Sdílet prostřednictvím

Scénář – Použití rozšíření adresářů se zřizováním skupin ve službě Active Directory

  • Článek

Scénář: Máte stovky skupin v Microsoft Entra ID. Chcete zřídit některé z těchto skupin, ale ne všechny zpět do služby Active Directory. Chcete použít rychlý filtr, který se dá použít u skupin, aniž byste museli udělat složitější filtr oborů.

Diagram zpětného zápisu skupiny se synchronizací cloudu

Prostředí, které v tomto scénáři vytvoříte, můžete použít k testování nebo k seznámení se synchronizací cloudu.

Předpoklady

  • Tento scénář předpokládá, že již máte pracovní prostředí, které synchronizuje uživatele s Microsoft Entra ID.
  • Máme 4 uživatele, kteří jsou synchronizovaní. Britta Simon, Lola Jacobson, Anna Ringdahl a John Smith.
  • Ve službě Active Directory byly vytvořeny tři organizační jednotky – prodej, marketing a skupiny.
  • Uživatelské účty Britta Simon a Anna Ringdahl se nacházejí v organizační OU prodeje.
  • Uživatelské účty Lola Jacobson a John Smith se nacházejí v organizační OU marketingu.
  • Organizační jednotky skupiny jsou místem, kde se zřizují naše skupiny z Microsoft Entra ID.

Tip

Pokud chcete lépe využívat spouštění rutin sady Microsoft Graph PowerShell SDK, použijte Visual Studio Code s rozšířením ms-vscode.powershell v režimu ISE.

Vytvoření dvou skupin v MICROSOFT Entra ID

Začněte vytvořením dvou skupin v MICROSOFT Entra ID. Jedna skupina je Prodej a Druhá je Marketing.

Pokud chcete vytvořit dvě skupiny, postupujte takto.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
  2. Přejděte do skupin>identit>Všechny skupiny.
  3. V horní části klikněte na možnost Nová skupina.
  4. Ujistěte se, že je typ skupiny nastavený na zabezpečení.
  5. Do pole Název skupiny zadejte Sales (Prodej).
  6. Pro typ členství jej ponechejte při přiřazení.
  7. Klikněte na Vytvořit.
  8. Tento proces opakujte pomocí marketingu jako názvu skupiny.

Přidání uživatelů do nově vytvořených skupin

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
  2. Přejděte do skupin>identit>Všechny skupiny.
  3. Nahoře do vyhledávacího pole zadejte Sales(Prodej).
  4. Klikněte na novou prodejní skupinu.
  5. Na levé straně klikněte na Členové.
  6. Nahoře klikněte na Přidat členy.
  7. Nahoře do vyhledávacího pole zadejte Britta Simon.
  8. Zaškrtněte políčko vedle Britta Simon a Anna Ringdahl a klikněte na Vybrat
  9. Měla by ji úspěšně přidat do skupiny.
  10. Úplně vlevo klikněte na Všechny skupiny a opakujte tento proces pomocí skupiny Marketing a přidejte Do této skupiny Lola Jacobson a John Smith .

Poznámka:

Při přidávání uživatelů do skupiny Marketing si poznamenejte ID skupiny na stránce přehledu. Toto ID se později použije k přidání nově vytvořené vlastnosti do skupiny.

Instalace a připojení sady Microsoft Graph PowerShell SDK

  1. Pokud ještě není nainstalovaný, postupujte podle dokumentace k sadě Microsoft Graph PowerShell SDK a nainstalujte hlavní moduly sady Microsoft Graph PowerShell SDK: Microsoft.Graph.

  2. Otevření PowerShellu s oprávněními správce

  3. Pokud chcete nastavit zásady spuštění, spusťte (po zobrazení výzvy stiskněte [A] Ano pro všechny):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Připojte se ke svému tenantovi (při přihlašování nezapomeňte přijmout on-behalf of):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Vytvoření aplikace a instančního objektu CloudSyncCustomExtensionApp

Důležité

Rozšíření adresáře pro Microsoft Entra Cloud Sync je podporováno pouze pro aplikace s identifikátorem URI "api://< tenantId>/CloudSyncCustomExtensionsApp" a aplikace rozšíření schématu tenanta vytvořená společností Microsoft Entra Connect.

  1. Získejte ID tenanta:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Poznámka:

Tím se vypíše aktuální ID tenanta. Toto ID tenanta můžete potvrdit tak, že přejdete do Centra> pro správu Microsoft Entra – přehled identit > .

  1. $tenantId Pomocí proměnné z předchozího kroku zkontrolujte, jestli existuje CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Pokud existuje CloudSyncCustomExtensionApp, přejděte k dalšímu kroku. Jinak vytvořte novou aplikaci CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Zkontrolujte, jestli má aplikace CloudSyncCustomExtensionsApp přidružený objekt zabezpečení. Pokud jste právě vytvořili novou aplikaci, přejděte k dalšímu kroku.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Pokud jste právě vytvořili novou aplikaci nebo se nevrátí objekt zabezpečení, vytvořte objekt zabezpečení pro CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Vytvoření vlastního atributu rozšíření

Tip

V tomto scénáři vytvoříme vlastní atribut rozšíření, WritebackEnabled který se má použít ve filtru oborů synchronizace Microsoft Entra Cloud Sync, takže se do místní služby Active Directory zapisují pouze skupiny s nastavením WritebackEnabled nastavenou na True, podobně jako příznak pro zpětný zápis v Centru pro správu Microsoft Entra.

