Сценарий — использование расширений каталогов с управлением группами в Active Directory

Сценарий. У вас есть сотни групп в идентификаторе Microsoft Entra. Вы хотите настроить некоторые из этих групп, но не все в Active Directory. Вам потребуется быстрый фильтр, который можно применить к группам, не выполняя более сложный фильтр области.

Вы можете использовать среду, созданную в этом сценарии, для тестирования или чтобы ознакомиться с облачной синхронизацией.

Предположения

• В этом сценарии предполагается, что у вас уже есть рабочая среда, которая синхронизирует пользователей с идентификатором Microsoft Entra.
• У нас есть 4 пользователя, которые синхронизируются. Britta Simon, Лола Джейкобсон, Анна Ringdahl и Джон Смит.
• Три организационных подразделения были созданы в Active Directory — Продажи, маркетинг и группы
• Учетные записи пользователей Бритта Саймон и Анна Рингдаль находятся в подразделении продаж.
• Учетные записи пользователей Лолы Джейкобсон и Джона Смита находятся в подразделении маркетинга.
• Организационная единица "Группы" — это, где создаются наши группы из Microsoft Entra ID.

Совет

Для лучшего опыта работы с командлетами Microsoft Graph PowerShell SDK используйте Visual Studio Code с ms-vscode.powershell расширением в режиме ISE.

Создание двух групп в идентификаторе Microsoft Entra

Для начала создайте две группы в идентификаторе Microsoft Entra. Одна группа — "Продажи", а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве гибридного администратора удостоверений или выше.
2. Перейдите к удостоверениям>Группы>Все группы.
3. В верхней части нажмите кнопку "Создать группу".
4. Убедитесь, что тип группы установлен на безопасность.
5. В поле "Имя группы" введите "Продажи"
6. Оставьте Тип членства назначенным.
7. Нажмите кнопку Создать.
8. Повторите этот процесс, используя Marketing в качестве имени группы.

Добавление пользователей в только что созданные группы

1. Войдите в Центр администрирования Microsoft Entra как минимум, как администратор гибридных удостоверений.
2. Перейдите к удостоверениям>Группы>Все группы.
3. В верхней части окна поиска введите Sales.
4. Щелкните новую группу продаж.
5. В левой части экрана нажмите кнопку "Члены"
6. В верхней части нажмите кнопку "Добавить участников".
7. В верхней части окна поиска введите Britta Simon.
8. Установите флажок рядом с Britta Simon и Анна Ringdahl и нажмите кнопку " Выбрать"
9. Она должна быть успешно добавлена в группу.
10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы маркетинга и добавления Лола Джейкобсон и Джон Смит в эту группу.

Примечание.

При добавлении пользователей в группу маркетинга запишите идентификатор группы на странице обзора. Этот идентификатор используется позже для добавления нашего созданного свойства в группу.

Установка и подключение пакета SDK Microsoft Graph PowerShell

1. Если еще не установлено, следуйте документации по Microsoft Graph PowerShell SDK, чтобы установить основные модули: Microsoft.Graph.

2. Открытие PowerShell с правами администратора

3. Чтобы задать политику выполнения, выполните команду (нажмите клавишу [A] Да для всех при появлении запроса):

   Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
   

4. Подключитесь к арендатору (не забудьте принять действия от имени при входе):

   Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"
   

Создать приложение и принципал службы CloudSyncCustomExtensionApp

Внимание

Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с идентификатором URI "api://<tenantId>/CloudSyncCustomExtensionsApp" и приложения Tenant Schema Extension App, созданного с помощью Microsoft Entra Connect.

1. Получите идентификатор клиента:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

Примечание.

Это приведет к выводу текущего идентификатора арендатора. Этот идентификатор клиента можно подтвердить, перейдя в Центр администрирования Microsoft Entra> в раздел >Обзор удостоверений.

1. $tenantId Используя переменную из предыдущего шага, проверьте, существует ли CloudSyncCustomExtensionApp.

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   $cloudSyncCustomExtApp
   

2. Если CloudSyncCustomExtensionApp существует, перейдите к следующему шагу. В противном случае создайте новое приложение CloudSyncCustomExtensionApp:

   $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
   $cloudSyncCustomExtApp 
   

3. Проверьте, связан ли приложение CloudSyncCustomExtensionsApp с субъектом безопасности. Если вы только что создали новое приложение, перейдите к следующему шагу.

   Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"
   

4. Если вы только что создали новое приложение или субъект безопасности не возвращается, создайте субъект безопасности для CloudSyncCustomExtensionsApp:

   New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId
   

Создайте наш пользовательский атрибут расширения

Совет

В этом сценарии мы создадим настраиваемый атрибут расширения WritebackEnabled, который будет использоваться в фильтре области синхронизации Microsoft Entra Cloud Sync, чтобы только группы с параметром WritebackEnabled, установленным на True, были записаны обратно в локальную службу Active Directory, аналогично флагу "Обратная запись включена" в центре администрирования Microsoft Entra.

1. Получите идентификатор клиента:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

2. Получите приложение CloudSyncCustomExtensionsApp:

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   

3. Теперь в cloudSyncCustomExtensionApp создайте настраиваемый атрибут расширения с именем WritebackEnabled и назначьте его объектам Group:

   New-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'
   

4. Этот командлет создает атрибут расширения, который выглядит как extension_<guid>_WritebackEnabled.

Создание конфигурации облачной синхронизации

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора гибридных удостоверений, по крайней мере.

2. Перейдите к Удостоверение>Гибридное управление>Microsoft Entra Connect>Синхронизация с облаком.

3. Выберите Новая конфигурация.

4. Выберите синхронизацию Microsoft Entra ID с AD.

5. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.

6. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

7. В левой части экрана щелкните Фильтры области, выберите Область группы - "Все группы"

8. Щелкните "Изменить сопоставление атрибутов" и измените целевой контейнер на OU=Groups,DC=Contoso,DC=com. Нажмите кнопку Сохранить.

9. Щелкните Добавить фильтр области действия атрибутов

10. Введите имя фильтра области: Filter groups with Writeback Enabled

11. В разделе "Целевой атрибут" выберите только что созданный атрибут, который выглядит как extension_<guid>_WritebackEnabled.

Внимание

Некоторые целевые атрибуты, отображаемые в раскрывающемся списке, могут быть недоступны в качестве фильтра области, так как не все свойства можно управлять в идентификаторе Entra, например extensionAttribute[1-15], поэтому рекомендация заключается в создании настраиваемого свойства расширения для этой конкретной цели.

13. В разделе " Оператор " выберите IS TRUE
14. Нажмите кнопку Сохранить. Щелкните Сохранить.
15. Оставьте конфигурацию отключенной и вернитесь к ней.

Добавление нового свойства расширения в одну из наших групп

Для этой части мы добавим значение нашему вновь созданному свойству в одну из наших существующих групп, маркетинг.

Установка значения свойства расширения с помощью пакета SDK для Microsoft Graph PowerShell

1. Получите идентификатор клиента:

   $tenantId = (Get-MgOrganization).Id
   $tenantId
   

2. Получите приложение CloudSyncCustomExtensionsApp:

   $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
   

3. Получите свойство расширения:

   $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
       Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
   $gwbEnabledExtAttrib 
   $gwbEnabledExtName = $gwbEnabledExtAttrib.Name
   

4. Теперь получите группу Marketing :

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
   $marketingGrp 
   

5. Затем с переменной $gwbEnabledExtName , содержащей extension_<guid>_WritebackEnabled, задайте значение True для группы маркетинга:

   Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}
   

6. Чтобы подтвердить, вы можете прочитать значение свойства extension_<guid>_WritebackEnabled:

   $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
   $marketingGrp.AdditionalProperties.$gwbEnabledExtName
   

Установка значения свойства расширения с помощью Microsoft Graph Explorer

Необходимо убедиться, что вы предоставили согласие на Group.ReadWrite.All. Это можно сделать, выбрав "Изменить разрешения".

1. Перейдите в Обозреватель Microsoft Graph

2. Войдите с помощью учетной записи администратора клиента. Это может потребоваться учетная запись администратора Hybrid Identity. Учетная запись администратора гибридных удостоверений использовалась при создании этого сценария. Учетная запись администратора гибридных удостоверений может быть достаточной.

3. Вверху измените GET на PATCH

4. В поле адреса введите: https://graph.microsoft.com/v1.0/groups/<Group Id>

5. В тексте запроса введите:

   {
    extension_<guid>_WritebackEnabled: true
   }
   
   

6. Нажмите кнопку " Выполнить запрос"

7. Если это сделано правильно, вы увидите [].

8. Теперь вверху измените PATCH на GET и просмотрите свойства маркетинговой группы.

9. Щелкните Выполнить запрос. Вы увидите только что созданный атрибут.

Проверка конфигурации

Примечание.

При использовании подготовки по запросу пользователи не будут подготавливаться автоматически. Необходимо выбрать участников, для которых вы хотите провести тестирование, и ограничение составляет 5 участников.

1. Войдите в Центр администрирования Microsoft Entra как Гибридный Администратор или выше.
2. Перейдите к разделу Удостоверения>Гибридное управление>Microsoft Entra Connect>Облачная синхронизация.

3. В разделе Конфигурация выберите свою конфигурацию.
4. Слева выберите "Подготовка по запросу".
5. Введите Маркетинг в поле Выбранная группа
6. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования. Выберите Лола Джейкобсон и Джон Смит.
7. Нажмите кнопку "Подготовка". Он должен успешно подготовиться.
8. Теперь попробуйте с группой продаж и добавьте Britta Simon и Анна Ringdahl. Это не должно обеспечиваться.
9. В Active Directory должна появиться только что созданная группа маркетинга.
10. Теперь вы можете перейти на удостоверение>гибридное управление>Microsoft Entra Connect>страница синхронизации с облаком> обзор, чтобы просмотреть и включить нашу конфигурацию для начала синхронизации.

Следующие шаги

• Использование обратной записи группы с помощью Microsoft Entra Cloud Sync

• Управление приложениями на основе локальной службы Active Directory (Kerberos) с помощью Microsoft Entra ID Governance

• Миграция функции обратной записи в группе синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync