Udostępnij przez

Poradnik — aprowizuj grupy w usługach Active Directory Domain Services przy użyciu usługi Microsoft Entra Cloud Sync

W tym samouczku przedstawiono sposób konfigurowania synchronizacji z chmurą w celu synchronizowania grup z lokalnymi usługami Active Directory Domain Services (AD DS).

Ważne

Zalecamy używanie wybranych grup zabezpieczeń jako domyślnego filtru określania zakresu podczas konfigurowania aprowizacji grup w usługach AD DS. Ten domyślny filtr określania zakresu pomaga zapobiec jakimkolwiek problemom z wydajnością przy przydzielaniu zasobów dla grup.

Skonfiguruj Microsoft Entra ID do usług Active Directory Domain Services — wymagania wstępne

Następujące wymagania wstępne są konieczne do zaimplementowania grup aprowizacyjnych w usługach Active Directory Domain Services (AD DS).

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.

Wymagania ogólne

  • Konto Microsoft Entra posiadające co najmniej rolę administratora tożsamości hybrydowej.
  • Lokalny schemat usług AD DS z atrybutem msDS-ExternalDirectoryObjectId dostępnym w systemie Windows Server 2016 lub nowszym.
  • Inicjowanie agenta w wersji kompilacji 1.1.3730.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. Jeśli uaktualniasz z poprzedniej wersji, uprawnienia należy przypisać ręcznie przy użyciu programu PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, musisz przypisać wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuwanie dla wszystkich grup potomnych i obiektów użytkownika.

Te uprawnienia nie są domyślnie stosowane do obiektów AdminSDHolder. Aby uzyskać więcej informacji, zobacz Microsoft Entra provisioning agent gMSA PowerShell cmdlets (polecenia cmdlet programu PowerShell dla agenta aprowizacji Microsoft Entra gMSA).

  • Agent aprowizacji musi być zainstalowany na serwerze z systemem Windows Server 2022, Windows Server 2019 lub Windows Server 2016.
  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania Katalogu Globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
  • Microsoft Entra Connect Sync w kompilacji 2.22.8.0
    • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
    • Wymagane do synchronizacji AD DS:user:objectGUID z AAD DS:user:onPremisesObjectIdentifier

Limity skalowania dla grup aprowizacji w usłudze Active Directory

Na wydajność funkcji aprowizacji grup w usłudze Active Directory wpływa rozmiar dzierżawy oraz liczba grup i członkostw objętych aprowizacją do usługi Active Directory. Ta sekcja zawiera wskazówki dotyczące sposobu określania, czy GPAD obsługuje wymaganie skalowania i jak wybrać odpowiedni tryb określania zakresu grup w celu osiągnięcia szybszych cykli synchronizacji początkowej i różnicowej.

Co nie jest obsługiwane?

  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Użycie zakresu "Wszystkie grupy zabezpieczeń" bez stosowania filtrowania zakresu atrybutów nie jest obsługiwane.

Limity skalowania

Tryb określania zakresu Liczba grup objętych zakresem Liczba połączeń członkowskich (tylko dla bezpośrednich członków) Notatki
Tryb "Wybrane grupy zabezpieczeń" Maksymalnie 10 000 grup. Okienko CloudSync w witrynie Microsoft Entra Portal umożliwia wybranie maksymalnie 999 grup, a także wyświetlenie maksymalnie 999 grup. Jeśli musisz dodać więcej niż 1000 grup do zakresu, zobacz: Rozszerzony wybór grupy za pośrednictwem interfejsu API. Maksymalnie 250 000 członków we wszystkich grupach objętych zakresem . Użyj tego trybu określania zakresu, jeśli dzierżawa przekroczy dowolny z tych limitów
1. Najemca ma ponad 200 tys. użytkowników
2. Dzierżawca ma ponad 40 tys. grup
3. Dziedzic ma więcej niż 1 mln członkostw w grupach.
Tryb "Wszystkie grupy zabezpieczeń" z co najmniej jednym filtrem określania zakresu atrybutów. Maksymalnie 20 000 grup. Maksymalnie 500 000 członków we wszystkich grupach w zakresie. Użyj tego trybu zakresu, jeśli dzierżawca spełnia wszystkie poniższe limity:
1. Klient ma mniej niż 200 tys. użytkowników
2. Klient ma mniej niż 40 tys. grup
3. Dzierżawca ma mniej niż 1 mln członkostw w grupach.

