Поделиться через

Сценарий. Использование расширений каталогов с подготовкой групп в Active Directory

  • Статья

Сценарий. У вас есть сотни групп в идентификаторе Microsoft Entra. Вы хотите подготовить некоторые из этих групп, но не все обратно в Active Directory. Вам потребуется быстрый фильтр, который можно применить к группам, не выполняя более сложный фильтр области.

Схема обратной записи группы с помощью облачной синхронизации.

Вы можете использовать среду, созданную в этом сценарии, для тестирования или получения более подробной работы с облачной синхронизацией.

Предположения

  • В этом сценарии предполагается, что у вас уже есть рабочая среда, которая синхронизирует пользователей с идентификатором Microsoft Entra.
  • У нас есть 4 пользователя, которые синхронизируются. Britta Simon, Лола Джейкобсон, Анна Ringdahl и Джон Смит.
  • Три организационных подразделения были созданы в Active Directory — Продажи, маркетинг и группы
  • Учетные записи пользователей Britta Simon и Анна Ringdahl находятся в подразделении продаж.
  • Учетные записи пользователей Лола Джейкобсон и Джон Смит находятся в подразделении маркетинга.
  • Подразделение "Группы" — это место, в котором подготавливаются наши группы из идентификатора Microsoft Entra.

Совет

Для лучшего выполнения командлетов пакета SDK Для Microsoft Graph PowerShell используйте Visual Studio Code с ms-vscode.powershell расширением в режиме ISE.

Создание двух групп в идентификаторе Microsoft Entra

Для начала создайте две группы в идентификаторе Microsoft Entra. Одна группа — "Продажи", а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к группам>удостоверений>Все группы.
  3. В верхней части нажмите кнопку "Создать группу".
  4. Убедитесь, что для типа группы задана безопасность.
  5. В поле "Имя группы" введите "Продажи"
  6. Для типа членства он назначается.
  7. Нажмите кнопку Создать.
  8. Повторите этот процесс с помощью маркетинга в качестве имени группы.

Добавление пользователей в только что созданные группы

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к группам>удостоверений>Все группы.
  3. В верхней части окна поиска введите Sales.
  4. Щелкните новую группу продаж .
  5. В левой части экрана нажмите кнопку "Члены"
  6. В верхней части нажмите кнопку "Добавить участников".
  7. В верхней части окна поиска введите Britta Simon.
  8. Установите флажок рядом с Britta Simon и Анна Ringdahl и нажмите кнопку " Выбрать"
  9. Она должна успешно добавить ее в группу.
  10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы маркетинга и добавления Лола Джейкобсон и Джон Смит в эту группу.

Примечание.

При добавлении пользователей в группу маркетинга запишите идентификатор группы на странице обзора. Этот идентификатор используется позже для добавления нового свойства в группу.

Установка и подключение пакета SDK Microsoft Graph PowerShell

  1. Если еще не установлено, следуйте документации по пакету SDK Для Microsoft Graph PowerShell, чтобы установить основные модули пакета SDK Microsoft Graph PowerShell: Microsoft.Graph

  2. Открытие PowerShell с правами администратора

  3. Чтобы задать политику выполнения, выполните команду (нажмите клавишу [A] Да для всех при появлении запроса):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Подключитесь к клиенту (не забудьте принять от имени при входе):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Создание приложения и субъекта-службы CloudSyncCustomExtensionApp

Внимание

Расширение каталога для Microsoft Entra Cloud Sync поддерживается только для приложений с идентификатором URI "api://< tenantId>/CloudSyncCustomExtensionsApp" и приложение расширения схемы клиента, созданное Microsoft Entra Connect.

  1. Получите идентификатор клиента:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Примечание.

Это приведет к выводу текущего идентификатора клиента. Этот идентификатор клиента можно подтвердить, перейдя к обзору удостоверений > Центра> администрирования Microsoft Entra.

  1. $tenantId Используя переменную из предыдущего шага, проверьте, существует ли CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Если CloudSyncCustomExtensionApp существует, перейдите к следующему шагу. В противном случае создайте новое приложение CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Проверьте, связан ли приложение CloudSyncCustomExtensionsApp с субъектом безопасности. Если вы только что создали новое приложение, перейдите к следующему шагу.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Если вы только что создали новое приложение или субъект безопасности не возвращается, создайте субъект безопасности для CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Создание пользовательского атрибута расширения

Совет

В этом сценарии мы создадим настраиваемый атрибут расширения, который WritebackEnabled будет использоваться в фильтре области синхронизации Microsoft Entra Cloud Sync, чтобы только группы с параметром WritebackEnabled были записаны обратно в локальную службу Active Directory, аналогично флагу обратной записи в Центре администрирования Microsoft Entra.

  1. Получите приложение CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Теперь в cloudSyncCustomExtensionApp создайте настраиваемый атрибут расширения с именем WritebackEnabled и назначьте его объектам Group:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Этот командлет создает атрибут расширения, который выглядит как extension_<guid>_WritebackEnabled.

Создание конфигурации облачной синхронизации

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.

  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.

  3. Выберите Новая конфигурация.

  4. Выберите идентификатор Microsoft Entra в службу синхронизации AD.

Снимок экрана: выбор конфигурации.

  1. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.

Снимок экрана: новая конфигурация.

  1. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

  2. В левой части экрана щелкните Фильтры области области групп - выберите "Все группы"

  3. Щелкните "Изменить сопоставление атрибутов" и измените целевой контейнер OU=Groups,DC=Contoso,DC=comна . Нажмите кнопку Сохранить.

  4. Щелкните " Добавить фильтр области атрибутов"

  5. Введите имя фильтра области: Filter groups with Writeback Enabled

  6. В разделе "Целевой атрибут" выберите только что созданный атрибут, который выглядит как extension_<guid>_WritebackEnabled.

Внимание

Некоторые целевые атрибуты, отображаемые в раскрывающемся списке, могут быть недоступны в качестве фильтра области, так как не все свойства можно управлять в идентификаторе Entra, например extensionAttribute[1-15], поэтому рекомендация заключается в создании настраиваемого свойства расширения для этой конкретной цели. Снимок экрана: доступные атрибуты.

  1. В разделе " Оператор " выберите IS TRUE
  2. Нажмите кнопку Сохранить. Щелкните Сохранить.
  3. Оставьте конфигурацию отключенной и вернитесь к ней.

Добавление нового свойства расширения в одну из наших групп

Для этой части мы добавим значение для нашего вновь созданного свойства в одну из существующих групп маркетинга.

Установка значения свойства расширения с помощью пакета SDK для Microsoft Graph PowerShell

  1. $cloudSyncCustomExtApp Используйте переменную из предыдущего шага, чтобы получить свойство расширения:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Теперь получите группу Marketing :

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Затем с переменной $gwbEnabledExtName , содержащей extension_<guid>_WritebackEnabled, задайте значение True для группы маркетинга:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Чтобы подтвердить, можно прочитать значение свойства с помощью следующих значений extension_<guid>_WritebackEnabled :

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Установка значения свойства расширения с помощью Microsoft Graph Explorer

Необходимо убедиться, что вы предоставили Group.ReadWrite.Allсогласие. Это можно сделать, выбрав "Изменить разрешения".

  1. Перейдите в Обозреватель Microsoft Graph

  2. Войдите с помощью учетной записи администратора клиента. Это может потребоваться учетная запись администратора гибридного удостоверения. Учетная запись администратора гибридных удостоверений использовалась при создании этого сценария. Учетная запись администратора гибридных удостоверений может быть достаточной.

  3. Вверху измените GET на PATCH

  4. В поле адреса введите: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. В тексте запроса введите:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Нажмите кнопку " Выполнить запрос"Снимок экрана: выполнение запроса графа.

  7. Если это сделано правильно, вы увидите [].

  8. Теперь вверху измените PATCH на GET и просмотрите свойства маркетинговой группы.

  9. Щелкните Выполнить запрос. Вы увидите только что созданный атрибут. Снимок экрана: свойства группы.

Проверка конфигурации

Примечание.

При использовании подготовки по запросу участники не подготавливаются автоматически. Необходимо выбрать участников, на которые вы хотите протестировать, и есть ограничение на 5 членов.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.Снимок экрана: домашняя страница облачной синхронизации.
  1. В разделе Конфигурация выберите свою конфигурацию.
  2. Слева выберите "Подготовка по запросу".
  3. Ввод маркетинга в поле "Выбранная группа"
  4. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования. Выберите Лола Джейкобсон и Джон Смит.
  5. Нажмите кнопку "Подготовка". Он должен успешно подготовиться. Снимок экрана: успешная подготовка.
  6. Теперь попробуйте с группой продаж и добавьте Britta Simon и Анна Ringdahl. Это не должно быть подготовлено. Снимок экрана: блокировка подготовки.
  7. В Active Directory должна появиться только что созданная группа маркетинга. Снимок экрана: новая группа в пользователях и компьютерах Active Directory.
  8. Теперь вы можете перейти на страницу обзора гибридного управления удостоверениями>>Microsoft Entra Connect>Cloud Sync>, чтобы просмотреть и включить нашу конфигурацию, чтобы начать синхронизацию.

Следующие шаги