du inte har installerat det ännu följer du Microsoft Graph PowerShell SDK-dokumentationen för att installera huvudmodulerna i Microsoft Graph PowerShell SDK: Microsoft.Graph.

  2. Öppna PowerShell med administratörsbehörighet

  3. Om du vill ange körningsprincipen kör du (tryck på [A] Ja till alla när du uppmanas):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Anslut till din klientorganisation (Se till att acceptera för din inloggnings räkning):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Skapa vårt CloudSyncCustomExtensionApp-program och tjänstens huvudnamn

Viktigt!

Katalogtillägget för Microsoft Entra Cloud Sync stöds endast för program med identifierarens URI "api://< tenantId>/CloudSyncCustomExtensionsApp" och klientschematilläggsappen som skapats av Microsoft Entra Connect.

  1. Hämta klientorganisations-ID:t:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Kommentar

Då matas vårt aktuella klient-ID ut. Du kan bekräfta det här klientorganisations-ID:t genom att gå till Microsoft Entra administrationscenter> Identitetsöversikt > .

  1. Med hjälp av variabeln $tenantId från föregående steg kontrollerar du om CloudSyncCustomExtensionApp finns.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Om det finns en CloudSyncCustomExtensionApp går du vidare till nästa steg. Annars skapar du den nya CloudSyncCustomExtensionApp-appen:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Kontrollera om CloudSyncCustomExtensionsApp-programmet har ett associerat säkerhetsobjekt. Om du precis har skapat en ny app går du vidare till nästa steg.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Om du precis har skapat en ny app eller om ett säkerhetsobjekt inte returneras skapar du ett säkerhetsobjekt för CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Skapa vårt anpassade tilläggsattribut

Dricks

I det här scenariot ska vi skapa ett anpassat tilläggsattribut som anropas WritebackEnabled för att användas i Microsoft Entra Cloud Sync-omfångsfiltret, så att endast grupper med WritebackEnabled inställd på True skrivs tillbaka till lokal Active Directory, på samma sätt som flaggan Tillbakaskrivning aktiverat i Administrationscenter för Microsoft Entra.

  1. Hämta CloudSyncCustomExtensionsApp-programmet:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Under CloudSyncCustomExtensionApp skapar du nu attributet för anpassat tillägg med namnet "WritebackEnabled" och tilldelar det till Gruppobjekt:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Den här cmdleten skapar ett tilläggsattribut som ser ut som extension_<guid>_WritebackEnabled.

Skapa vår molnsynkroniseringskonfiguration

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.

  2. Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.

  3. Välj Ny konfiguration.

  4. Välj Microsoft Entra-ID till AD-synkronisering.

Skärmbild av konfigurationsval.

  1. På konfigurationsskärmen väljer du din domän och om du vill aktivera synkronisering av lösenordshash. Klicka på Skapa.

Skärmbild av en ny konfiguration.

  1. Skärmen Kom igång öppnas. Härifrån kan du fortsätta att konfigurera molnsynkronisering

  2. Till vänster klickar du på Omfångsfilter och väljer Gruppomfång - Alla grupper

  3. Klicka på Redigera attributmappning och ändra målcontainern till OU=Groups,DC=Contoso,DC=com. Klicka på Spara.

  4. Klicka på Lägg till attributomfångsfilter

  5. Ange ett namn för omfångsfiltret: Filter groups with Writeback Enabled

  6. Under Målattribut väljer du det nyligen skapade attributet som ser ut som extension_<guid>_WritebackEnabled.

Viktigt!

Vissa av de målattribut som visas i listrutan kanske inte kan användas som ett omfångsfilter eftersom inte alla egenskaper kan hanteras i Entra-ID, till exempel extensionAttribute[1–15], därför är rekommendationen att skapa en anpassad tilläggsegenskap för det här specifika syftet. Skärmbild av tillgängliga attribut.

  1. Under Operator väljer du IS TRUE
  2. Klicka på Spara. Klicka på Spara.
  3. Låt konfigurationen vara inaktiverad och kom tillbaka till den.

Lägg till ny tilläggsegenskap i en av våra grupper

För den här delen lägger vi till ett värde på vår nyskapade egenskap till en av våra befintliga grupper, Marknadsföring.

Ange tilläggets egenskapsvärde med Microsoft Graph PowerShell SDK

  1. Använd variabeln $cloudSyncCustomExtApp från föregående steg för att hämta vår tilläggsegenskap:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Marketing Hämta nu gruppen:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Med variabeln $gwbEnabledExtName som innehåller extension_<guid>_WritebackEnabledanger du sedan värdet True för gruppen Marknadsföring:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. För att bekräfta kan du läsa egenskapsvärdet extension_<guid>_WritebackEnabled med:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Ange egenskapsvärdet för tillägget med hjälp av Microsoft Graph Explorer

Du måste se till att du har samtyckt till Group.ReadWrite.All. Du kan göra detta genom att välja Ändra behörigheter.

  1. Gå till Microsoft Graph Explorer

  2. Logga in med ditt klientadministratörskonto. Detta kan behöva vara ett hybrididentitetsadministratörskonto. Ett hybrididentitetsadministratörskonto användes för att skapa det här scenariot. Ett hybrididentitetsadministratörskonto kan vara tillräckligt.

  3. Överst ändrar du GET till PATCH

  4. I adressrutan anger du: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. I begärandetexten anger du:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Klicka på Kör frågaSkärmbild av körning av graffrågan.

  7. Om det görs på rätt sätt ser du [].

  8. Överst ändrar du PATCH till GET och tittar på egenskaperna för marknadsföringsgruppen.

  9. Klicka på Kör fråga. Du bör se det nyligen skapade attributet. Skärmbild av gruppegenskaper.

Testa vår konfiguration

Kommentar

När du använder etablering på begäran etableras inte medlemmar automatiskt. Du måste välja vilka medlemmar du vill testa och det finns en gräns på 5 medlemmar.

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybridadministratör.
  2. Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.Skärmbild av startsidan för molnsynkronisering.
  1. Under Konfiguration väljer du din konfiguration.
  2. Till vänster väljer du Etablera på begäran.
  3. Ange Marknadsföring i rutan Vald grupp
  4. I avsnittet Valda användare väljer du några användare att testa. Välj Lola Jacobson och John Smith.
  5. Klicka på Etablera. Den bör etableras. Skärmbild av lyckad etablering.
  6. Prova nu med säljgruppen och lägg till Britta Simon och Anna Ringdahl. Detta bör inte etableras. Skärmbild av etablering som blockeras.
  7. I Active Directory bör du se den nyligen skapade marknadsföringsgruppen. Skärmbild av ny grupp i Active Directory-användare och datorer.
  8. Nu kan du bläddra till sidan Identity>Hybrid Management>Microsoft Entra Connect>Cloud sync > Overview för att granska och aktivera vår konfiguration för att börja synkronisera.

Nästa steg