Freigeben über

Lernprogramm – Bereitstellen von Gruppen für Active Directory-Domänendienste mithilfe von Microsoft Entra Cloud Sync

In diesem Lernprogramm erfahren Sie, wie Sie Cloud Sync so konfigurieren, dass Gruppen mit lokalen Active Directory Domain Services (AD DS) synchronisiert werden.

Von Bedeutung

Es wird empfohlen, ausgewählte Sicherheitsgruppen als Standarddefinitionsfilter zu verwenden, wenn Sie die Gruppenbereitstellung für AD DS konfigurieren. Mit diesem Standarddefinitionsfilter können Leistungsprobleme beim Bereitstellen von Gruppen verhindert werden.

Bereitstellen der Microsoft Entra-ID für Active Directory Domain Services – Voraussetzungen

Die folgenden Voraussetzungen sind erforderlich, um Bereitstellungsgruppen in Active Directory Domain Services (AD DS) zu implementieren.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.

Allgemeine Anforderungen

  • Microsoft Entra-Konto mit mindestens einer Rolle als Hybrididentitätsadministrator.
  • Lokales AD DS-Schema mit dem Attribut "msDS-ExternalDirectoryObjectId ", das in Windows Server 2016 und höher verfügbar ist.
  • Bereitstellungs-Agent mit Buildversion 1.1.3730.0 oder höher.

Hinweis

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Wenn Sie ein Upgrade von der vorherigen Version durchführen, müssen Berechtigungen mithilfe von PowerShell manuell zugewiesen werden:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie alle Eigenschaften "Lesen", "Schreiben", "Erstellen" und "Löschen" für alle untergeordneten Gruppen und Benutzerobjekte zuweisen.

Diese Berechtigungen werden standardmäßig nicht auf AdminSDHolder-Objekte angewendet. Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungs-Agent gMSA PowerShell-Cmdlets.

  • Der Bereitstellungs-Agent muss auf einem Server installiert sein, auf dem Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausgeführt werden.
  • Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
    • Erforderlich für die Suche im globalen Katalog zum Herausfiltern ungültiger Mitgliedschaftsverweise
  • Microsoft Entra Connect Sync mit Buildversion 2.22.8.0
    • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect Sync synchronisiert wird
    • Erforderlich für die Synchronisierung AD DS:user:objectGUID mit AAD DS:user:onPremisesObjectIdentifier

Skalierungsgrenzwerte für Bereitstellungsgruppen in Active Directory

Die Leistung der Funktion zur Bereitstellung von Gruppen in Active Directory wird von der Größe des Mandanten sowie der Anzahl der Gruppen und Mitgliedschaften beeinflusst, die für die Bereitstellung in Active Directory vorgesehen sind. Dieser Abschnitt enthält Anleitungen zum Ermitteln, ob GPAD Ihre Skalierungsanforderung unterstützt, und wie Sie den richtigen Gruppenbereichsdefinitionsmodus auswählen, um schnellere anfängliche und Delta-Synchronisierungszyklen zu erzielen.

Was wird nicht unterstützt?

  • Gruppen, die größer als 50K-Mitglieder sind, werden nicht unterstützt.
  • Die Verwendung der Bereichsdefinition "Alle Sicherheitsgruppen" ohne Anwenden der Attributbereichsfilterung wird nicht unterstützt.

Skalierungslimits

Bereichsdefinitionsmodus Anzahl der Gruppen im Geltungsbereich Anzahl der Mitgliedschaftslinks (nur direkte Mitglieder) Hinweise
Modus "Ausgewählte Sicherheitsgruppen" Bis zu 10.000 Gruppen. Der CloudSync-Bereich im Microsoft Entra-Portal ermöglicht nur die Auswahl von bis zu 999 Gruppen sowie das Anzeigen von bis zu 999 Gruppen. Wenn Sie mehr als 1000 Gruppen zum Bereich hinzufügen müssen, lesen Sie: Erweiterte Gruppenauswahl über API. Bis zu 250 Tsd. Gesamtmitglieder in allen Gruppen im Anwendungsbereich. Verwenden Sie diesen Scoping-Modus, wenn Ihr Mandant irgendeinen dieser Grenzwerte überschreitet.
1. Der Mandant verfügt über mehr als 200.000 Benutzer.
2. Der Mieter verfügt über mehr als 40.000 Gruppen
3. Der Mandant verfügt über mehr als 1M-Gruppenmitgliedschaften.
Modus "Alle Sicherheitsgruppen" mit mindestens einem Attributebereichsfilter. Bis zu 20.000 Gruppen. Bis zu 500.000 Gesamtmitglieder in allen Gruppen im Geltungsbereich. Verwenden Sie diesen Erfassungsmodus, wenn Ihr Mandant ALLE folgenden Grenzwerte erfüllt:
1. Der Mandant hat weniger als 200.000 Benutzer.
2. Der Mandant hat weniger als 40.000 Gruppen.
3. Der Mandant verfügt über weniger als 1 Million Gruppenmitgliedschaften.

Was zu tun ist, wenn Sie Grenzwerte überschreiten

Wenn Sie die empfohlenen Grenzwerte überschreiten, wird die anfängliche und delta-Synchronisierung verlangsamt, was möglicherweise zu Synchronisierungsfehlern führt. Führen Sie in diesem Fall die folgenden Schritte aus:

Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Ausgewählte Sicherheitsgruppen":

Verringern Sie die Anzahl von In-Scope-Gruppen (Zielgruppen mit höheren Werten ), oder teilen Sie die Bereitstellung in mehrere, unterschiedliche Aufträge mit nicht zusammenhängenden Bereichen auf.

Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Alle Sicherheitsgruppen":

Verwenden Sie den Bereichsdefinitionsmodus für ausgewählte Sicherheitsgruppen wie empfohlen.

Einige Gruppen überschreiten 50K-Mitglieder:

Teilen Sie die Mitgliedschaft über mehrere Gruppen hinweg, oder übernehmen Sie mehrstufige Gruppen (z. B. nach Region oder Geschäftseinheit), um jede Gruppe unter der Obergrenze zu halten.

Erweiterte Gruppenauswahl über API

Wenn Sie mehr als 999 Gruppen auswählen müssen, müssen Sie das Grant an appRoleAssignment für einen Dienstprinzipal-API-Aufruf verwenden.

Ein Beispiel für die API-Aufrufe lautet wie folgt:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

wo:

  • principalId: Group-Objekt-ID.
  • resourceId: Dienstprinzipal-ID des Auftrags.
  • appRoleId: Bezeichner der App-Rolle, die vom Ressourcendienstprinzipal verfügbar gemacht wird.

Die folgende Tabelle enthält eine Liste der App-Rollen-IDs für Clouds:

Wolke appRoleId
Öffentlichkeit 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Mehr Informationen

Hier sind weitere Punkte zu berücksichtigen, wenn Sie Gruppen für AD DS bereitstellen.

  • Gruppen, die mit Cloud Sync für AD DS bereitgestellt werden, können nur lokale synchronisierte Benutzer oder andere in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Diese Benutzer müssen das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt haben.
  • Der onPremisesObjectIdentifier muss mit einer entsprechenden ObjectGUID in der AD DS-Zielumgebung übereinstimmen.
  • Ein lokales BenutzerobjektGUID-Attribut kann mithilfe eines Synchronisierungsclients mit einem Cloudbenutzer-onPremisesObjectIdentifier-Attribut synchronisiert werden.
  • Nur globale Microsoft Entra ID-Mandanten können von Microsoft Entra-ID auf AD DS bereitgestellt werden. Mandanten wie B2C werden nicht unterstützt.
  • Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Gruppen- und Benutzer-SOA-Szenarien

Anwendungsfall Übergeordneter Gruppentyp Benutzermitgliedsgruppentyp Synchronisierungsrichtung Wie die Synchronisierung funktioniert
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und alle Benutzermitglieder über lokale SOA verfügen Sicherheitsgruppe, deren SOA sich in der Cloud befindet Benutzer, deren SOA lokal ist Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag versorgt die übergeordnete Gruppe mit allen Mitgliederreferenzen.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und alle Benutzermitglieder ÜBER SOA in der Cloud verfügen Sicherheitsgruppe, deren SOA sich in der Cloud befindet Benutzer, deren SOA sich in der Cloud befindet Entra zu AD (AAD2ADGroup-Bereitstellung) Der Job stellt die Sicherheitsgruppe bereit, enthält jedoch keine Mitgliederverweise.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und einige Benutzermitglieder SOA in der Cloud haben, während andere über SOA lokal verfügen Sicherheitsgruppe, deren SOA sich in der Cloud befindet Einige Benutzer haben SOA in der Cloud, während einige soA lokal haben Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag stellt die Sicherheitsgruppe und enthält nur Mitgliederverweise, deren SOA lokal ist. Es überspringt Mitgliederverweise, deren SOA sich in der Cloud befindet.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und keine Benutzermitglieder hat Sicherheitsgruppe, deren SOA sich in der Cloud befindet Keine Benutzermitglieder Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag stellt die Sicherheitsgruppe (leere Mitgliedschaft) vor.
Eine Sicherheitsgruppe, deren SOA lokal ist und alle Benutzermitglieder über SOA lokal verfügen Sicherheitsgruppe, deren SOA lokal ist Benutzer, deren SOA lokal ist Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.
Eine Sicherheitsgruppe, deren SOA lokal ist und alle Benutzermitglieder SOA in der Cloud haben Sicherheitsgruppe, deren SOA lokal ist Benutzer, deren SOA sich in der Cloud befindet Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.
Eine Sicherheitsgruppe, deren SOA lokal ist und einige Benutzermitglieder SOA in der Cloud haben, während andere lokal SOA haben Sicherheitsgruppe, deren SOA lokal ist Einige Benutzer haben SOA in der Cloud, während einige soA lokal haben Entra zu AD (AAD2ADGroup-Bereitstellung) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.
Eine Sicherheitsgruppe, deren SOA lokal ist und alle Benutzermitglieder über SOA lokal verfügen Sicherheitsgruppe, deren SOA lokal ist Benutzer, deren SOA lokal ist AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe mit allen Mitgliederreferenzen (Mitgliedsbenutzer) bereit.
Eine Sicherheitsgruppe, deren SOA lokal ist und alle Benutzermitglieder SOA in der Cloud haben Sicherheitsgruppe, deren SOA lokal ist Benutzer, deren SOA sich in der Cloud befindet AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe mit allen Mitgliederreferenzen (Mitgliedsbenutzer) bereit. Mitgliederverweise, deren SOA für diese lokalen Gruppen in die Cloud konvertiert wird, werden also ebenfalls synchronisiert.
Eine Sicherheitsgruppe, deren SOA lokal ist und einige Benutzermitglieder SOA in der Cloud haben, während andere lokal SOA haben Sicherheitsgruppe, deren SOA lokal ist Einige Benutzer haben SOA in der Cloud, während einige soA lokal haben AD to Entra (AD2AADprovisioning) Der Auftrag versorgt die übergeordnete Gruppe mit allen Mitgliederreferenzen. Mitgliederverweise, deren SOA für diese lokalen Gruppen in die Cloud konvertiert wird, werden also ebenfalls synchronisiert.
Eine Sicherheitsgruppe, deren SOA lokal ist und keine Benutzermitglieder hat Sicherheitsgruppe, deren SOA lokal ist Keine Benutzermitglieder AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe (leere Mitgliedschaft) vor.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und alle Benutzermitglieder über lokale SOA verfügen Sicherheitsgruppe, deren SOA Cloud ist Benutzer, deren SOA lokal ist AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und alle Benutzermitglieder ÜBER SOA in der Cloud verfügen Sicherheitsgruppe, deren SOA Cloud ist Benutzer, deren SOA sich in der Cloud befindet AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.
Eine Sicherheitsgruppe, deren SOA sich in der Cloud befindet und einige Benutzermitglieder SOA in der Cloud haben, während andere über SOA lokal verfügen Sicherheitsgruppe, deren SOA Cloud ist Einige Benutzer haben SOA in der Cloud, während einige soA lokal haben AD to Entra (AD2AADprovisioning) Der Auftrag stellt die Sicherheitsgruppe nicht bereit.

Annahmen

In diesem Lernprogramm wird davon ausgegangen:

  • Sie verfügen über eine lokale AD DS-Umgebung

  • Sie haben die Cloudsynchronisierung eingerichtet, um Benutzer mit Microsoft Entra ID zu synchronisieren.

  • Sie haben zwei Synchronisierte Benutzer: Britta Simon und Lola Jacobson. Diese Benutzer sind lokal und in Microsoft Entra ID vorhanden.

  • Eine Organisationseinheit (OU) wird in AD DS für jede der folgenden Abteilungen erstellt:

    Anzeigename Distinguished Name
    Gruppen OU=Marketing,DC=contoso,DC=com
    Vertrieb OU=Vertrieb,DC=contoso,DC=com
    Marketing OU=Gruppen,DC=contoso,DC=com

Hinzufügen von Benutzern zu konvertierten Sicherheitsgruppen (Cloud native oder Source of Authority, SOA)

Führen Sie die folgenden Schritte aus, um synchronisierte Benutzer hinzuzufügen:

Hinweis

Nur synchronisierte Benutzermitgliedsverweise werden für AD DS bereitgestellt.

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra-ID-Gruppen>>alle Gruppen.
  3. Geben Sie oben im Suchfeld " Vertrieb" ein.
  4. Wählen Sie die neue Gruppe "Vertrieb " aus.
  5. Wählen Sie auf der linken Seite "Mitglieder" aus.
  6. Wählen Sie oben " Mitglieder hinzufügen" aus.
  7. Geben Sie oben im Suchfeld Britta Simon ein.
  8. Setzen Sie ein Häkchen neben Britta Simon , und wählen Sie "Auswählen" aus.
  9. Der Benutzer sollte der Gruppe erfolgreich hinzugefügt werden.
  10. Wählen Sie ganz links "Alle Gruppen" aus. Wiederholen Sie diesen Vorgang mithilfe der Gruppe "Vertrieb ", und fügen Sie dieser Gruppe Lola Jacobson hinzu.

Gruppen, die in SOA konvertiert wurden, für die Bereitstellung auf ihrem ursprünglichen Pfad zur Organisationseinheit (OU) vorbereiten.

Führen Sie die folgenden Schritte aus, um Gruppen vorzubereiten, die Sie in cloudbasierte Verwaltung für die Bereitstellung in ihren ursprünglichen OU-Pfad in den lokalen Active Directory-Domänendiensten (AD DS) konvertieren möchten:

  1. Ändern Sie den AD DS-Gruppenbereich in "Universal".
  2. Erstellen Sie eine spezielle Anwendung.
  3. Erstellen Sie die Verzeichniserweiterungseigenschaft für Gruppen.

Ändern des Gruppenbereichs für die AD DS-Gruppen auf "Universell"

  1. Öffnen Sie das Active Directory-Verwaltungscenter.
  2. Klicken Sie mit der rechten Maustaste auf eine Gruppe, und klicken Sie auf "Eigenschaften".
  3. Wählen Sie im Abschnitt "Gruppe " die Option "Universal " als Gruppenbereich aus.
  4. Klicken Sie auf "Speichern".

Erstellen der Erweiterung

Cloud Sync unterstützt nur Erweiterungen, die auf einer speziellen Anwendung namens "CloudSyncCustomExtensionsApp" erstellt wurden. Wenn die App in Ihrem Mandanten nicht vorhanden ist, müssen Sie sie erstellen. Dieser Schritt wird einmal pro Mandant ausgeführt.

Weitere Informationen zum Erstellen der Erweiterung finden Sie unter Cloud-Synchronisierungsverzeichniserweiterungen und benutzerdefinierte Attributzuordnung.

  1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus, um Module zu installieren und eine Verbindung herzustellen:

    Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

  2. Überprüfen Sie, ob die Anwendung vorhanden ist. Falls es nicht existiert, erstellen Sie es. Stellen Sie außerdem sicher, dass ein Dienstprinzipal vorhanden ist.

    $tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}

  3. Fügen Sie nun eine Verzeichniserweiterungseigenschaft namens "GroupDN" hinzu. Dies ist ein Zeichenfolgen-Attribut, das für Gruppenobjekte verfügbar ist.

    New-MgApplicationExtensionProperty ` 
  -ApplicationId $app.Id ` 
  -Name "GroupDN" ` 
  -DataType "String" ` 
  -TargetObjects Group

Weitere Informationen zum Erstellen der Verzeichniserweiterungseigenschaft für Gruppen finden Sie unter Cloud-Synchronisierungsverzeichniserweiterungen und benutzerdefinierte Attributzuordnung.

Konfigurieren der Bereitstellung

Führen Sie die folgenden Schritte aus, um die Bereitstellung zu konfigurieren:

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie "Neue Konfiguration" aus.

  2. Wählen Sie Microsoft Entra-ID für die AD-Synchronisierung aus.

    Screenshot: Konfigurationsauswahl

  3. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Wählen Sie Erstellen aus.

    Screenshot einer neuen Konfiguration.

  4. Der Bildschirm " Erste Schritte " wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

  5. Wählen Sie links Bereichsfilter aus.

  6. Wählen Sie für den Bereich "Gruppen"die Option "Ausgewählte Sicherheitsgruppen" aus.

    Screenshot der Abschnitte zum Bereichsdefinitionsfilter.

  7. Es gibt zwei mögliche Ansätze zum Festlegen der OU:

    • Sie können benutzerdefinierte Ausdrücke verwenden, damit sichergestellt ist, dass die Gruppe mit derselben OU neu erstellt wird. Verwenden Sie den folgenden Ausdruck für den Parameterwert "ParentDistinguishedName":

      IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Existing ParentDistinguishedName>",
)

      Dieser Ausdruck:

      • Verwendet eine Standard-OU, wenn die Erweiterung leer ist.
      • Andernfalls wird der CN-Teil entfernt und der übergeordneter DN-Pfad beibehalten, wobei escape-Kommas erneut bearbeitet werden.

      Diese Änderungen verursachen eine vollständige Synchronisierung und wirken sich nicht auf vorhandene Gruppen aus. Testen Sie das Festlegen des GroupDN-Attributs für eine vorhandene Gruppe mit Microsoft Graph; stellen Sie sicher, dass die Gruppe wieder zur ursprünglichen OU wechselt.

    • Wenn Sie den ursprünglichen OU-Pfad und die CN-Informationen nicht lokal beibehalten möchten, wählen Sie unter "Zielcontainer" die Attributzuordnung "Bearbeiten" aus.

      1. Ändern des Zuordnungstyps zu "Ausdruck".

      2. Geben Sie im Ausdrucksfeld Folgendes ein:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

      3. Ändern Sie den Standardwert in den OU=Groups,DC=contoso,DC=comWert .

        Screenshot zum Ändern des Standardwerts der OU.

      4. Wählen Sie Anwenden. Der Zielcontainer ändert sich je nach anzeigeName-Attribut der Gruppe.

  8. Sie können benutzerdefinierte Ausdrücke verwenden, um sicherzustellen, dass die Gruppe mit demselben CN neu erstellt wird. Verwenden Sie den folgenden Ausdruck für CN-Wert:

    IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Replace(
            Replace(
                Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
)

    Dieser Ausdruck:

    • Wenn die Erweiterung leer ist, wird ein Fallback-CN von DisplayName + ObjectId generiert.
    • Extrahiert andernfalls den CN, indem entkommene Kommas behandelt werden, indem sie vorübergehend durch Hexadezimalwerte ersetzt werden.

  9. Wählen Sie Speichern aus.

  10. Wählen Sie auf der linken Seite die Option "Übersicht" aus.

  11. Wählen Sie oben "Überprüfen" und "Aktivieren" aus.

  12. Wählen Sie auf der rechten Seite "Konfiguration aktivieren" aus.

Testkonfiguration

Hinweis

Wenn Sie die On-Demand-Bereitstellung ausführen, werden Mitglieder nicht automatisch bereitgestellt. Sie müssen die Mitglieder auswählen, die Sie testen möchten, und der Grenzwert beträgt fünf Mitglieder.

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie unter "Konfiguration" Ihre Konfiguration aus.

  2. Wählen Sie auf der linken Seite "Bei Bedarf bereitstellen" aus.

  3. Geben Sie "Umsatz" in das Gruppenfeld "Ausgewählt " ein.

  4. Wählen Sie im Abschnitt "Ausgewählte Benutzer " einige Zu testde Benutzer aus.

    Screenshot des Hinzufügens von Mitgliedern.

  5. Wählen Sie Bereitstellen aus.

  6. Die bereitgestellte Gruppe sollte angezeigt werden.

Screenshot der erfolgreichen bedarfsgerechten Bereitstellung.

Überprüfen in AD DS

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die Gruppe für AD DS bereitgestellt wird:

  1. Melden Sie sich bei Ihrer lokalen Umgebung an.

  2. Starten Sie Active Directory-Benutzer und -Computer.

  3. Überprüfen Sie, ob die neue Gruppe bereitgestellt wurde.

    Screenshot der neu bereitgestellten Gruppe.

Gruppenbereitstellung für AD DS-Verhalten für SOA-konvertierte Objekte

Wenn Sie die Quelle der Autorität (SOURCE of Authority, SOA) für eine lokale Gruppe in die Cloud konvertieren, wird diese Gruppe für die Gruppenbereitstellung in AD DS berechtigt.

Im folgenden Diagramm wird beispielsweise die SOA- oder SOATestGroup1 in die Cloud konvertiert. Daher wird sie für den Auftragsbereich in der Gruppenbereitstellung für AD DS verfügbar.

Screenshot des Auftrags im Bereich.

  • Wenn ein Auftrag ausgeführt wird, wird SOATestGroup1 erfolgreich bereitgestellt.

  • In den Bereitstellungsprotokollen können Sie nach SOATestGroup1 suchen und überprüfen, ob die Gruppe bereitgestellt wurde.

    Screenshot der Bereitstellungsprotokolle.

  • Die Details zeigen, dass SOATestGroup1 mit einer vorhandenen Zielgruppe abgeglichen wurde.

    Screenshot der übereinstimmenen Attribute.

  • Sie können auch bestätigen, dass die adminDescription und cn der Zielgruppe aktualisiert werden.

    Screenshot der aktualisierten Attribute.

  • Wenn Sie AD DS betrachten, können Sie feststellen, dass die ursprüngliche Gruppe aktualisiert wird.

    Screenshot der aktualisierten Gruppe.

    Screenshot: Gruppeneigenschaften.

Die Cloud überspringt die Bereitstellung konvertierter SOA-Objekte in die Microsoft Entra-ID.

Wenn Sie versuchen, ein Attribut einer Gruppe in AD DS zu bearbeiten, nachdem Sie SOA in die Cloud konvertiert haben, überspringt Cloud Sync das Objekt während der Bereitstellung.

Angenommen, wir haben eine Gruppe SOAGroup3, und wir aktualisieren den Gruppennamen auf SOA Group3.1.

Screenshot einer Objektnamenaktualisierung.

In den Bereitstellungsprotokollen können Sie sehen, dass SOAGroup3 übersprungen wurde.

Screenshot eines übersprungenen Objekts.

Die Details erklären, dass das Objekt nicht synchronisiert wird, da seine SOA in die Cloud konvertiert wird.

Screenshot einer blockierten Synchronisierung.

Verarbeitung geschachtelter Gruppen und Mitgliedschaftsreferenzen

Die folgende Tabelle zeigt auf, wie der Bereitstellungsprozess Mitgliedschaftsverweise verarbeitet, nachdem Sie SOA in verschiedenen Anwendungsfällen konvertiert haben.

Anwendungsfall Übergeordneter Gruppentyp Gruppentyp "Mitglied" Beruf Wie die Synchronisierung funktioniert
Eine übergeordnete Sicherheitsgruppe von Microsoft Entra verfügt nur über Microsoft Entra-Mitglieder. Microsoft Entra-Sicherheitsgruppe Microsoft Entra-Sicherheitsgruppe AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe mit allen Mitgliedsbezügen (Mitgliedergruppen) zur Bestimmung.
Eine übergeordnete Sicherheitsgruppe von Microsoft Entra verfügt über einige Mitglieder, die synchronisierte Gruppen sind. Microsoft Entra-Sicherheitsgruppe AD DS-Sicherheitsgruppen (synchronisierte Gruppen) AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe bereit, aber alle Mitgliederreferenzen (Mitgliedergruppen), die AD DS-Gruppen sind, werden nicht bereitgestellt.
Eine übergeordnete Sicherheitsgruppe von Microsoft Entra verfügt über einige Mitglieder, die synchronisierte Gruppen sind, deren SOA in die Cloud konvertiert wird. Microsoft Entra-Sicherheitsgruppe AD DS-Sicherheitsgruppen, deren SOA in die Cloud konvertiert wird. AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe mit allen Mitgliedsbezügen (Mitgliedergruppen) zur Bestimmung.
Sie konvertieren die SOA einer synchronisierten Gruppe (übergeordnete Gruppe), die cloudeigene Gruppen als Mitglieder enthält. AD DS-Sicherheitsgruppen mit SOA-Konvertierung in die Cloud Microsoft Entra-Sicherheitsgruppe AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe mit allen Mitgliedsbezügen (Mitgliedergruppen) zur Bestimmung.
Sie konvertieren die SOA einer synchronisierten Gruppe (übergeordnete Gruppe), die andere synchronisierte Gruppen als Mitglieder enthält. AD DS-Sicherheitsgruppen mit SOA-Konvertierung in die Cloud AD DS-Sicherheitsgruppen (synchronisierte Gruppen) AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe bereit, aber alle Mitgliederverweise (Mitgliedergruppen), die AD DS-Sicherheitsgruppen sind, werden nicht bereitgestellt.
Sie konvertieren die SOA einer synchronisierten Gruppe (übergeordnete Gruppe), deren Mitglieder andere synchronisierte Gruppen sind, die SOA in die Cloud konvertiert haben. AD DS-Sicherheitsgruppen mit SOA-Konvertierung in die Cloud AD DS-Sicherheitsgruppen mit SOA-Konvertierung in die Cloud AAD2ADGroupProvisioning (Gruppenbereitstellung für AD DS) Der Auftrag stellt die übergeordnete Gruppe mit allen Mitgliedsbezügen (Mitgliedergruppen) zur Bestimmung.

Gruppenbereitstellung im AD DS-Verhalten nach dem Rollback der SOA-konvertierten Gruppen

Wenn Sie SOA-konvertierte Gruppen im Bereich haben und die SOA-konvertierte Gruppe zurücksetzen, um sie im Besitz von AD DS zu machen, beendet die Gruppenbereitstellung mit AD DS die Synchronisierung der Änderungen, löscht jedoch nicht die lokale Gruppe. Außerdem wird die Gruppe aus dem Konfigurationsbereich entfernt. Lokale Steuerung der Gruppe wird im nächsten Synchronisierungszyklus fortgesetzt.

  • Sie können in den Überwachungsprotokollen überprüfen, dass die Synchronisierung für dieses Objekt nicht erfolgt, da es lokal verwaltet wird.

    Screenshot der Überwachungsprotokolldetails.

    Sie können auch in AD DS überprüfen, dass die Gruppe noch intakt ist und nicht gelöscht ist.

    Screenshot von Benutzern und Computern.

Nächste Schritte

  • Last updated on