Freigeben über


Szenario – Verwenden von Verzeichniserweiterungen mit Gruppenbereitstellung in Active Directory

Szenario: Sie verfügen über Hunderte von Gruppen in Microsoft Entra ID. Sie möchten einige dieser Gruppen, aber nicht alle wieder in Active Directory bereitstellen. Sie möchten einen Schnellfilter einrichten, der auf Gruppen angewendet werden kann, ohne einen komplizierteren Bereichsfilter erstellen zu müssen.

Diagramm des Gruppenrückschreibens mit Cloudsynchronisierung.

Die Umgebung, die Sie in diesem Szenario erstellen, können Sie zu Testzwecken verwenden oder um sich besser mit der Cloudsynchronisierung vertraut zu machen.

Annahmen

  • In diesem Szenario wird davon ausgegangen, dass Sie bereits über eine Arbeitsumgebung verfügen, die Benutzer mit Microsoft Entra ID synchronisiert.
  • Sie haben vier Benutzer, die synchronisiert werden: Britta Simon, Lola Jacobson, Anna Ringdahl und John Smith.
  • In Active Directory wurden drei Organisationseinheiten erstellt: Sales, Marketing und Groups.
  • Die Benutzerkonten Britta Simon und Anna Ringdahl befinden sich in der Organisationseinheit „Sales“.
  • Die Benutzerkonten Lola Jacobson und John Smith befinden sich in der Organisationseinheit „Marketing“.
  • Ihre Gruppen aus Microsoft Entra ID werden in der Organisationseinheit „Groups“ bereitgestellt.

Tipp

Um die Ausführung von Microsoft Graph PowerShell SDK-Cmdlets zu verbessern, verwenden Sie Visual Studio Code mit der Erweiterung ms-vscode.powershell im ISE-Modus.

Erstellen von zwei Gruppen in Microsoft Entra ID

Sie erstellen zunächst zwei Gruppen in Microsoft Entra ID. Eine Gruppe heißt „Sales“, die andere „Marketing“.

Führen Sie zum Erstellen der zwei Gruppen die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  3. Klicken Sie oben auf Neue Gruppe.
  4. Vergewissern Sie sich, dass Gruppentyp auf Sicherheit festgelegt ist.
  5. Geben Sie unter Gruppennamen den Namen Sales ein.
  6. Behalten Sie unter Mitgliedschaftstyp die Zuweisungsoption bei.
  7. Klicken Sie auf Erstellen.
  8. Wiederholen Sie diesen Vorgang, und verwenden Sie Marketing als Gruppenname.

Hinzufügen von Benutzern zu neu erstellten Gruppen

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
  2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
  3. Geben Sie oben in das Suchfeld Sales ein.
  4. Klicken Sie auf die neue Gruppe Sales.
  5. Klicken Sie auf der linken Seite auf Mitglieder.
  6. Klicken Sie oben auf Mitglieder hinzufügen.
  7. Geben Sie oben im Suchfeld Britta Simon ein.
  8. Setzen Sie ein Häkchen neben Britta Simon und Anna Ringdahl, und klicken Sie auf Auswählen.
  9. Sie sollten der Gruppe erfolgreich hinzugefügt werden.
  10. Klicken Sie ganz links auf Alle Gruppen, und wiederholen Sie diesen Vorgang für die Gruppe Marketing, um Lola Jacobson und John Smith dieser Gruppe hinzuzufügen.

Hinweis

Notieren Sie sich beim Hinzufügen von Benutzern zur Gruppe „Marketing“ die Gruppen-ID auf der Übersichtsseite. Diese ID wird später verwendet, um der Gruppe die neu erstellte Eigenschaft hinzuzufügen.

Installieren und verbinden Sie das Microsoft Graph PowerShell SDK.

  1. Wenn die Hauptmodule des Microsoft Graph PowerShell SDK noch nicht installiert sind, folgen Sie der Microsoft Graph PowerShell SDK-Dokumentation, um sie zu installieren: Microsoft.Graph.

  2. Öffnen Sie PowerShell mit Administratorberechtigungen.

  3. Führen Sie zum Festlegen der Ausführungsrichtlinie den folgenden Befehl aus (drücken Sie [A] (Ja für alle), wenn Sie dazu aufgefordert werden):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
    
  4. Stellen Sie eine Verbindung mit Ihrem Mandanten her (Achten Sie darauf, bei der Anmeldung die Option „Im Auftrag von“ für die Einwilligung zu verwenden.):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"
    

Erstellen unserer CloudSyncCustomExtensionApp-Anwendung und des Dienstprinzipals

Wichtig

Die Verzeichniserweiterung für die Microsoft Entra-Cloudsynchronisierung wird nur für Anwendungen mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ und der von Microsoft Entra Connect erstellten Tenant Schema Extension App unterstützt.

  1. Abrufen der Mandanten-ID:

    $tenantId = (Get-MgOrganization).Id
    $tenantId
    

Hinweis

Dadurch wird unsere aktuelle Mandanten-ID ausgegeben. Sie können diese Mandanten-ID bestätigen, indem Sie zu Microsoft Entra Admin Center> Identität > Übersicht navigieren.

  1. Überprüfen Sie mithilfe der Variable $tenantId aus dem vorherigen Schritt, ob CloudSyncCustomExtensionApp vorhanden ist.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
    $cloudSyncCustomExtApp
    
  2. Wenn eine CloudSyncCustomExtensionApp vorhanden ist, fahren Sie mit dem nächsten Schritt fort. Erstellen Sie andernfalls die neue CloudSyncCustomExtensionApp-App:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
    $cloudSyncCustomExtApp 
    
  3. Überprüfen Sie, ob die CloudSyncCustomExtensionsApp-Anwendung einem Sicherheitsprinzipal zugeordnet ist. Wenn Sie gerade eine neue App erstellt haben, fahren Sie mit dem nächsten Schritt fort.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"
    
  4. Wenn Sie gerade eine neue App erstellt haben oder kein Sicherheitsprinzipal zurückgegeben wird, erstellen Sie einen Sicherheitsprinzipal für CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId
    

Erstellen des benutzerdefinierten Erweiterungsattributs

Tipp

In diesem Szenario erstellen Sie ein benutzerdefiniertes Erweiterungsattribut namens WritebackEnabled, das im Bereichsfilter der Microsoft Entra-Cloudsynchronisierung verwendet werden soll, sodass nur Gruppen, für die „WritebackEnabled“ auf „True“ festgelegt sind, zurück in lokales Active Directory geschrieben werden. Dies ähnelt dem für Rückschreiben aktivierten Flag im Microsoft Entra Admin Center.

  1. Abrufen der CloudSyncCustomExtensionsApp-Anwendung:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
    
  2. Erstellen Sie nun unter „CloudSyncCustomExtensionApp“ das benutzerdefinierte Erweiterungsattribut „WritebackEnabled“, und weisen Sie es Gruppenobjekten zu:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'
    
  3. Dieses Cmdlet erstellt ein Erweiterungsattribut, das wie folgt aussieht: extension_<guid>_WritebackEnabled.

Erstellen unserer Cloudsynchronisierung

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloud-Synchronisierung.

  3. Wählen Sie Neue Konfiguration aus.

  4. Wählen Sie Microsoft Entra ID-Synchronisierung mit AD aus.

Screenshot: Konfigurationsauswahl

  1. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.

Screenshot: Neue Konfiguration

  1. Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

  2. Klicken Sie auf der linken Seite auf Bereichsauswahlfilter, und wählen Sie Gruppenbereich - Alle Gruppen aus.

  3. Klicken Sie auf Attributzuordnung bearbeiten, und ändern Sie den Zielcontainer in OU=Groups,DC=Contoso,DC=com. Klicken Sie auf Speichern.

  4. Klicken Sie auf Attributbereichsfilter hinzufügen.

  5. Geben Sie einen Namen für den Bereichsfilter ein: Filter groups with Writeback Enabled

  6. Wählen Sie unter Zielattribut das neu erstellte Attribut aus, das wie folgt aussieht: extension_<guid>_WritebackEnabled.

Wichtig

Einige der in der Dropdownliste angezeigten Zielattribute können möglicherweise nicht als Bereichsfilter verwendet werden, da nicht alle Eigenschaften in Entra ID verwaltet werden können, z. B. extensionAttribute[1-15]. Daher empfiehlt es sich, eine benutzerdefinierte Erweiterungseigenschaft für diesen speziellen Zweck zu erstellen. Screenshot: Verfügbare Attribute

  1. Wählen Sie unter Operator die Option IS TRUE aus.
  2. Klicken Sie auf Speichern. Klicken Sie anschließend auf Speichern.
  3. Lassen Sie die Konfiguration deaktiviert, und kehren Sie später zurück.

Hinzufügen einer neuen Erweiterungseigenschaft zu einer unserer Gruppen

Für diesen Teil werden wir unserer neu erstellten Eigenschaft für eine der vorhandenen Gruppen (Marketing) einen Wert hinzufügen.

Festlegen des Werts der Erweiterungseigenschaft mithilfe des Microsoft Graph PowerShell SDK

  1. Verwenden Sie die $cloudSyncCustomExtApp-Variable aus dem vorherigen Schritt, um unsere Erweiterungseigenschaft abzurufen:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
        Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
    $gwbEnabledExtAttrib 
    $gwbEnabledExtName = $gwbEnabledExtAttrib.Name
    
  2. Rufen Sie jetzt die Marketing-Gruppe ab:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
    $marketingGrp 
    
  3. Legen Sie dann mit der Variablen $gwbEnabledExtName, die extension_<guid>_WritebackEnabled enthält, den Wert True für die Marketinggruppe fest:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}
    
  4. Zur Bestätigung lesen Sie den Wert der extension_<guid>_WritebackEnabled-Eigenschaft mit:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
    $marketingGrp.AdditionalProperties.$gwbEnabledExtName
    

Festlegen des Werts der Erweiterungseigenschaft mithilfe von Microsoft Graph-Tester

Sie müssen sicherstellen, dass Sie Group.ReadWrite.All zugestimmt haben. Wählen Sie dazu Berechtigungen ändern aus.

  1. Navigieren Sie zum Microsoft Graph-Tester.

  2. Melden Sie sich mit Ihrem Mandantenadministratorkonto an. Dies muss möglicherweise ein Hybrididentitäts-Adminkonto sein. Beim Erstellen dieses Szenarios wurde ein Hybrididentitäts-Admininstratorkonto verwendet. Möglicherweise reicht ein Hybrididentitäts-Administratorkonto aus.

  3. Ändern Sie oben das GET in PATCH.

  4. Geben Sie in der Adressleiste https://graph.microsoft.com/v1.0/groups/<Group Id> ein.

  5. Geben Sie Folgendes in den Anforderungstext ein:

    {
     extension_<guid>_WritebackEnabled: true
    }
    
    
  6. Klicken Sie auf Abfrage ausführen.Screenshot: Ausführen der Graph-Abfrage

  7. Bei ordnungsgemäßer Ausführung wird [] angezeigt.

  8. Ändern Sie jetzt oben PATCH in GET, und sehen Sie sich die Eigenschaften der Marketinggruppe an.

  9. Klicken Sie auf Abfrage ausführen. Das neu erstellte Attribut sollte angezeigt werden. Screenshot: Gruppeneigenschaften

Testen der Konfiguration

Hinweis

Bei der bedarfsgesteuerten Bereitstellung werden Mitglieder nicht automatisch bereitgestellt. Sie müssen auswählen, für welche Mitglieder Sie Tests durchführen möchten. Hierfür können Sie maximal 5 Mitglieder auswählen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
  2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung. Screenshot: Startseite der Cloudsynchronisierung
  1. Wählen Sie unter Konfiguration Ihre Konfiguration aus.
  2. Wählen Sie auf der linken Seite Bedarfsbasiert bereitstellen aus.
  3. Geben Sie Marketing in das Feld Ausgewählte Gruppe ein.
  4. Wählen Sie im Abschnitt Ausgewählte Benutzer einige Benutzer*innen für Tests aus. Wählen Sie Lola Jacobson und John Smith aus.
  5. Klicken Sie auf Bereitstellen. Sie sollte erfolgreich bereitgestellt werden. Screenshot: Erfolgreiche Bereitstellung
  6. Wiederholen Sie die Schritte jetzt für die Gruppe Sales, und fügen Sie Britta Simon und Anna Ringdahl hinzu. Die Bereitstellung sollte nicht erfolgen. Screenshot: Blockierte Bereitstellung
  7. In Active Directory sollte die neu erstellte Gruppe „Marketing“ angezeigt werden. Screenshot: Neue Gruppe unter „Active Directory-Benutzer und -Computer“
  8. Sie können jetzt zur Seite Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung > Übersicht navigieren, um unsere Konfiguration zu überprüfen und zu aktivieren und die Synchronisierung zu starten.

Nächste Schritte