Udostępnij przez

Scenariusz — używanie rozszerzeń katalogów z aprowizowaniem grup w usłudze Active Directory

Scenariusz: Masz setki grup w identyfikatorze Entra firmy Microsoft. Chcesz aprowizować niektóre z tych grup, ale nie wszystkie do usługi Active Directory. Chcesz, aby szybki filtr można zastosować do grup bez konieczności tworzenia bardziej skomplikowanego filtru określania zakresu.

Diagram zapisu zwrotnego grup z synchronizacją w chmurze.

Możesz użyć środowiska utworzonego w tym scenariuszu do testowania lub zapoznania się z synchronizacją w chmurze.

Założenia

  • W tym scenariuszu przyjęto założenie, że masz już środowisko robocze, które synchronizuje użytkowników z identyfikatorem Entra firmy Microsoft.
  • Mamy 4 użytkowników, którzy są zsynchronizowani. Britta Simon, Lola Jacobson, Anna Ringdahl i John Smith.
  • W usłudze Active Directory utworzono trzy jednostki organizacyjne — Sprzedaż, Marketing i Grupy
  • Konta użytkowników Britta Simon i Anna Ringdahl znajdują się w jednostce organizacyjnej sprzedaży.
  • Konta użytkowników Lola Jacobson i John Smith znajdują się w Jednostce Organizacyjnej Marketingu.
  • Jednostka organizacyjna OU Grup to miejsce, w którym aprowizowane są nasze grupy z Microsoft Entra ID.

Napiwek

Aby uzyskać lepsze doświadczenie podczas wykonywania poleceń cmdlet zestawu Microsoft Graph PowerShell SDK, użyj programu Visual Studio Code z użyciem ms-vscode.powershell rozszerzenia w trybie ISE.

Tworzenie dwóch grup w usłudze Microsoft Entra ID

Aby rozpocząć, utwórz dwie grupy w identyfikatorze Entra firmy Microsoft. Jedna grupa to Sprzedaż, a Druga to Marketing.

Aby utworzyć dwie grupy, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
  2. Przejdź do Entra ID>Grupy>Wszystkie grupy.
  3. W górnej części kliknij pozycję Nowa grupa.
  4. Upewnij się, że typ grupy jest ustawiony na zabezpieczenia.
  5. W polu Nazwa grupy wprowadź Sales
  6. Ustaw Typ członkostwa jako przypisany.
  7. Kliknij pozycję Utwórz.
  8. Powtórz ten proces, używając Marketing jako Nazwy Grupy.

Dodawanie użytkowników do nowo utworzonych grup

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
  2. Przejdź do Entra ID>Grupy>Wszystkie grupy.
  3. W górnej części pola wyszukiwania wpisz Sales (Sprzedaż).
  4. Kliknij nową grupę „Sprzedaż”.
  5. Po lewej stronie kliknij pozycję Członkowie
  6. W górnej części kliknij pozycję Dodaj członków.
  7. W górnej części, w polu wyszukiwania, wpisz Britta Simon.
  8. Umieść znacznik wyboru obok Britta Simon i Anna Ringdahl, a następnie kliknij Wybierz.
  9. Powinna zostać pomyślnie dodana do grupy.
  10. Po lewej stronie kliknij pozycję Wszystkie grupy i powtórz ten proces przy użyciu grupy Marketing i dodaj Lola Jacobson i John Smith do tej grupy.

Uwaga

Podczas dodawania użytkowników do grupy Marketing zanotuj identyfikator grupy na stronie przeglądu. Ten identyfikator jest używany później, aby dodać nowo utworzoną właściwość do grupy.

Instalowanie i łączenie zestawu Microsoft Graph PowerShell SDK

  1. Jeśli jeszcze nie zainstalowano, postępuj zgodnie z dokumentacją zestawu MICROSOFT Graph PowerShell SDK, aby zainstalować główne moduły zestawu Microsoft Graph PowerShell SDK : Microsoft.Graph.

  2. Otwieranie programu PowerShell z uprawnieniami administracyjnymi

  3. Aby ustawić zasady wykonywania, uruchom polecenie (naciśnij przycisk [A] Tak dla wszystkich po wyświetleniu monitu):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Podłącz się do dzierżawcy (pamiętaj, aby zaakceptować działanie w imieniu podczas logowania):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Utwórz naszą aplikację CloudSyncCustomExtensionApp i jednostkę usługi

Ważne

Rozszerzenie katalogu dla usługi Microsoft Entra Cloud Sync jest obsługiwane tylko w przypadku aplikacji z identyfikatorem URI "api://< tenantId>/CloudSyncCustomExtensionsApp" i aplikacją rozszerzenia schematu dzierżawy utworzoną przez firmę Microsoft Entra Connect.

  1. Pobierz identyfikator dzierżawy:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Uwaga

Spowoduje to wyświetlenie bieżącego identyfikatora dzierżawy. Możesz potwierdzić ten identyfikator dzierżawy, przechodząc do centrum administracyjnego Microsoft Entra>Entra ID>Omówienie.

  1. Korzystając ze zmiennej $tenantId z poprzedniego kroku, sprawdź, czy istnieje aplikacja CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Jeśli istnieje aplikacja CloudSyncCustomExtensionApp, przejdź do następnego kroku. W przeciwnym razie utwórz nową aplikację CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Sprawdź, czy aplikacja CloudSyncCustomExtensionsApp ma skojarzoną jednostkę zabezpieczeń. Jeśli właśnie utworzono nową aplikację, przejdź do następnego kroku.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Jeśli właśnie utworzono nową aplikację lub podmiot zabezpieczeń nie jest zwracany, utwórz podmiot zabezpieczeń dla CloudSyncCustomExtensionsApp.

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Utwórz nasz niestandardowy atrybut rozszerzenia

Napiwek

W tym scenariuszu utworzymy niestandardowy atrybut rozszerzenia o nazwie WritebackEnabled, który ma być używany w filtrze określania zakresu Microsoft Entra Cloud Sync, tak aby tylko grupy z wartością "WritebackEnabled" ustawioną na "True" były zapisywane z powrotem do lokalnej usługi Active Directory, podobnie jak flaga włączonego zapisywania zwrotnego w centrum administracyjnym Microsoft Entra.

  1. Pobierz identyfikator dzierżawy:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Pobierz aplikację CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Teraz w obszarze CloudSyncCustomExtensionApp utwórz atrybut rozszerzenia niestandardowego o nazwie "WritebackEnabled" i przypisz go do obiektów grupy:

    New-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  4. To polecenie cmdlet tworzy atrybut rozszerzenia, który wygląda jak extension_<guid>_WritebackEnabled.

Tworzenie konfiguracji synchronizacji w chmurze

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Synchronizacja z chmurą.

  3. Wybierz pozycję Nowa konfiguracja.

  4. Wybierz Microsoft Entra ID do synchronizacji z AD.

Zrzut ekranu przedstawiający wybór konfiguracji.

  1. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Otworzy się ekran Start. W tym miejscu możesz kontynuować konfigurowanie synchronizacji w chmurze

  2. Po lewej stronie kliknij Filtry określania zakresu, wybierz Zakres grupy - Wszystkie grupy

  3. Kliknij pozycję Edytuj mapowanie atrybutów, a następnie zmień kontener docelowy na OU=Groups,DC=Contoso,DC=com. Kliknij przycisk Zapisz.

  4. Kliknij pozycję Dodaj filtr określania zakresu atrybutów

  5. Wpisz nazwę filtru określania zakresu: Filter groups with Writeback Enabled

  6. W polu Atrybut docelowy wybierz nowo utworzony atrybut, który wygląda jak extension_<guid>_WritebackEnabled.

Ważne

Niektóre atrybuty docelowe wyświetlane na liście rozwijanej mogą nie być używane jako filtr określania zakresu, ponieważ nie wszystkie właściwości można zarządzać w identyfikatorze Entra, na przykład extensionAttribute[1–15], dlatego zaleceniem jest utworzenie niestandardowej właściwości rozszerzenia dla tego konkretnego celu. Zrzut ekranu przedstawiający dostępne atrybuty.

  1. W obszarze Operator wybierz JEST PRAWDA
  2. Kliknij przycisk Zapisz. Kliknij Zapisz.
  3. Pozostaw konfigurację wyłączoną i wróć do niej.

Dodawanie nowej właściwości rozszerzenia do jednej z naszych grup

W tej części zamierzamy dodać wartość do nowo utworzonej właściwości w jednej z naszych istniejących grup, czyli Marketing.

Ustawianie wartości właściwości rozszerzenia przy użyciu zestawu Microsoft Graph PowerShell SDK

  1. Pobierz identyfikator dzierżawy:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Pobierz aplikację CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Pobierz nasze rozszerzenie.

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  4. Teraz zyskaj Marketing grupę:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  5. Następnie, ze zmienną $gwbEnabledExtName zawierającą extension_<guid>_WritebackEnabled, ustaw dla grupy Marketing wartość True.

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  6. Aby potwierdzić, możesz wartość właściwości extension_<guid>_WritebackEnabled odczytać za pomocą:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Ustawianie wartości właściwości rozszerzenia przy użyciu Eksploratora programu Microsoft Graph

Musisz upewnić się, że wyraziłeś zgodę na Group.ReadWrite.All. Możesz to zrobić, wybierając pozycję Modyfikuj uprawnienia.

  1. Przejdź do Eksploratora programu Microsoft Graph

  2. Zaloguj się przy użyciu konta administratora dzierżawy. To może wymagać konta administratora tożsamości hybrydowej. Konto administratora tożsamości hybrydowej zostało użyte podczas tworzenia tego scenariusza. Konto administratora tożsamości hybrydowej może być wystarczające.

  3. W górnej części zmień GET na PATCH

  4. W polu adresu wprowadź: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. W treści żądania wprowadź:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Kliknij pozycję Uruchom zapytanieZrzut ekranu przedstawiający uruchamianie zapytania grafu.

  7. Jeśli wszystko zostanie wykonane poprawnie, zobaczysz komunikat [].

  8. Teraz w górnej części zmień wartość PATCH na GET i przyjrzyj się właściwościom grupy marketingowej.

  9. Kliknij pozycję Uruchom zapytanie. Powinien zostać wyświetlony nowo utworzony atrybut. Zrzut ekranu przedstawiający właściwości grupy.

Testowanie konfiguracji

Uwaga

W przypadku korzystania z aprowizacji na żądanie członkowie nie są automatycznie aprowizowani. Musisz wybrać członków, których chcesz przetestować, i istnieje limit 5 członków.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej na stanowisku administratora tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. W obszarze Konfiguracja wybierz konfigurację.
  2. Po lewej stronie wybierz Udostępnij na żądanie.
  3. Wprowadź marketing w polu Wybrana grupa
  4. W sekcji Wybrani użytkownicy wybierz niektórych użytkowników do przetestowania. Wybierz pozycję Lola Jacobson i John Smith.
  5. Kliknij pozycję Zarządzaj zasobami. Powinna ona zostać pomyślnie skonfigurowana. Zrzut ekranu przedstawiający pomyślną aprowizację.
  6. Teraz spróbuj użyć grupy Sales i dodaj Britta Simon i Anna Ringdahl. Nie powinno tego dostarczać. Zrzut ekranu przedstawiający blokadę prowizjonowania.
  7. W usłudze Active Directory powinna zostać wyświetlona nowo utworzona grupa Marketing. Zrzut ekranu przedstawiający nową grupę użytkowników i komputerów usługi Active Directory.
  8. Teraz możesz przejść do strony Entra ID>Entra Connect>synchronizacji z chmurą > Przegląd, aby przejrzeć i włączyć naszą konfigurację i rozpocząć synchronizowanie.

Następne kroki

  • Last updated on