Zelfstudie: Groepen inrichten voor Active Directory met behulp van Microsoft Entra Cloud Sync

In deze zelfstudie leert u hoe u cloudsynchronisatie maakt en configureert om groepen te synchroniseren met on-premises Active Directory.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievoorwaarden

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Algemene vereisten

• Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
• On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
  • Vereist voor AD-schemakenmerk - msDS-ExternalDirectoryObjectId
• Provisioning-agent met versie 1.1.1370.0 of hoger.

Notitie

De machtigingen aan het serviceaccount worden alleen toegewezen tijdens een volledige installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen voor lezen, schrijven, maken en verwijderen zijn ingesteld voor alle onderliggende groepen en gebruikersobjecten.

Deze machtigingen worden standaard niet toegepast op AdminSDHolder-objecten Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
• Microsoft Entra Connect Sync met buildversie 2.2.8.0 of hoger
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
  • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen en schaallimieten

Het volgende wordt ondersteund:

• Alleen cloudbeveiligingsgroepen worden ondersteund
• Deze groepen kunnen toegewezen of dynamische lidmaatschapsgroepen hebben.
• Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
• Deze groepen worden teruggeschreven met het AD-groepenbereik van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
• Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
• Tenants met meer dan 150.000 objecten worden niet ondersteund. Wat betekent dat als een tenant een combinatie van gebruikers en groepen heeft die groter zijn dan 150.000 objecten, de tenant niet wordt ondersteund.
• Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
• Afstemming van groepen tussen Microsoft Entra-id en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

• Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
• Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
• De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
• Het gebruikersobjectGUID-kenmerk van een on-premises gebruiker naar het gebruikersonPremisesObjectIdentifier-kenmerk van een cloudgebruiker kan worden gesynchroniseerd met behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Connect Sync (2.2.8.0)
• Als u Microsoft Entra Connect Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en u wilt provisie naar AD gebruiken, moet het versie 2.2.8.0 of hoger zijn.
• Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor voorziening van Microsoft Entra ID naar Active Directory. Tenants zoals B2C worden niet ondersteund.
• De voorzieningstaak voor groepen is gepland om elke 20 minuten te draaien.

Aannames

In deze zelfstudie wordt ervan uitgegaan dat:

• U hebt een on-premises Active Directory-omgeving
• U hebt cloudsynchronisatie ingesteld om gebruikers te synchroniseren met Microsoft Entra ID.
• U hebt twee gebruikers die worden gesynchroniseerd. Britta Simon en Lola Jacobson. Deze gebruikers bestaan on-premises en in Microsoft Entra-id.
• Er zijn drie organisatie-eenheden gemaakt in Active Directory: groepen, verkoop en marketing. Ze hebben de volgende distinguishedNames (onderscheidenNamen):
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groepen,DC=contoso,DC=com

Maak twee groepen in Microsoft Entra ID.

Om te beginnen maken we twee groepen in Microsoft Entra-id. De ene groep is Verkoop en de andere is Marketing.

Volg deze stappen om twee groepen te maken.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
2. Blader naar >
3. Klik bovenaan op Nieuwe groep.
4. Zorg ervoor dat het groepstype is ingesteld op beveiliging.
5. Voer Sales in voor de Groepsnaam
6. Voor het lidmaatschapstype blijft dit toegewezen.
7. Klik op Create.
8. Herhaal dit proces met behulp van Marketing als groepsnaam .

Gebruikers toevoegen aan de zojuist gemaakte groepen

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
2. Blader naar >
3. Voer bovenaan in het zoekvak Verkoop in.
4. Klik op de nieuwe verkoopgroep .
5. Klik aan de linkerkant op Leden
6. Klik bovenaan op Leden toevoegen.
7. Voer Britta Simon in het zoekvak bovenaan in.
8. Zet een vinkje naast Britta Simon en klik op Selecteren
9. Het zou haar succesvol aan de groep moeten toevoegen.
10. Klik uiterst links op Alle groepen en herhaal dit proces met behulp van de groep Verkoop en voeg Lola Jacobson toe aan die groep.

Voorziening configureren

Volg deze stappen om de voorziening te configureren.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een hybride identiteitsbeheerder.

2. Blader naar Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.

   

3. Selecteer Nieuwe configuratie.

4. Selecteer Microsoft Entra-id voor AD-synchronisatie.

5. Selecteer in het configuratiescherm uw domein en geef aan of u wachtwoord-hashsynchronisatie wilt inschakelen. Klik op Maken.

6. Het Aan de slag-scherm wordt geopend. Vanaf hier kunt u doorgaan met het configureren van cloudsynchronisatie

7. Klik aan de linkerkant op Scopefilters.

8. Stel onder Groepsbereik het in op Alle beveiligingsgroepen

9. Klik onder Doelcontainer op Kenmerktoewijzing bewerken.

10. Wijzig Toewijzingstype in Expressie

11. Voer in het expressievak het volgende in: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Wijzig de standaardwaarde in OE=Groepen,DC=contoso,DC=com.

13. Klik op Toepassen : hiermee wordt de doelcontainer gewijzigd, afhankelijk van het kenmerk group displayName.

14. Klik op Opslaan.

15. Klik aan de linkerkant op Overzicht

16. Klik bovenaan op Recensie en inschakelen

17. Klik aan de rechterkant op Configuratie inschakelen

Testconfiguratie

Notitie

Wanneer u voorziening op aanvraag gebruikt, worden leden niet automatisch voorzien. U moet selecteren op welke leden u wilt testen en er is een limiet van 5 leden.

1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een hybride identiteitsbeheerder.

2. Blader naar Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.

   

3. Selecteer uw configuratie onder Configuratie.

4. Selecteer aan de linkerkant Inrichting op aanvraag.

5. Verkoop invoeren in het vak Geselecteerde groep

6. Selecteer in de sectie Geselecteerde gebruikers enkele gebruikers die u wilt testen.

7. Klik op Voorzien.

8. U zou de groep ingericht moeten zien.

Verifiëren in Active Directory

U kunt nu controleren of de groep is ingericht voor Active Directory.

Ga als volgt te werk:

1. Meld u aan bij uw on-premises omgeving.
2. Start Active Directory Users and Computers
3. Controleer of de nieuwe groep is voorzien.

Volgende stappen

• Groeps-terugschrijven met Microsoft Entra Cloud Sync
• On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance
• Migreren van de writeback-functie van de Microsoft Entra Connect Sync-groep V2 naar Microsoft Entra Cloud Sync