Öğretici - Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama

Bu öğretici, grupları şirket içi Active Directory eşitlemek için bulut eşitlemesi oluşturma ve yapılandırma konusunda size yol gösterir.

Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar

Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.

Genel gereksinimler

• En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
• Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.

Not

Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.

Bu izinler, varsayılan olarak Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri tarafından AdminSDHolder nesnelerine uygulanmaz

• Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
  • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
• Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect Sync
  • Microsoft Entra Connect Sync kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
  • AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir

Desteklenen gruplar ve ölçek sınırları

Aşağıdakiler desteklenir:

• Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
• Bu grupların atanmış veya dinamik üyelik grupları olabilir.
• Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
• Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
• 50.000'den büyük üyeler desteklenmez.
• 150.000'den fazla nesnesi olan kiracılar desteklenmez. Başka bir deyişle, kiracının 150.000'i aşan kullanıcı ve grupların birleşimi varsa, kiracı desteklenmez.
• İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
• Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.

Ek bilgiler

Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.

• Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Bu kullanıcıların hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
• onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
• Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Connect Sync (2.2.8.0) kullanılarak eşitlenebilir
• Kullanıcıları eşitlemek için Microsoft Entra Cloud Sync yerine Microsoft Entra Connect Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
• Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
• Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.

Varsayım

Bu öğreticide aşağıdakiler varsayılır:

• Active Directory şirket içi ortamınız var
• Kullanıcıları Microsoft Entra Id ile eşitlemek için bulut eşitleme kurulumunuz var.
• Eşitlenmiş iki kullanıcınız var. Britta Simon ve Lola Jacobson. Bu kullanıcılar şirket içinde ve Microsoft Entra Id'de bulunur.
• Active Directory'de üç Kuruluş Birimi oluşturuldu: Gruplar, Satışlar ve Pazarlama. Aşağıdaki distinguishedName'lere sahiptir:
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Microsoft Entra Id'de iki grup oluşturun.

Başlamak için Microsoft Entra Id'de iki grup oluşturacağız. Gruplardan biri Satış, diğeri pazarlamadır.

İki grup oluşturmak için şu adımları izleyin.

1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
2. Kimlik>Grupları>Tüm gruplar'a göz atın.
3. Üst kısımda Yeni grup'a tıklayın.
4. Grup türünün güvenlik olarak ayarlandığından emin olun.
5. Grup Adı için Sales girin
6. Üyelik türü için bu değeri atanmış olarak tutun.
7. Oluştur'a tıklayın.
8. Grup Adı olarak Pazarlama kullanarak bu işlemi yineleyin.

Yeni oluşturulan gruplara kullanıcı ekleme

1. Microsoft Entra yönetim merkezinde en azından Karma Kimlik Yöneticisi olarak oturum açın.
2. Kimlik>Grupları>Tüm gruplar'a göz atın.
3. Üst kısımdaki arama kutusuna Satışlar yazın.
4. Yeni Satış grubuna tıklayın.
5. Sol tarafta Üyeler'e tıklayın
6. Üst kısımda Üye ekle'ye tıklayın.
7. Üst kısımdaki arama kutusuna Britta Simon yazın.
8. Britta Simon'ın yanına bir çek koyun ve Seç'e tıklayın
9. Bu, onu gruba başarıyla eklemelidir.
10. Sol uçta Tüm gruplar'a tıklayın ve Satış grubunu kullanarak ve lola Jacobson'u bu gruba ekleyerek bu işlemi yineleyin.

Sağlamayı yapılandırma

Sağlamayı yapılandırmak için şu adımları izleyin.

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici olarak oturum açın.
2. Kimlik>Karma yönetimi>Microsoft Entra Connect>Bulut eşitleme'ye göz atın.

3. Yeni yapılandırma'ya tıklayın.

4. Ad eşitlemesi için Microsoft Entra ID'yi seçin.

5. Yapılandırma ekranında etki alanınızı ve parola karması eşitlemenin etkinleştirilip etkinleştirilmeymeyeceğini seçin. Oluştur'a tıklayın.

6. Başlarken ekranı açılır. Buradan bulut eşitlemesini yapılandırmaya devam edebilirsiniz

7. Sol tarafta Kapsam filtreleri'ne tıklayın.

8. Grup kapsamı altında Bunu Tüm Güvenlik grupları olarak ayarlayın

9. Hedef kapsayıcı altında Öznitelik eşlemesini düzenle'ye tıklayın.

10. Eşleme türünü İfade olarak değiştirme

11. İfade kutusuna aşağıdakileri girin: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Varsayılan değeri OU=Groups,DC=contoso,DC=com olarak değiştirin.

13. Uygula - Bu, grup displayName özniteliğine bağlı olarak hedef kapsayıcıyı değiştirir'e tıklayın.

14. Kaydet'e tıklayın

15. Sol tarafta Genel Bakış'a tıklayın

16. Üst kısımda Gözden geçir ve etkinleştir'e tıklayın

17. Sağ tarafta Yapılandırmayı etkinleştir'e tıklayın

Test yapılandırması

Not

İsteğe bağlı sağlama kullanılırken, üyeler otomatik olarak provizyonlandırılamaz. Test etmek istediğiniz üyeleri seçmeniz gerekir ve 5 üye sınırı vardır.

1. Microsoft Entra yönetim merkezinde en az Karma Yönetici olarak oturum açın.
2. Kimlik>Karma yönetimi>Microsoft Entra Connect>Bulut eşitleme'ye göz atın.

3. Yapılandırma'nın altında yapılandırmanızı seçin.

4. Sol tarafta İsteğe bağlı olarak sağla'yı seçin.

5. Seçili grup kutusuna Satışlar girin

6. Seçili kullanıcılar bölümünde test etmek için bazı kullanıcıları seçin.

7. Sağla'ya tıklayın.

8. Grubun sağlanmış olduğunu görmeniz gerekir.

Active Directory'de doğrulama

Artık grubun Active Directory'ye sağlandığından emin olabilirsiniz.

Aşağıdakileri yapın:

1. Şirket içi ortamınızda oturum açın.
2. başlatma Active Directory Kullanıcıları ve Bilgisayarları
3. Yeni grubun sağlandığından emin olun.

Sonraki adımlar

• Microsoft Entra Cloud Sync ile grup geri yazma
• Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme
• Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme