Руководство — Настройка групп в Active Directory с помощью Microsoft Entra Cloud Sync
В этом руководстве описывается создание и настройка облачной синхронизации для синхронизации групп с локальной службой Active Directory.
Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования
Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Общие требования
- Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
- Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
- Предназначен для атрибута схемы AD — msDS-ExternalDirectoryObjectId
- Агент подготовки со сборкой 1.1.1370.0 или более поздней.
Примечание.
Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляетесь с предыдущей версии, необходимо вручную назначить разрешения с помощью командлета PowerShell.
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Если разрешения задаются вручную, необходимо убедиться, что установлены права на чтение, запись, создание и удаление всех свойств для всех дочерних объектов групп и пользователей.
Эти разрешения по умолчанию не применяются к объектам AdminSDHolder в Microsoft Entra provisioning agent gMSA PowerShell cmdlets
- Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
- Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
- Синхронизация Microsoft Entra Connect со сборкой 2.2.8.0 или более поздней
- Требуется для поддержки членства локальных пользователей, синхронизированных с помощью Microsoft Entra Connect Sync.
- Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier
Поддерживаемые группы и ограничения масштабирования
Поддерживается следующее:
- Поддерживаются только созданные облаком группы безопасности
- Эти группы могут быть назначенными или динамическими группами членства.
- Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
- Локальные учетные записи пользователей, которые синхронизированы и являются членами созданной в облаке группы безопасности, могут быть из одного домена или из разных доменов, но все они должны быть из одного леса.
- Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
- Группы, превышающие 50 000 членов, не поддерживаются.
- Арендаторы, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
- Каждая прямая дочерняя вложенная группа считается одним членом в группе, к которой относится.
- Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.
Дополнительная информация:
Ниже приведены дополнительные сведения о подготовке групп в Active Directory.
- Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
- Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
- OnPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD.
- Атрибут objectGUID локального пользователя может быть синхронизирован с атрибутом onPremisesObjectIdentifier облачного пользователя с помощью Microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0).
- Если вы используете Microsoft Entra Connect Sync (2.2.8.0) для синхронизации пользователей вместо Microsoft Entra Cloud Sync и хотите использовать подготовку учетных записей в AD, версия должна быть 2.2.8.0 или более поздней.
- Поддерживаются только обычные арендаторы Microsoft Entra ID для предоставления из Microsoft Entra ID в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
- Задание подготовки группы планируется выполнять каждые 20 минут.
Предположения
В этом учебнике предполагается следующее:
- У вас есть локальная среда Active Directory
- У вас есть настройка облачной синхронизации для синхронизации пользователей с идентификатором Microsoft Entra.
- У вас есть два пользователя, которые синхронизированы. Брита Саймон и Лола Джейкобсон. Эти пользователи существуют локально и в идентификаторе Microsoft Entra.
- Три организационных подразделения были созданы в Active Directory — группы, продажи и маркетинг. Они имеют следующие различающиеся имена:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
Создайте две группы в идентификаторе Microsoft Entra.
Для начала мы создадим две группы в идентификаторе Microsoft Entra. Одна группа — Продажи, а другая — маркетинг.
Чтобы создать две группы, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra как минимум в роли гибридного администратора удостоверений.
- Перейдите к удостоверениям>Группы>Все группы.
- В верхней части нажмите кнопку "Создать группу".
- Убедитесь, что тип группы установлен на безопасность.
- В поле "Имя группы" введите "Продажи"
- Для типа членства оставьте его назначенным.
- Нажмите кнопку Создать.
- Повторите этот процесс, используя Marketing в качестве имени группы.
Добавление пользователей в только что созданные группы
- Войдите в центр администрирования Microsoft Entra в качестве как минимум Гибридного администратора удостоверений.
- Перейдите к Идентичность>Группы>Все группы.
- В верхней части окна поиска введите Sales.
- Нажмите на новую группу продаж.
- В левой части экрана нажмите кнопку "Члены"
- В верхней части нажмите кнопку "Добавить участников".
- В верхней части окна поиска введите Britta Simon.
- Установите флажок рядом с Britta Simon и нажмите кнопку " Выбрать"
- Это должно успешно добавить её в группу.
- В левом углу нажмите кнопку "Все группы " и повторите этот процесс с помощью группы продаж и добавьте Лола Джейкобсон в эту группу.
Настройка управления ресурсами
Чтобы настроить предоставление, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra как Гибридный администратор или выше.
- Перейдите к Удостоверения>Гибридное управление>Microsoft Entra Connect>Облачная синхронизация.
Выберите Новая конфигурация.
На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.
Откроется экран "Начало работы ". Здесь можно продолжить настройку облачной синхронизации.
Слева щелкните фильтры области применения.
В разделе "Область группы" задано значение "Все группы безопасности"
В разделе "Целевой контейнер " щелкните "Изменить сопоставление атрибутов".
Измените тип сопоставления на выражение
В поле выражения введите следующее:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")
Измените значение по умолчанию на OU=Groups,DC=contoso,DC=com.
Нажмите кнопку "Применить ". Это изменяет целевой контейнер в зависимости от атрибута displayName группы.
Щелкните Сохранить.
Слева нажмите кнопку "Обзор"
В верхней части нажмите кнопку "Рецензирование" и " Включить"
Справа нажмите кнопку "Включить конфигурацию"
Конфигурация теста
Примечание.
При использовании предоставления по запросу члены не будут автоматически задействованы. Необходимо выбрать участников, которых вы хотите протестировать, и ограничение составляет 5 участников.
- Войдите в Центр администрирования Microsoft Entra как минимум в качестве Гибридного администратора.
- Перейдите в раздел Удостоверения>Гибридное управление>Microsoft Entra Connect>Облачная синхронизация.
В разделе Конфигурация выберите свою конфигурацию.
Слева выберите "Подготовка по запросу".
Введите Продажи в поле Выбранная группа
В разделе "Выбранные пользователи" выберите некоторых пользователей для тестирования.
Нажмите "Поставка".
Вы должны увидеть подготовленную группу.
Проверка в Active Directory
Теперь вы можете убедиться, что группа настроена в Active Directory.
Выполните следующие действия.
- Войдите в локальную среду.
- Запуск Пользователи и компьютеры Active Directory
- Убедитесь, что новая группа подготовлена.