Öğretici - Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama

Bu öğretici, grupları şirket içi Active Directory eşitlemek için bulut eşitlemesi oluşturma ve yapılandırma konusunda size yol gösterir.

Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar

Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.

Genel gereksinimler

• En az Karma Yönetici istrator rolüne sahip Microsoft Entra hesabı.
• Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.

Not

Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.

Bu izinler varsayılan olarak Yönetici SDHolder nesnelerine uygulanmaz Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri

• Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
  • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
• Derleme sürümü 2.2.8.0 veya üzeri olan Microsoft Entra Bağlan
  • Microsoft Entra Bağlan kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
  • AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir

Desteklenen gruplar

Yalnızca aşağıdakiler desteklenir:

• Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
• Bu grupların atanmış veya dinamik üyelikleri olabilir.
• Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
• Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
• 50.000'den büyük üyeler desteklenmez.
• İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
• Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.

Ek bilgi

Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.

• Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Bu kullanıcıların tümünün hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
• onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
• Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Bağlan Sync (2.2.8.0) kullanılarak eşitlenebilir
• Microsoft Entra Cloud Sync yerine kullanıcıları eşitlemek için Microsoft Entra Bağlan Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
• Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
• Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.

Varsayımlar

Bu öğreticide aşağıdakiler varsayılır:

• Active Directory şirket içi ortamınız var
• Kullanıcıları Microsoft Entra Id ile eşitlemek için bulut eşitleme kurulumunuz var.
• Eşitlenmiş iki kullanıcınız var. Britta Simon ve Lola Jacobson. Bu kullanıcılar şirket içinde ve Microsoft Entra Id'de bulunur.
• Active Directory'de üç Kuruluş Birimi oluşturuldu: Gruplar, Satışlar ve Pazarlama. Aşağıdaki distinguishedName'lere sahiptir:
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Microsoft Entra Id'de iki grup oluşturun.

Başlamak için Microsoft Entra Id'de iki grup oluşturacağız. Gruplardan biri Satış, diğeri pazarlamadır.

İki grup oluşturmak için şu adımları izleyin.

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
2. Kimlik>Grupları>Tüm gruplar'a göz atın.
3. Üst kısımda Yeni grup'a tıklayın.
4. Grup türünün güvenlik olarak ayarlandığından emin olun.
5. Grup Adı için Sales girin
6. Üyelik türü için bu değeri atanmış olarak tutun.
7. Oluştur’a tıklayın.
8. Grup Adı olarak Pazarlama kullanarak bu işlemi yineleyin.

Yeni oluşturulan gruplara kullanıcı ekleme

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
2. Kimlik>Grupları>Tüm gruplar'a göz atın.
3. Üst kısımdaki arama kutusuna Satışlar yazın.
4. Yeni Satış grubuna tıklayın.
5. Sol tarafta Üyeler'e tıklayın
6. Üst kısımda Üye ekle'ye tıklayın.
7. Üst kısımdaki arama kutusuna Britta Simon yazın.
8. Britta Simon'ın yanına bir çek koyun ve Seç'e tıklayın
9. Bu, onu gruba başarıyla eklemelidir.
10. Sol uçta Tüm gruplar'a tıklayın ve Satış grubunu kullanarak ve lola Jacobson'u bu gruba ekleyerek bu işlemi yineleyin.

Sağlamayı yapılandırma

Sağlamayı yapılandırmak için şu adımları izleyin.

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
2. Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.

3. Yeni yapılandırma'ya tıklayın.

4. Ad eşitlemesi için Microsoft Entra ID'yi seçin.

5. Yapılandırma ekranında etki alanınızı ve parola karması eşitlemenin etkinleştirilip etkinleştirilmeymeyeceğini seçin. Oluştur'a tıklayın.

6. Başlarken ekranı açılır. Buradan bulut eşitlemesini yapılandırmaya devam edebilirsiniz

7. Sol tarafta Kapsam filtreleri'ne tıklayın.

8. Grup kapsamı altında Bunu Tüm Güvenlik grupları olarak ayarlayın

9. Hedef kapsayıcı altında Öznitelik eşlemesini düzenle'ye tıklayın.

10. Eşleme türünü İfade olarak değiştirme

11. İfade kutusuna aşağıdakileri girin: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Varsayılan değeri OU=Groups,DC=contoso,DC=com olarak değiştirin.

13. Uygula - Bu, grup displayName özniteliğine bağlı olarak hedef kapsayıcıyı değiştirir'e tıklayın.

14. Kaydet’e tıklayın

15. Sol tarafta Genel Bakış'a tıklayın

16. Üst kısımda Gözden geçir ve etkinleştir'e tıklayın

17. Sağ tarafta Yapılandırmayı etkinleştir'e tıklayın

Test yapılandırması

Not

İsteğe bağlı sağlama kullanılırken, üyeler otomatik olarak provizyonlandırılamaz. Test etmek istediğiniz üyeleri seçmeniz gerekir ve 5 üye sınırı vardır.

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
2. Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.

3. Yapılandırma'nın altında yapılandırmanızı seçin.

4. Sol tarafta İsteğe bağlı olarak sağla'yı seçin.

5. Seçili grup kutusuna Satışlar girin

6. Seçili kullanıcılar bölümünde test etmek için bazı kullanıcıları seçin.

7. Sağla'ya tıklayın.

8. Grubun sağlanmış olduğunu görmeniz gerekir.

Active Directory'de doğrulama

Artık grubun Active Directory'ye sağlandığından emin olabilirsiniz.

Aşağıdakileri yapın:

1. Şirket içi ortamınızda oturum açın.
2. başlatma Active Directory Kullanıcıları ve Bilgisayarları
3. Yeni grubun sağlandığından emin olun.

Sonraki adımlar

• Microsoft Entra Cloud Sync ile grup geri yazma
• Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme
• Microsoft Entra Bağlan Eşitleme grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme