Поделиться через

Руководство. Подготовка групп в Active Directory с помощью Microsoft Entra Cloud Sync

  • Статья

В этом руководстве описывается создание и настройка облачной синхронизации для синхронизации групп с локальная служба Active Directory.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью microsoft Entra Connect Sync
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут быть назначены или динамические группы членства.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Предположения

В этом учебнике предполагается следующее:

  • У вас есть локальная среда Active Directory
  • У вас есть настройка облачной синхронизации для синхронизации пользователей с идентификатором Microsoft Entra.
  • У вас есть два пользователя, которые синхронизированы. Брита Саймон и Лола Джейкобсон. Эти пользователи существуют локально и в идентификаторе Microsoft Entra.
  • Три организационных подразделения были созданы в Active Directory — группы, продажи и маркетинг. Они имеют следующие различающиеся имена:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Создайте две группы в идентификаторе Microsoft Entra.

Для начала мы создадим две группы в идентификаторе Microsoft Entra. Одна группа — Продажи, а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к группам>удостоверений>Все группы.
  3. В верхней части нажмите кнопку "Создать группу".
  4. Убедитесь, что для типа группы задана безопасность.
  5. В поле "Имя группы" введите "Продажи"
  6. Для типа членства он назначается.
  7. Нажмите кнопку Создать.
  8. Повторите этот процесс с помощью маркетинга в качестве имени группы.

Добавление пользователей в только что созданные группы

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к группам>удостоверений>Все группы.
  3. В верхней части окна поиска введите Sales.
  4. Щелкните новую группу продаж .
  5. В левой части экрана нажмите кнопку "Члены"
  6. В верхней части нажмите кнопку "Добавить участников".
  7. В верхней части окна поиска введите Britta Simon.
  8. Установите флажок рядом с Britta Simon и нажмите кнопку " Выбрать"
  9. Она должна успешно добавить ее в группу.
  10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы продаж и добавьте Лола Джейкобсон в эту группу.

Настройка подготовки

Чтобы настроить подготовку, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.Снимок экрана: домашняя страница облачной синхронизации.

  1. Выберите Новая конфигурация.

  2. Выберите идентификатор Microsoft Entra в службу синхронизации AD. Снимок экрана: выбор конфигурации.

  3. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать. Снимок экрана: новая конфигурация.

  4. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

  5. Слева щелкните фильтры области.

  6. В разделе "Область группы" задано значение "Все группы безопасности"

  7. В разделе "Целевой контейнер " щелкните "Изменить сопоставление атрибутов". Снимок экрана: разделы области фильтров.

  8. Изменение типа сопоставления с выражением

  9. В поле выражения введите следующее: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Измените значение по умолчанию, чтобы быть OU=Groups,DC=contoso,DC=com. Снимок экрана: выражение фильтров области.

  11. Нажмите кнопку "Применить ". Это изменяет целевой контейнер в зависимости от атрибута displayName группы.

  12. Щелкните Сохранить.

  13. Слева нажмите кнопку "Обзор"

  14. В верхней части нажмите кнопку "Рецензирование" и " Включить"

  15. Справа нажмите кнопку "Включить конфигурацию"

Конфигурация теста

Примечание.

При использовании подготовки по запросу члены не будут автоматически провизионированы. Необходимо выбрать участников, на которые вы хотите протестировать, и есть ограничение на 5 членов.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.Снимок экрана: домашняя страница облачной синхронизации.

  1. В разделе Конфигурация выберите свою конфигурацию.

  2. Слева выберите "Подготовка по запросу".

  3. Введите "Продажи" в поле "Выбранная группа"

  4. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования. Снимок экрана: добавление элементов.

  5. Нажмите кнопку "Подготовка".

  6. Вы должны увидеть подготовленную группу.

Снимок экрана: успешная подготовка по запросу.

Проверка в Active Directory

Теперь вы можете убедиться, что группа подготовлена в Active Directory.

Выполните следующие действия.

  1. Войдите в локальную среду.
  2. Запуск Пользователи и компьютеры Active Directory
  3. Убедитесь, что новая группа подготовлена. Снимок экрана: только что подготовленная группа.

Следующие шаги