  1. Získejte aplikaci CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Teď v části CloudSyncCustomExtensionApp vytvořte vlastní atribut rozšíření s názvem WritebackEnabled a přiřaďte ho k objektům Group:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Tato rutina vytvoří atribut rozšíření, který vypadá jako extension_<guid>_WritebackEnabled.

Vytvoření konfigurace cloudové synchronizace

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.

  2. Přejděte do synchronizace cloudu Microsoft Entra Connect>Pro hybridní správu>identit>.

  3. Vyberte Možnost Nová konfigurace.

  4. Vyberte Microsoft Entra ID to AD sync.

Snímek obrazovky s výběrem konfigurace

  1. Na konfigurační obrazovce vyberte svoji doménu a jestli chcete povolit synchronizaci hodnot hash hesel. Klikněte na Vytvořit.

Snímek obrazovky s novou konfigurací

  1. Otevře se obrazovka Začínáme . Odsud můžete pokračovat v konfiguraci cloudové synchronizace.

  2. Na levé straně klikněte na Filtry oborů a vyberte Obor - skupiny Všechny skupiny.

  3. Klepněte na tlačítko Upravit mapování atributů a změňte cílový kontejner na OU=Groups,DC=Contoso,DC=com. Klikněte na Uložit.

  4. Klikněte na Přidat filtr oborů atributů.

  5. Zadejte název filtru oborů: Filter groups with Writeback Enabled

  6. V části Cílový atribut vyberte nově vytvořený atribut, který vypadá jako extension_<guid>_WritebackEnabled.

Důležité

Některé z cílových atributů zobrazených v rozevíracím seznamu nemusí být použitelné jako filtr oborů, protože ne všechny vlastnosti je možné spravovat v id Entra, například extensionAttribute[1-15], proto doporučujeme vytvořit vlastní vlastnost rozšíření pro tento konkrétní účel. Snímek obrazovky s dostupnými atributy

  1. V části Operátor vyberte JE PRAVDA.
  2. Klikněte na Uložit. A klikněte na Uložit.
  3. Nechte konfiguraci zakázanou a vraťte se k ní.

Přidání nové vlastnosti rozšíření do jedné z našich skupin

Pro tuto část přidáme hodnotu na nově vytvořenou vlastnost do jedné z existujících skupin Marketing.

Nastavení hodnoty vlastnosti rozšíření pomocí sady Microsoft Graph PowerShell SDK

  1. $cloudSyncCustomExtApp K získání vlastnosti rozšíření použijte proměnnou z předchozího kroku:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Teď získejte Marketing skupinu:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Potom s proměnnou $gwbEnabledExtName , která obsahuje extension_<guid>_WritebackEnabled, nastavte hodnotu True pro skupinu Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Pokud to chcete potvrdit, můžete hodnotu vlastnosti přečíst extension_<guid>_WritebackEnabled takto:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Nastavení hodnoty vlastnosti rozšíření pomocí Microsoft Graph Exploreru

Musíte se ujistit, že jste souhlasili Group.ReadWrite.Alls . Můžete to provést výběrem možnosti Upravit oprávnění.

  1. Přejděte do Microsoft Graph Exploreru.

  2. Přihlaste se pomocí účtu správce tenanta. Může to být účet správce hybridní identity. K vytvoření tohoto scénáře se použil účet správce hybridní identity. Účet správce hybridní identity může stačit.

  3. Nahoře změňte GET na PATCH.

  4. Do pole Adresa zadejte: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. Do textu požadavku zadejte:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Klikněte na Spustit dotaz.Snímek obrazovky se spuštěním dotazu grafu

  7. Pokud jste to udělali správně, zobrazí se [].

  8. Nyní nahoře změňte PATCH na GET a prohlédněte si vlastnosti marketingové skupiny.

  9. Klikněte na Spustit dotaz. Měl by se zobrazit nově vytvořený atribut. Snímek obrazovky s vlastnostmi skupiny

Testování naší konfigurace

Poznámka:

Při použití zřizování na vyžádání nejsou členové automaticky zřízeni. Musíte vybrat členy, na kterých chcete testovat, a existuje limit 5 členů.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. V části Konfigurace vyberte konfiguraci.
  2. Na levé straně vyberte Zřídit na vyžádání.
  3. Enter Marketing in the Selected group box
  4. V části Vybraní uživatelé vyberte některé uživatele, které chcete otestovat. Vyberte Lola Jacobson a John Smith.
  5. Klikněte na Zřídit. Mělo by se úspěšně zřídit. Snímek obrazovky s úspěšným zřízením
  6. Teď zkuste se skupinou Sales (Prodej ) a přidejte Britta Simona a Anna Ringdahl. Nemělo by se zřizovat. Snímek obrazovky s blokovaným zřizováním
  7. Ve službě Active Directory by se měla zobrazit nově vytvořená skupina Marketing. Snímek obrazovky s novou skupinou v uživatelích a počítačích služby Active Directory
  8. Teď můžete přejít na stránku Přehled synchronizace > cloudu Microsoft Entra Connect>Služby hybridní správy>identit>a povolit konfiguraci pro zahájení synchronizace.

Další kroky