Scénario : utilisation d’extensions de répertoire avec l’approvisionnement de groupes dans Active Directory

Scénario : vous avez des centaines de groupes dans Microsoft Entra ID. Vous souhaitez approvisionner certains de ces groupes, mais pas tous dans Active Directory. Vous souhaitez un filtre rapide que vous pouvez appliquer à des groupes sans avoir à créer un filtre d’étendue plus compliqué.

Vous pouvez utiliser l’environnement que vous créez dans ce scénario à des fins de test, ou pour vous familiariser avec la synchronisation cloud.

Hypothèses

• Ce scénario suppose que vous disposez déjà d’un environnement de travail qui synchronise les utilisateurs sur Microsoft Entra ID.
• Nous avons 4 utilisateurs synchronisés. Britta Simon, Lola Jacobson, Anna Ringdahl, et John Smith.
• Trois unités d’organisation ont été créées dans Active Directory : Sales, Marketing et Groupes
• Les comptes d’utilisateur de Britta Simon et d’Anna Ringdahl résident dans l’unité d’organisation Sales.
• Les comptes d’utilisateur de Lola Jacobson et de John Smith résident dans l’unité d’organisation Marketing.
• L’unité d’organisation Groupes est l’emplacement où nos groupes de Microsoft Entra ID sont approvisionnés.

Conseil

Pour une meilleure expérience d’exécution des applets de commande du SDK Microsoft Graph PowerShell, utilisez Visual Studio Code avec l’extension ms-vscode.powershell en mode ISE.

Créer deux groupes dans Microsoft Entra ID

Pour commencer, créez deux groupes dans Microsoft Entra ID. Un groupe est Sales et l’autre est Marketing.

Pour créer deux groupes, suivez ces étapes.

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.
2. Accédez à Identité>Groupes>Tous les groupes.
3. En haut, cliquez sur Nouveau groupe.
4. Vérifiez que le type de groupe est défini sur sécurité.
5. Pour le nom du groupe, entrez Sales.
6. Conservez le type d’appartenance sur attribué.
7. Cliquez sur Créer.
8. Répétez ce processus en utilisant Marketing comme nom de groupe.

Ajouter des utilisateurs aux groupes nouvellement créés

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.
2. Accédez à Identité>Groupes>Tous les groupes.
3. En haut, dans la zone de recherche, entrez Sales.
4. Cliquez sur le nouveau groupe Sales.
5. À gauche, cliquez sur Membres.
6. En haut, cliquez sur Ajouter des membres.
7. En haut, dans la zone de recherche, entrez Britta Simon.
8. Cochez les cases en regard de Britta Simon et d’Anna Ringdahl, puis cliquez sur Sélectionner.
9. Cela permet normalement de l’ajouter au groupe.
10. À l’extrême gauche, cliquez sur Tous les groupes, puis répétez ce processus en utilisant le groupe Marketing et en ajoutant Lola Jacobson et John Smith à ce groupe.

Remarque

Lors de l’ajout d’utilisateurs au groupe Marketing, notez l’ID de groupe sur la page de présentation. Cet ID servira ultérieurement à ajouter notre propriété nouvellement créée au groupe.

Installer et connecter le SDK Microsoft Graph PowerShell

1. S’il n’est pas encore installé, suivez la documentation du SDK Microsoft Graph PowerShell pour installer les principaux modules du SDK Microsoft Graph PowerShell : Microsoft.Graph.

2. Ouvrir PowerShell avec des privilèges administratifs

3. Pour définir la stratégie d’exécution, exécutez (appuyez sur [A] Oui pour tous lorsque vous y êtes invité) :

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

4. Connectez-vous à votre locataire (veillez à accepter « au nom de » lors de la connexion) :

   Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"
   

Créer notre application CloudSyncCustomExtensionApp et le principal de service

Important

L’extension de répertoire pour Microsoft Entra Cloud Sync est uniquement prise en charge pour les applications avec l’URI d’identificateur « api://<tenantId>/CloudSyncCustomExtensionsApp » et l’application Tenant Schema Extension App créée par Microsoft Entra Connect.

1. Obtenez l’ID de locataire :

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

Remarque

Cela génère notre ID de locataire actuel. Vous pouvez confirmer cet ID de locataire en accédant au Centre d’administration Microsoft Entra> Identité > Vue d’ensemble.

1. À l’aide de la variable $tenantId de l’étape précédente, regardez si CloudSyncCustomExtensionApp existe.

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   $cloudSyncCustomExtApp
   

2. Si CloudSyncCustomExtensionApp existe, passez à l’étape suivante. Sinon, créez la nouvelle application CloudSyncCustomExtensionApp :

   $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
   $cloudSyncCustomExtApp 
   

3. Vérifiez si l’application CloudSyncCustomExtensionsApp a un principal de sécurité associé. Si vous venez de créer une application, passez à l’étape suivante.

   Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"
   

4. Si vous venez de créer une application ou si un principal de sécurité n’est pas retourné, créez un principal de sécurité pour CloudSyncCustomExtensionsApp :

   New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId
   

Créer notre attribut d’extension personnalisé

Conseil

Dans ce scénario, nous allons créer un attribut d’extension personnalisé appelé WritebackEnabled à utiliser dans le filtre d’étendue Microsoft Entra Cloud Sync afin que seuls les groupes avec WritebackEnabled défini sur True soient réécrits dans Active Directory local, qui s’apparente à l’indicateur Réécriture activée dans le centre d’administration Microsoft Entra.

