Öğretici - Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama
Bu öğretici, grupları şirket içi Active Directory eşitlemek için bulut eşitlemesi oluşturma ve yapılandırma konusunda size yol gösterir.
Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar
Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.
Lisans gereksinimleri
Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimlerinize uygun lisansı bulmak için bkz. Microsoft Entra Kimliğin genel olarak sağlanan özelliklerini karşılaştırma.
Genel gereksinimler
- En az Karma Yönetici istrator rolüne sahip Microsoft Entra hesabı.
- Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
- AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
- Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.
Not
Hizmet hesabına yönelik izinler yalnızca temiz yükleme sırasında atanır. Önceki sürümden yükseltme yapıyorsanız izinlerin PowerShell cmdlet'i kullanılarak el ile atanmalıdır:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
İzinler el ile ayarlanırsa, tüm alt Gruplar ve Kullanıcı nesneleri için tüm özellikleri Okuma, Yazma, Oluşturma ve Silme'nin sağlandığından emin olmanız gerekir.
Bu izinler varsayılan olarak Yönetici SDHolder nesnelerine uygulanmaz Microsoft Entra sağlama aracısı gMSA PowerShell cmdlet'leri
- Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
- Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
- Derleme sürümü 2.2.8.0 veya üzeri olan Microsoft Entra Bağlan
- Microsoft Entra Bağlan kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
- AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir
Desteklenen gruplar
Yalnızca aşağıdakiler desteklenir:
- Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
- Bu grupların atanmış veya dinamik üyelikleri olabilir.
- Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
- Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
- Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
- 50.000'den büyük üyeler desteklenmez.
- İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
- Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.
Ek bilgi
Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.
- Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
- Bu kullanıcıların tümünün hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
- onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
- Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Bağlan Sync (2.2.8.0) kullanılarak eşitlenebilir
- Microsoft Entra Cloud Sync yerine kullanıcıları eşitlemek için Microsoft Entra Bağlan Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
- Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
- Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.
Varsayımlar
Bu öğreticide aşağıdakiler varsayılır:
- Active Directory şirket içi ortamınız var
- Kullanıcıları Microsoft Entra Id ile eşitlemek için bulut eşitleme kurulumunuz var.
- Eşitlenmiş iki kullanıcınız var. Britta Simon ve Lola Jacobson. Bu kullanıcılar şirket içinde ve Microsoft Entra Id'de bulunur.
- Active Directory'de üç Kuruluş Birimi oluşturuldu: Gruplar, Satışlar ve Pazarlama. Aşağıdaki distinguishedName'lere sahiptir:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Microsoft Entra Id'de iki grup oluşturun.
Başlamak için Microsoft Entra Id'de iki grup oluşturacağız. Gruplardan biri Satış, diğeri pazarlamadır.
İki grup oluşturmak için şu adımları izleyin.
- Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
- Kimlik>Grupları>Tüm gruplar'a göz atın.
- Üst kısımda Yeni grup'a tıklayın.
- Grup türünün güvenlik olarak ayarlandığından emin olun.
- Grup Adı için Sales girin
- Üyelik türü için bu değeri atanmış olarak tutun.
- Oluştur’a tıklayın.
- Grup Adı olarak Pazarlama kullanarak bu işlemi yineleyin.
Yeni oluşturulan gruplara kullanıcı ekleme
- Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
- Kimlik>Grupları>Tüm gruplar'a göz atın.
- Üst kısımdaki arama kutusuna Satışlar yazın.
- Yeni Satış grubuna tıklayın.
- Sol tarafta Üyeler'e tıklayın
- Üst kısımda Üye ekle'ye tıklayın.
- Üst kısımdaki arama kutusuna Britta Simon yazın.
- Britta Simon'ın yanına bir çek koyun ve Seç'e tıklayın
- Bu, onu gruba başarıyla eklemelidir.
- Sol uçta Tüm gruplar'a tıklayın ve Satış grubunu kullanarak ve lola Jacobson'u bu gruba ekleyerek bu işlemi yineleyin.
Sağlamayı yapılandırma
Sağlamayı yapılandırmak için şu adımları izleyin.
- Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
- Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.
Yeni yapılandırma'ya tıklayın.
Yapılandırma ekranında etki alanınızı ve parola karması eşitlemenin etkinleştirilip etkinleştirilmeymeyeceğini seçin. Oluştur'a tıklayın.
Başlarken ekranı açılır. Buradan bulut eşitlemesini yapılandırmaya devam edebilirsiniz
Sol tarafta Kapsam filtreleri'ne tıklayın.
Grup kapsamı altında Bunu Tüm Güvenlik grupları olarak ayarlayın
Hedef kapsayıcı altında Öznitelik eşlemesini düzenle'ye tıklayın.
Eşleme türünü İfade olarak değiştirme
İfade kutusuna aşağıdakileri girin:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
Varsayılan değeri OU=Groups,DC=contoso,DC=com olarak değiştirin.
Uygula - Bu, grup displayName özniteliğine bağlı olarak hedef kapsayıcıyı değiştirir'e tıklayın.
Kaydet’e tıklayın
Sol tarafta Genel Bakış'a tıklayın
Üst kısımda Gözden geçir ve etkinleştir'e tıklayın
Sağ tarafta Yapılandırmayı etkinleştir'e tıklayın
Test yapılandırması
Not
İsteğe bağlı sağlama kullanılırken, üyeler otomatik olarak provizyonlandırılamaz. Test etmek istediğiniz üyeleri seçmeniz gerekir ve 5 üye sınırı vardır.
- Microsoft Entra yönetim merkezinde en az Karma Yönetici istrator olarak oturum açın.
- Kimlik>Karma yönetimi>Microsoft Entra Bağlan> Cloud eşitleme'ye göz atın.
Yapılandırma'nın altında yapılandırmanızı seçin.
Sol tarafta İsteğe bağlı olarak sağla'yı seçin.
Seçili grup kutusuna Satışlar girin
Seçili kullanıcılar bölümünde test etmek için bazı kullanıcıları seçin.
Sağla'ya tıklayın.
Grubun sağlanmış olduğunu görmeniz gerekir.
Active Directory'de doğrulama
Artık grubun Active Directory'ye sağlandığından emin olabilirsiniz.
Aşağıdakileri yapın:
- Şirket içi ortamınızda oturum açın.
- başlatma Active Directory Kullanıcıları ve Bilgisayarları
- Yeni grubun sağlandığından emin olun.
Sonraki adımlar
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin