教程 - 使用 Microsoft Entra 云同步将组预配到 Active Directory
本教程将指导你创建和配置云同步以将组同步到本地 Active Directory。
将 Microsoft Entra ID 预配到 Active Directory - 先决条件
实现将组预配到 Active Directory 需要满足以下先决条件。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 若要根据需要查找合适的许可证,请参阅比较 Microsoft Entra ID 的正式发布功能。
一般要求
- 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
- 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
- AD 架构属性所需 - msDS-ExternalDirectoryObjectId
- 使用内部版本 1.1.1370.0 或更高版本预配代理。
注意
仅在干净安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。
默认情况下,这些权限不会应用于 AdminSDHolder 对象,请参阅 Microsoft Entra 预配代理 gMSA PowerShell cmdlet
- 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局编录)上的一个或多个域控制器通信。
- 全局编录查找需要筛选出无效的成员身份引用
- 包含内部版本 2.2.8.0 或更高版本的 Microsoft Entra Connect
- 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
- 将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier 所需
支持的组和缩放限制
支持以下操作:
- 仅支持云创建的安全组
- 这些组可以有分配的组或动态成员资格组。
- 这些组只能包含本地同步的用户和/或其他云创建的安全组。
- 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
- 这些组以通用 AD 组范围写回。 本地环境必须支持通用组范围。
- 不支持超过 50,000 个成员的组。
- 不支持超过 150,000 个对象的租户。 这意味着,如果租户具有超过 15 万个对象的用户和组的任意组合,则不支持该租户。
- 每个直接子嵌套组计数为引用组中的一个成员
- 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。
其他信息
下面是有关将组预配到 Active Directory 的其他信息。
- 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
- 这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
- onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
- 可以使用 Microsoft Entra 云同步 (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性
- 如果使用 Microsoft Entra Connect Sync (2.2.8.0) 同步用户,而不是使用 Microsoft Entra 云同步,并且想要使用“预配到 AD”,则必须是 2.2.8.0 或更高版本。
- 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
- 组预配作业计划为每 20 分钟运行一次。
假设
本教程的假设条件如下:
- 你有一个 Active Directory 本地环境
- 你有云同步设置,可将用户同步到 Microsoft Entra ID。
- 你有两个同步的用户。 分别是 Britta Simon 和 Lola Jacobson。 这些用户存在于本地和 Microsoft Entra ID 中。
- 已在 Active Directory 中创建三个组织单位 - Groups、Sales 和 Marketing。 它们具有以下 distinguishedName:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
在 Microsoft Entra ID 中创建两个组。
首先,我们在 Microsoft Entra ID 中创建两个组。 一个组是 Sales,另一个组是 Marketing。
若要创建两个组,请执行以下步骤。
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“组”>“所有组”。
- 在顶部,单击“新建组”。
- 确保“组类型”设置为“安全”。
- 对于“组名称”,输入“Sales”
- 对于“成员身份类型”,将其保留在分配状态。
- 单击“创建”。
- 使用“Marketing”作为“组名称”重复此过程。
将用户添加到新创建的组
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“组”>“所有组”。
- 在顶部的搜索框中输入“Sales”。
- 单击新“Sales”组。
- 在左侧,单击“成员”
- 在顶部,单击“添加成员”。
- 在顶部的搜索框中,输入“Britta Simon”。
- 勾选“Britta Simon”,然后单击“选择”
- 此时应该会成功地将她添加到该组。
- 在最左侧,单击“所有组”,重复此过程,使用“Sales”组,并将“Lola Jacobson”添加到该组。
配置预配
若要配置预配,请执行以下步骤。
- 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。
选择“新配置”。
选择“Microsoft Entra ID 到 AD 同步”。
在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。
此时将打开“开始”屏幕。 在此处可以继续配置云同步
在左侧,单击“范围筛选器”。
在“组范围”下,将其设置为“所有安全组”
在“目标容器”下,单击“编辑属性映射”。
将“映射类型”更改为“表达式”
在表达式框中,输入以下内容:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")将“默认值”更改为“OU=Groups,DC=contoso,DC=com”。
单击“应用”,这会根据组的 displayName 属性更改目标容器。
单击“保存”
在左侧,单击“概述”
在顶部,单击“查看并启用”
在右侧,单击“启用配置”
测试配置
注意
使用按需预配时,不会自动预配成员。 需要选择要测试的成员,并且存在 5 个成员的限制。
- 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。
在“配置”下选择你的配置。
在左侧,选择“按需预配”。
在“已选择的组”框中输入“Sales”
从“所选用户”部分中,选择要测试的一些用户。
单击“预配”。
应会看到组已预配。
在 Active Directory 中验证
现在可以确保将组预配到 Active Directory 了。
请执行以下操作:
- 登录到本地环境。
- 启动“Active Directory 用户和计算机”
- 验证是否已预配新组。
