Поделиться через


Руководство — Настройка групп в Active Directory с помощью Microsoft Entra Cloud Sync

В этом руководстве описывается создание и настройка облачной синхронизации для синхронизации групп с локальной службой Active Directory.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Предназначен для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки со сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляетесь с предыдущей версии, необходимо вручную назначить разрешения с помощью командлета PowerShell.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что установлены права на чтение, запись, создание и удаление всех свойств для всех дочерних объектов групп и пользователей.

Эти разрешения по умолчанию не применяются к объектам AdminSDHolder в Microsoft Entra provisioning agent gMSA PowerShell cmdlets

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect со сборкой 2.2.8.0 или более поздней
    • Требуется для поддержки членства локальных пользователей, синхронизированных с помощью Microsoft Entra Connect Sync.
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут быть назначенными или динамическими группами членства.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами созданной в облаке группы безопасности, могут быть из одного домена или из разных доменов, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Арендаторы, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерняя вложенная группа считается одним членом в группе, к которой относится.
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя может быть синхронизирован с атрибутом onPremisesObjectIdentifier облачного пользователя с помощью Microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0).
  • Если вы используете Microsoft Entra Connect Sync (2.2.8.0) для синхронизации пользователей вместо Microsoft Entra Cloud Sync и хотите использовать подготовку учетных записей в AD, версия должна быть 2.2.8.0 или более поздней.
  • Поддерживаются только обычные арендаторы Microsoft Entra ID для предоставления из Microsoft Entra ID в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Предположения

В этом учебнике предполагается следующее:

  • У вас есть локальная среда Active Directory
  • У вас есть настройка облачной синхронизации для синхронизации пользователей с идентификатором Microsoft Entra.
  • У вас есть два пользователя, которые синхронизированы. Брита Саймон и Лола Джейкобсон. Эти пользователи существуют локально и в идентификаторе Microsoft Entra.
  • Три организационных подразделения были созданы в Active Directory — группы, продажи и маркетинг. Они имеют следующие различающиеся имена:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Sales,DC=contoso,DC=com
  • OU=Groups,DC=contoso,DC=com

Создайте две группы в идентификаторе Microsoft Entra.

Для начала мы создадим две группы в идентификаторе Microsoft Entra. Одна группа — Продажи, а другая — маркетинг.

Чтобы создать две группы, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли гибридного администратора удостоверений.
  2. Перейдите к удостоверениям>Группы>Все группы.
  3. В верхней части нажмите кнопку "Создать группу".
  4. Убедитесь, что тип группы установлен на безопасность.
  5. В поле "Имя группы" введите "Продажи"
  6. Для типа членства оставьте его назначенным.
  7. Нажмите кнопку Создать.
  8. Повторите этот процесс, используя Marketing в качестве имени группы.

Добавление пользователей в только что созданные группы

  1. Войдите в центр администрирования Microsoft Entra в качестве как минимум Гибридного администратора удостоверений.
  2. Перейдите к Идентичность>Группы>Все группы.
  3. В верхней части окна поиска введите Sales.
  4. Нажмите на новую группу продаж.
  5. В левой части экрана нажмите кнопку "Члены"
  6. В верхней части нажмите кнопку "Добавить участников".
  7. В верхней части окна поиска введите Britta Simon.
  8. Установите флажок рядом с Britta Simon и нажмите кнопку " Выбрать"
  9. Это должно успешно добавить её в группу.
  10. В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы продаж и добавьте Лола Джейкобсон в эту группу.

Настройка управления ресурсами

Чтобы настроить предоставление, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как Гибридный администратор или выше.
  2. Перейдите к Удостоверения>Гибридное управление>Microsoft Entra Connect>Облачная синхронизация. Снимок экрана: домашняя страница облачной синхронизации.
  1. Выберите Новая конфигурация.

  2. Выберите синхронизацию Microsoft Entra ID с AD. Снимок экрана: выбор конфигурации.

  3. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать. Снимок экрана: новая конфигурация.

  4. Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.

  5. Слева щелкните фильтры области применения.

  6. В разделе "Область группы" задано значение "Все группы безопасности"

  7. В разделе "Целевой контейнер " щелкните "Изменить сопоставление атрибутов". Снимок экрана: разделы области фильтров.

  8. Измените тип сопоставления на выражение

  9. В поле выражения введите следующее: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Измените значение по умолчанию на OU=Groups,DC=contoso,DC=com. Снимок экрана выражения области фильтрации.

  11. Нажмите кнопку "Применить ". Это изменяет целевой контейнер в зависимости от атрибута displayName группы.

  12. Щелкните Сохранить.

  13. Слева нажмите кнопку "Обзор"

  14. В верхней части нажмите кнопку "Рецензирование" и " Включить"

  15. Справа нажмите кнопку "Включить конфигурацию"

Конфигурация теста

Примечание.

При использовании предоставления по запросу члены не будут автоматически задействованы. Необходимо выбрать участников, которых вы хотите протестировать, и ограничение составляет 5 участников.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в качестве Гибридного администратора.
  2. Перейдите в раздел Удостоверения>Гибридное управление>Microsoft Entra Connect>Облачная синхронизация. Снимок экрана: домашняя страница облачной синхронизации.
  1. В разделе Конфигурация выберите свою конфигурацию.

  2. Слева выберите "Подготовка по запросу".

  3. Введите Продажи в поле Выбранная группа

  4. В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования. Снимок экрана: добавление участников.

  5. Нажмите "Поставка".

  6. Вы должны увидеть подготовленную группу.

Снимок экрана: успешное развертывание по требованию.

Проверка в Active Directory

Теперь вы можете убедиться, что группа настроена в Active Directory.

Выполните следующие действия.

  1. Войдите в локальную среду.
  2. Запуск Пользователи и компьютеры Active Directory
  3. Убедитесь, что новая группа подготовлена. Снимок экрана: только что подготовленная группа.

Следующие шаги