Partilhar via

Cenário - Usando extensões de diretório com provisionamento de grupo para o Ative Directory

  • Artigo

Cenário: Você tem centenas de grupos no Microsoft Entra ID. Você deseja provisionar alguns desses grupos, mas nem todos de volta para o Ative Directory. Você gostaria de um filtro rápido que possa ser aplicado a grupos sem ter que fazer um filtro de escopo mais complicado.

Diagrama de write-back de grupo com sincronização na nuvem.

Você pode usar o ambiente criado neste cenário para testar ou para se familiarizar mais com a sincronização na nuvem.

Suposições

  • Este cenário pressupõe que você já tenha um ambiente de trabalho que esteja sincronizando usuários com o Microsoft Entra ID.
  • Temos 4 usuários que estão sincronizados. Britta Simon, Lola Jacobson, Anna Ringdahl e John Smith.
  • Três unidades organizacionais foram criadas no Ative Directory - Vendas, Marketing e Grupos
  • As contas de usuário Britta Simon e Anna Ringdahl residem na UO de vendas.
  • As contas de usuário Lola Jacobson e John Smith residem na UO de Marketing.
  • A UO de Grupos é onde nossos grupos do Microsoft Entra ID são provisionados.

Gorjeta

Para obter uma melhor experiência de execução de cmdlets do SDK do Microsoft Graph PowerShell, use o Visual Studio Code com ms-vscode.powershell extensão no Modo ISE.

Criar dois grupos no Microsoft Entra ID

Para começar, crie dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Na parte superior, clique em Novo grupo.
  4. Verifique se o tipo Grupo está definido como segurança.
  5. Para o Nome do Grupo, insira Vendas
  6. Para o tipo de associação, mantenha-o em atribuído.
  7. Clique em Criar.
  8. Repita este processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Na parte superior, na caixa de pesquisa, digite Vendas.
  4. Clique no novo grupo Vendas .
  5. À esquerda, clique em Membros
  6. Na parte superior, clique em Adicionar membros.
  7. Na parte superior, na caixa de pesquisa, digite Brenda Fernandes.
  8. Coloque um cheque ao lado de Britta Simon e Anna Ringdahl e clique em Selecionar
  9. Deve adicioná-la com sucesso ao grupo.
  10. Na extremidade esquerda, clique em Todos os grupos e repita este processo usando o grupo Marketing e adicionando Lola Jacobson e John Smith a esse grupo.

Nota

Ao adicionar usuários ao grupo de Marketing, anote a ID do grupo na página de visão geral. Esse ID é usado posteriormente para adicionar nossa propriedade recém-criada ao grupo.

Instalar e conectar o SDK do Microsoft Graph PowerShell

  1. Se ainda não estiver instalado, siga a documentação do SDK do Microsoft Graph PowerShell para instalar os módulos principais do SDK do Microsoft Graph PowerShell: Microsoft.Graph.

  2. Abrir o PowerShell com privilégios administrativos

  3. Para definir a política de execução, execute (pressione [A] Sim para todos quando solicitado):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Conecte-se ao seu locatário (certifique-se de aceitar em nome de ao entrar):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Crie nossa entidade de serviço e aplicativo CloudSyncCustomExtensionApp

Importante

A extensão de diretório para o Microsoft Entra Cloud Sync só é suportada para aplicativos com o URI identificador "api://< tenantId>/CloudSyncCustomExtensionsApp" e o aplicativo de extensão de esquema de locatário criado pelo Microsoft Entra Connect.

  1. Obtenha o ID do inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Nota

Isso resultará em nossa ID de locatário atual. Você pode confirmar essa ID de locatário navegando até Visão geral da identidade > do centro> de administração do Microsoft Entra.

  1. Usando a $tenantId variável da etapa anterior, verifique se o CloudSyncCustomExtensionApp existe.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Se existir um CloudSyncCustomExtensionApp, avance para o passo seguinte. Caso contrário, crie o novo aplicativo CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Verifique se o aplicativo CloudSyncCustomExtensionsApp tem uma entidade de segurança associada. Se você acabou de criar um novo aplicativo, pule para a próxima etapa.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Se você acabou de criar um novo aplicativo ou uma entidade de segurança não é retornada, crie uma entidade de segurança para CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Crie nosso atributo de extensão personalizado

Gorjeta

Neste cenário, vamos criar um atributo de extensão personalizado chamado WritebackEnabled para ser usado no filtro de escopo do Microsoft Entra Cloud Sync, para que apenas grupos com WritebackEnabled definido como True sejam gravados novamente no Ative Directory local, de forma semelhante ao sinalizador Writeback habilitado no centro de administração do Microsoft Entra.

  1. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Agora, sob o CloudSyncCustomExtensionApp, crie o atributo de extensão personalizado chamado "WritebackEnabled" e atribua-o a objetos Group:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Este cmdlet cria um atributo de extensão que se parece com extension_<guid>_WritebackEnabled.

Crie a nossa configuração de sincronização na nuvem

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Identity>Hybrid Management>Microsoft Entra Connect>Cloud sync.

  3. Selecione Nova configuração.

  4. Selecione Microsoft Entra ID para sincronização do AD.

Captura de tela da seleção de configuração.

  1. No ecrã de configuração, selecione o domínio e se quer ativar a sincronização do hash de palavras-passe. Clique em Criar.

Captura de ecrã de uma nova configuração.

  1. A tela Introdução é aberta. A partir daqui, pode continuar a configurar a sincronização na nuvem

  2. À esquerda, clique em Filtros de escopo, selecione Escopo - do grupo: Todos os grupos

  3. Clique em Editar mapeamento de atributos e altere o contêiner de destino para OU=Groups,DC=Contoso,DC=com. Clique em Guardar.

  4. Clique em Adicionar filtro de escopo de atributo

  5. Digite um nome para o filtro de escopo: Filter groups with Writeback Enabled

  6. Em Atributo de destino , selecione o atributo recém-criado que se parece com extension_<guid>_WritebackEnabled.

Importante

Alguns dos atributos de destino exibidos na lista suspensa podem não ser utilizáveis como um filtro de escopo porque nem todas as propriedades podem ser gerenciadas no Entra ID, por exemplo, extensionAttribute[1-15], portanto, a recomendação é criar uma propriedade de extensão personalizada para essa finalidade específica. Captura de tela dos atributos disponíveis.

  1. Em Operador, selecione IS TRUE
  2. Clique em Guardar. Clique em Guardar.
  3. Deixe a configuração desativada e volte para ela.

Adicionar nova propriedade de extensão a um dos nossos grupos

Para esta parte, vamos adicionar um valor em nossa propriedade recém-criada a um de nossos grupos existentes, Marketing.

Definir o valor da propriedade de extensão usando o SDK do Microsoft Graph PowerShell

  1. Use a $cloudSyncCustomExtApp variável da etapa anterior para obter nossa propriedade de extensão:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Agora, veja o Marketing grupo:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Em seguida, com a variável $gwbEnabledExtName contendo extension_<guid>_WritebackEnabled, defina o valor True para o grupo Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Para confirmar, você pode ler o valor do extension_<guid>_WritebackEnabled imóvel com:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Definir o valor da propriedade de extensão usando o Microsoft Graph Explorer

Precisa de se certificar de que deu o seu consentimento ao Group.ReadWrite.All. Você pode fazer isso selecionando Modificar permissões.

  1. Navegue até Microsoft Graph Explorer

  2. Inicie sessão com a sua conta de administrador de inquilino. Pode ser necessária uma conta de Administrador de Identidade Híbrida. Uma conta de Administrador de Identidade Híbrida foi usada na criação desse cenário. Uma conta de Administrador de Identidade Híbrida pode ser suficiente.

  3. Na parte superior, altere a opção GET para PATCH

  4. Na caixa de endereço, digite: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. No corpo da solicitação, digite:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Clique em Executar consultaCaptura de ecrã a mostrar a execução da consulta gráfica.

  7. Se feito corretamente, você verá [].

  8. Agora no topo, altere PATCH para GET e veja as propriedades do grupo de marketing.

  9. Clique em Executar consulta. Você deve ver o atributo recém-criado. Captura de ecrã das propriedades do grupo.

Teste a nossa configuração

Nota

Ao usar o provisionamento sob demanda, os membros não são provisionados automaticamente. Você precisa selecionar em quais membros deseja testar e há um limite de 5 membros.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.
  1. Em Configuração, selecione sua configuração.
  2. À esquerda, selecione Provisão sob demanda.
  3. Insira Marketing na caixa do grupo Selecionado
  4. Na seção Usuários selecionados, selecione alguns usuários para testar. Selecione Lola Jacobson e John Smith.
  5. Clique em Provisionar. Deve ser provisionado com sucesso. Captura de tela do provisionamento bem-sucedido.
  6. Agora tente com o grupo de vendas e adicione Britta Simon e Anna Ringdahl. Isso não deve provisionar. Captura de tela do provisionamento sendo bloqueado.
  7. No Ative Directory, você verá o grupo Marketing recém-criado. Captura de tela do novo grupo em usuários e computadores do Ative Directory.
  8. Agora você pode navegar até a >página Visão geral da sincronização do>Microsoft Entra Connect>Cloud Management > para Revisar e habilitar nossa configuração para iniciar a sincronização.

Próximos passos