1. Obtenez l’application CloudSyncCustomExtensionsApp :

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   

2. À présent, sous CloudSyncCustomExtensionApp, créez l’attribut d’extension personnalisé appelé « WritebackEnabled » et affectez-le aux objets Group :

   New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'
   

3. Cette applet de commande crée un attribut d’extension qui ressemble à extension_<guid>_WritebackEnabled.

Créer notre configuration de synchronisation cloud

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.

2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud.

3. Sélectionnez Nouvelle configuration.

4. Sélectionnez Synchronisation Microsoft Entra ID vers AD.

5. Dans l’écran Configuration, sélectionnez votre domaine et indiquez si vous souhaitez activer, ou non, la synchronisation du hachage de mot de passe. Cliquez sur Créer.

6. L’écran Démarrage s’ouvre. Depuis là, vous pouvez continuer à configurer la synchronisation cloud.

7. À gauche, cliquez sur Filtres d’étendue sélectionnez Étendue de groupe - Tous les groupes.

8. Cliquez sur Modifier le mappage d’attributs et remplacez le Conteneur cible par OU=Groups,DC=Contoso,DC=com. Cliquez sur Enregistrer.

9. Cliquez sur Ajouter un filtre d’étendue d’attributs.

10. Tapez un nom pour le filtre d’étendue : Filter groups with Writeback Enabled

11. Sous Attribut cible, sélectionnez l’attribut nouvellement créé qui ressemble à extension_<guid>_WritebackEnabled.

Important

Certains attributs cibles affichés dans la liste déroulante risquent de ne pas être utilisables comme filtre d’étendue, car les propriétés ne peuvent pas toutes être gérées dans Entra ID, par exemple extensionAttribute[1-15]. Par conséquent, la recommandation est de créer une propriété d’extension personnalisée à cette fin.

13. Sous Opérateur, sélectionnez EST TRUE
14. Cliquez sur Enregistrer. Cliquez ensuite sur Enregistrer.
15. Laissez la configuration désactivée, puis revenez-y.

Ajouter une nouvelle propriété d’extension à l’un de nos groupes

Pour cette partie, nous allons ajouter une valeur de notre propriété nouvellement créée à l’un de nos groupes existants, Marketing.

Définir la valeur de la propriété d’extension avec le SDK Microsoft Graph PowerShell

1. Utilisez la variable $cloudSyncCustomExtApp de l’étape précédente pour obtenir notre propriété d’extension :

   $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
       Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
   $gwbEnabledExtAttrib 
   $gwbEnabledExtName = $gwbEnabledExtAttrib.Name
   

2. Maintenant, obtenez le groupe Marketing :

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
   $marketingGrp 
   

3. Ensuite, avec la variable $gwbEnabledExtName contenant extension_<guid>_WritebackEnabled, définissez la valeur True pour le groupe Marketing :

   Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}
   

4. Pour confirmer, vous pouvez lire la valeur de propriété extension_<guid>_WritebackEnabled avec :

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
   $marketingGrp.AdditionalProperties.$gwbEnabledExtName
   

Définir la valeur de la propriété d’extension avec l’Afficheur Microsoft Graph

Vous devez vérifier que vous avez consenti à Group.ReadWrite.All. Pour ce faire, vous pouvez sélectionner Modifier les autorisations.

1. Accédez à l’Afficheur Microsoft Graph

2. Connectez-vous à l’aide de votre compte d’administrateur client. Celui-ci devra peut-être être un compte d’administrateur d’identité hybride. Un compte d’administrateur d’identité hybride a été utilisé lors de la création de ce scénario. Un compte Administrateur d’identité hybride peut être suffisant.

3. En haut, remplacez GET par PATCH.

4. Dans la barre d’adresse, entrez https://graph.microsoft.com/v1.0/groups/<Group Id>.

5. Dans le corps de la demande, entrez :

   {
    extension_<guid>_WritebackEnabled: true
   }
   
   

6. Cliquez sur Exécuter la requête.

7. Si vous avez terminé correctement, l’écran affiche [].

8. À présent, en haut, remplacez PATCH par GET, puis examinez les propriétés du groupe marketing.

9. Cliquez sur Exécuter la requête. L’attribut récemment créé doit apparaître sur votre système.

Tester notre configuration

Remarque

Lorsque vous utilisez l’approvisionnement à la demande, les membres ne sont pas automatiquement approvisionnés. Vous devez sélectionner les membres sur lesquels vous voulez effectuer le test, dans la limite de 5 membres.

1. Connectez-vous au centre d’administration Microsoft Entra au moins en tant qu’Administrateur hybride.
2. Accédez à Identité>Gestion hybride>Microsoft Entra Connect>Synchronisation cloud.

3. Sous Configuration, sélectionnez votre configuration.
4. Sélectionnez Provisionnement à la demande à gauche.
5. Entrez Marketing dans la zone Groupe sélectionné.
6. Dans la section Utilisateurs sélectionnés, sélectionnez certains utilisateurs à tester. Sélectionnez Lola Jacobson et John Smith.
7. Cliquez sur Approvisionner. L’approvisionné devrait s’effectuer avec succès.
8. Essayez maintenant avec le groupe Sales, puis ajoutez Britta Simon et Anna Ringdahl. Cela ne permet normalement pas l’approvisionnement.
9. Dans Active Directory, le groupe Marketing nouvellement créé doit apparaître.
10. Vous pouvez maintenant accéder à Identité>Gestion hybride>Microsoft Entra Connect>Cloud Sync > page Vue d’ensemble pour vérifier et activer notre configuration en vue de démarrer la synchronisation.

Étapes suivantes

• Utiliser l’écriture différée de groupe avec la synchronisation cloud Microsoft Entra

• Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Microsoft Entra ID Governance

• Migrer la réécriture de groupe de synchronisation Microsoft Entra Connect V2 vers la synchronisation cloud Microsoft Entra