Zelfstudie: Groepen inrichten voor Active Directory met behulp van Microsoft Entra Cloud Sync

In deze zelfstudie leert u hoe u cloudsynchronisatie maakt en configureert om groepen te synchroniseren met on-premises Active Directory.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Algemene vereisten

• Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
• On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
  • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
• Inrichtingsagent met buildversie 1.1.1370.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet toegepast op AdminSDHolder-objecten standaard microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
• Microsoft Entra Connect Sync met buildversie 2.2.8.0 of hoger
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
  • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen en schaallimieten

Het volgende wordt ondersteund:

• Alleen cloudbeveiligingsgroepen worden ondersteund
• Deze groepen kunnen toegewezen of dynamische lidmaatschapsgroepen hebben.
• Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
• Deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
• Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
• Tenants met meer dan 150.000 objecten worden niet ondersteund. Wat betekent dat als een tenant een combinatie van gebruikers en groepen heeft die groter zijn dan 150.000 objecten, de tenant niet wordt ondersteund.
• Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
• Afstemming van groepen tussen Microsoft Entra-id en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

• Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
• De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
• Een on-premises gebruikersobjectGUID-kenmerk aan een onPremisesObjectIdentifier-kenmerk kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Connect Sync (2.2.8.0)
• Als u Microsoft Entra Connect Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en inrichting voor AD wilt gebruiken, moet dit 2.2.8.0 of hoger zijn.
• Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor inrichting van Microsoft Entra-id naar Active Directory. Tenants zoals B2C worden niet ondersteund.
• De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.

Aannames

In deze zelfstudie wordt ervan uitgegaan dat:

• U hebt een on-premises Active Directory-omgeving
• U hebt cloudsynchronisatie ingesteld om gebruikers te synchroniseren met Microsoft Entra ID.
• U hebt twee gebruikers die worden gesynchroniseerd. Britta Simon en Lola Jacobson. Deze gebruikers bestaan on-premises en in Microsoft Entra-id.
• Er zijn drie organisatie-eenheden gemaakt in Active Directory: groepen, verkoop en marketing. Ze hebben de volgende distinguishedNames:
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groepen,DC=contoso,DC=com

Maak twee groepen in Microsoft Entra ID.

Om te beginnen maken we twee groepen in Microsoft Entra-id. De ene groep is Verkoop en de andere is Marketing.

Volg deze stappen om twee groepen te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
2. Blader naar Identiteitsgroepen>>Alle groepen.
3. Klik bovenaan op Nieuwe groep.
4. Zorg ervoor dat het groepstype is ingesteld op beveiliging.
5. Voer verkoop in voor de groepsnaam
6. Voor het lidmaatschapstype blijft dit toegewezen.
7. Klik op Create.
8. Herhaal dit proces met behulp van Marketing als groepsnaam .

Gebruikers toevoegen aan de zojuist gemaakte groepen

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
2. Blader naar Identiteitsgroepen>>Alle groepen.
3. Voer bovenaan in het zoekvak Verkoop in.
4. Klik op de nieuwe verkoopgroep .
5. Klik aan de linkerkant op Leden
6. Klik bovenaan op Leden toevoegen.
7. Voer Britta Simon in het zoekvak bovenaan in.
8. Zet een vinkje naast Britta Simon en klik op Selecteren
9. Het zou haar aan de groep moeten toevoegen.
10. Klik uiterst links op Alle groepen en herhaal dit proces met behulp van de groep Verkoop en voeg Lola Jacobson toe aan die groep.

Inrichting configureren

Volg deze stappen om de inrichting te configureren.

1. Meld u als hybride beheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar hybride>identiteitsbeheer>microsoft Entra Connect-cloudsynchronisatie.>

3. Selecteer Nieuwe configuratie.

4. Selecteer Microsoft Entra-id voor AD-synchronisatie.

5. Selecteer in het configuratiescherm uw domein en geef aan of u wachtwoord-hashsynchronisatie wilt inschakelen. Klik op Maken.

6. Het scherm Aan de slag wordt geopend. Vanaf hier kunt u doorgaan met het configureren van cloudsynchronisatie

7. Klik aan de linkerkant op Bereikfilters.

8. Stel onder Groepsbereik het in op Alle beveiligingsgroepen

9. Klik onder Doelcontainer op Kenmerktoewijzing bewerken.

10. Toewijzingstype wijzigen in expressie

11. Voer in het expressievak het volgende in: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Wijzig de standaardwaarde in OE=Groepen,DC=contoso,DC=com.

13. Klik op Toepassen : hiermee wordt de doelcontainer gewijzigd, afhankelijk van het kenmerk group displayName.

14. Klik op Opslaan.

15. Klik aan de linkerkant op Overzicht

16. Klik bovenaan op Controleren en inschakelen

17. Klik aan de rechterkant op Configuratie inschakelen

Testconfiguratie

Notitie

Wanneer u inrichting op aanvraag gebruikt, worden leden niet automatisch provsisioned. U moet selecteren op welke leden u wilt testen en er is een limiet van 5 leden.

1. Meld u als hybride beheerder aan bij het Microsoft Entra-beheercentrum.
2. Blader naar hybride>identiteitsbeheer>microsoft Entra Connect-cloudsynchronisatie.>

3. Selecteer uw configuratie onder Configuratie.

4. Selecteer aan de linkerkant Inrichting op aanvraag.

5. Verkoop invoeren in het vak Geselecteerde groep

6. Selecteer in de sectie Geselecteerde gebruikers enkele gebruikers die u wilt testen.

7. Klik op Inrichten.

8. U ziet dat de groep is ingericht.

Verifiëren in Active Directory

U kunt nu controleren of de groep is ingericht voor Active Directory.

Ga als volgt te werk:

1. Meld u aan bij uw on-premises omgeving.
2. Start Active Directory
3. Controleer of de nieuwe groep is ingericht.

Volgende stappen

• Terugschrijven van groepen met Microsoft Entra Cloud Sync
• On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance
• Microsoft Entra Connect Sync-groep writeback V2 migreren naar Microsoft Entra Cloud Sync