Co zrobić, jeśli przekroczysz limity

Przekroczenie zalecanych limitów spowoduje spowolnienie synchronizacji początkowej i różnicowej, co może spowodować błędy synchronizacji. W takim przypadku wykonaj następujące kroki:

Zbyt wiele grup lub członków grup w trybie zakresu „Wybrane grupy zabezpieczeń”

Zmniejsz liczbę grup objętych zakresem (skup się na grupach o wyższej wartości), lub podziel aprowizację na wiele odrębnych zadań i zakresów.

Zbyt wiele grup lub członków grupy w trybie zakresu «Wszystkie grupy zabezpieczeń»:

Użyj trybu określania zakresu wybranych grup zabezpieczeń zgodnie z zaleceniami.

Niektóre grupy przekraczają 50 000 członków:

Podziel członkostwo w wielu grupach lub adoptuj grupy etapowe (na przykład według regionu lub jednostki biznesowej), aby zachować każdą grupę w ramach limitu.

Rozszerzony wybór grupy za pośrednictwem interfejsu API

Jeśli musisz wybrać więcej niż 999 grup, musisz użyć wywołania API Grant an appRoleAssignment for a service principal.

Przykład wywołań interfejsu API wygląda następująco:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: identyfikator obiektu grupy.
  • resourceId: identyfikator jednostki usługi zadania.
  • appRoleId: identyfikator roli aplikacji uwidocznionej przez jednostkę usługi zasobów.

Poniższa tabela zawiera listę identyfikatorów ról aplikacji dla chmur:

Cloud IdentyfikatorRoliAplikacji
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Więcej informacji

Poniżej przedstawiono więcej punktów, które należy wziąć pod uwagę podczas aprowizowania grup w usługach AD DS.

  • Grupy aprowizowane w usługach AD DS przy użyciu usługi Cloud Sync mogą zawierać tylko lokalnych synchronizowanych użytkowników lub innych grup zabezpieczeń utworzonych w chmurze.
  • Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim objectGUID w docelowym środowisku Active Directory Domain Services (AD DS).
  • Atrybut objectGUID użytkownika lokalnego można zsynchronizować z użytkownikiem chmury onPremisesObjectIdentifier za pomocą dowolnego klienta synchronizacji.
  • Tylko globalne dzierżawy Microsoft Entra ID mogą realizować aprowizację z Microsoft Entra ID do usług AD DS. Najemcy, tacy jak B2C, nie są obsługiwani.
  • Zadanie aprowizacji grupy zaplanowano do uruchamiania co 20 minut.

Scenariusze SOA dla grup i użytkowników

Przypadek użycia Typ grupy nadrzędnej Typ grupy członków użytkownika Kierunek synchronizacji Jak działa synchronizacja
Grupa zabezpieczeń, której soA znajduje się w chmurze, a wszyscy członkowie użytkowników mają lokalną usługę SOA Grupa zabezpieczeń, której soa znajduje się w chmurze Użytkownicy, których usługa SOA jest lokalna Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie aprowizuje grupę nadrzędną ze wszystkimi odwołaniami do członków (użytkowników członkowskich).
Grupa zabezpieczeń, której soA znajduje się w chmurze , a wszyscy członkowie użytkowników mają soa w chmurze Grupa zabezpieczeń, której soa znajduje się w chmurze Użytkownicy, których soa znajduje się w chmurze Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie aprowizuje grupę zabezpieczeń, ale nie udostępnia żadnych odwołań do elementów członkowskich.
Grupa zabezpieczeń, której SOA znajduje się w chmurze, a niektórzy użytkownicy mają SOA w chmurze, podczas gdy inni mają SOA na miejscu. Grupa zabezpieczeń, której soa znajduje się w chmurze Niektórzy użytkownicy mają soa w chmurze, podczas gdy niektórzy mają lokalną usługę SOA Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie aprowizuje grupę zabezpieczeń i zawiera tylko odwołania do składowych, których soa jest lokalna. Pomija odwołania do składowych, których SOA znajduje się w chmurze.
Grupa zabezpieczeń, której SOA znajduje się w chmurze i nie ma członków użytkowników Grupa zabezpieczeń, której soa znajduje się w chmurze Brak członków użytkownika Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie aprowizuje grupę zabezpieczeń (puste członkostwo).
Grupa zabezpieczeń, której SOA znajduje się w środowisku lokalnym, a wszyscy użytkownicy mają SOA w środowisku lokalnym Grupa zabezpieczeń, której usługa SOA jest lokalna Użytkownicy, których usługa SOA jest lokalna Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie nie przydziela grupy zabezpieczeń.
Grupa zabezpieczeń, której soA znajduje się w środowisku lokalnym , a wszyscy członkowie użytkowników mają soa w chmurze Grupa zabezpieczeń, której usługa SOA jest lokalna Użytkownicy, których soa znajduje się w chmurze Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie nie przydziela grupy zabezpieczeń.
Grupa zabezpieczeń, której SOA znajduje się w środowisku lokalnym, a niektórzy użytkownicy mają SOA w chmurze, podczas gdy inni użytkownicy mają SOA na miejscu Grupa zabezpieczeń, której usługa SOA jest lokalna Niektórzy użytkownicy mają soa w chmurze, podczas gdy niektórzy mają lokalną usługę SOA Entra to AD (aprowizowanie grupy AAD2ADGroup) Zadanie nie przydziela grupy zabezpieczeń.
Grupa zabezpieczeń, której SOA znajduje się w środowisku lokalnym, a wszyscy użytkownicy mają SOA w środowisku lokalnym Grupa zabezpieczeń, której usługa SOA jest lokalna Użytkownicy, których usługa SOA jest lokalna Ad to Entra (AD2AADprovisioning) Zadanie konfiguruje grupę zabezpieczeń ze wszystkimi odwołaniami do członków (użytkowników).
Grupa zabezpieczeń, której soA znajduje się w środowisku lokalnym , a wszyscy członkowie użytkowników mają soa w chmurze Grupa zabezpieczeń, której usługa SOA jest lokalna Użytkownicy, których soa znajduje się w chmurze Ad to Entra (AD2AADprovisioning) Zadanie konfiguruje grupę zabezpieczeń ze wszystkimi odwołaniami do członków (użytkowników). W związku z tym odwołania do składowych, których soa jest konwertowana na chmurę dla tych grup lokalnych, również zostaną zsynchronizowane.
Grupa zabezpieczeń, której SOA znajduje się w środowisku lokalnym, a niektórzy użytkownicy mają SOA w chmurze, podczas gdy inni mają SOA w środowisku lokalnym Grupa zabezpieczeń, której usługa SOA jest lokalna Niektórzy użytkownicy mają soa w chmurze, podczas gdy niektórzy mają lokalną usługę SOA Ad to Entra (AD2AADprovisioning) Zadanie aprowizuje grupę nadrzędną ze wszystkimi odwołaniami do członków (użytkowników członkowskich). W związku z tym odwołania do składowych, których soa jest konwertowana na chmurę dla tych grup lokalnych, również zostaną zsynchronizowane.
Grupa zabezpieczeń, której soA znajduje się w środowisku lokalnym i nie ma członków użytkowników Grupa zabezpieczeń, której usługa SOA jest lokalna Brak członków użytkownika Ad to Entra (AD2AADprovisioning) Zadanie aprowizuje grupę zabezpieczeń (puste członkostwo).
Grupa zabezpieczeń, której soA znajduje się w chmurze, a wszyscy członkowie użytkowników mają lokalną usługę SOA Grupa zabezpieczeń, której SOA jest chmura Użytkownicy, których usługa SOA jest lokalna Ad to Entra (AD2AADprovisioning) Zadanie nie przydziela grupy zabezpieczeń.
Grupa zabezpieczeń, której soA znajduje się w chmurze , a wszyscy członkowie użytkowników mają soa w chmurze Grupa zabezpieczeń, której SOA jest chmura Użytkownicy, których soa znajduje się w chmurze Ad to Entra (AD2AADprovisioning) Zadanie nie przydziela grupy zabezpieczeń.
Grupa zabezpieczeń, której SOA znajduje się w chmurze, a niektórzy użytkownicy mają SOA w chmurze, podczas gdy inni mają SOA w lokalnej infrastrukturze Grupa zabezpieczeń, której SOA jest chmura Niektórzy użytkownicy mają soa w chmurze, podczas gdy niektórzy mają lokalną usługę SOA Ad to Entra (AD2AADprovisioning) Zadanie nie przydziela grupy zabezpieczeń.

Założenia

W tym samouczku założono, że:

  • Masz środowisko lokalne dla usług AD DS

  • Masz konfigurację synchronizacji w chmurze, aby zsynchronizować użytkowników z identyfikatorem Entra firmy Microsoft.

  • Masz dwóch użytkowników, którzy są zsynchronizowani: Britta Simon i Lola Jacobson. Ci użytkownicy istnieją lokalnie i w identyfikatorze Entra firmy Microsoft.

  • Jednostka organizacyjna (OU) jest tworzona w usługach AD DS dla każdego z następujących działów:

    nazwa wyświetlana Nazwa wyróżniająca
    Grupy OU=Marketing,DC=contoso,DC=com
    Sales OU=Sprzedaż,DC=contoso,DC=com
    Marketing OU=Grupy,DC=contoso,DC=com

Dodaj użytkowników do grup zabezpieczeń wbudowanych w chmurę lub źródła autorytetu (SOA)

Aby dodać zsynchronizowanych użytkowników, wykonaj następujące kroki:

Uwaga

Tylko zsynchronizowane odwołania do członków użytkowników są udostępniane w usługach AD DS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do Entra ID>Grupy>Wszystkie grupy.
  3. W górnej części pola wyszukiwania wpisz Sales (Sprzedaż).
  4. Wybierz nową grupę Sprzedaż .
  5. Po lewej stronie wybierz pozycję Członkowie.
  6. W górnej części wybierz pozycję Dodaj członków.
  7. W górnej części pola wyszukiwania wprowadź Britta Simon.
  8. Zaznacz pole wyboru obok użytkownika Britta Simon i wybierz opcję Wybierz.
  9. Powinno ono pomyślnie dodać użytkownika do grupy.
  10. Po lewej stronie wybierz pozycję Wszystkie grupy. Powtórz ten proces przy użyciu grupy Sales (Sprzedaż ) i dodaj Lola Jacobson do tej grupy.

Przygotowanie przekonwertowanych grup SOA do aprowizacji do oryginalnej ścieżki jednostki organizacyjnej.

Wykonaj następujące kroki, aby przygotować grupy, które mają zostać przekonwertowane na zarządzane w chmurze na potrzeby aprowizacji z identyfikatora Entra firmy Microsoft z powrotem do oryginalnej ścieżki jednostki organizacyjnej w lokalnych usługach Active Directory Domain Services (AD DS):

  1. Zmień zakres grupy usług AD DS na Universal.
  2. Utwórz specjalną aplikację.
  3. Utwórz właściwość rozszerzenia katalogu dla grup.

Zmień zakres grupy dla grup usług AD DS na Universal

  1. Otwórz Centrum administracyjne usługi Active Directory.
  2. Kliknij prawym przyciskiem myszy grupę, kliknij polecenie Właściwości.
  3. W sekcji Grupa wybierz pozycję Uniwersalny jako zakres grupy.
  4. Kliknij przycisk Zapisz.

Tworzenie rozszerzenia

Usługa Cloud Sync obsługuje tylko rozszerzenia utworzone w specjalnej aplikacji o nazwie CloudSyncCustomExtensionsApp. Jeśli aplikacja nie istnieje w twojej dzierżawie, musisz ją utworzyć. Ten krok jest wykonywany raz dla każdego najemcy.

Aby uzyskać więcej informacji na temat tworzenia rozszerzenia, zobacz Cloud sync directory extensions and custom attribute mapping (Rozszerzenia katalogów synchronizacji w chmurze i mapowanie atrybutów niestandardowych).

  1. Otwórz okno programu PowerShell z podwyższonym poziomem uprawnień i uruchom następujące polecenia, aby zainstalować moduły i nawiązać połączenie:

    Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

  2. Sprawdź, czy aplikacja istnieje. Jeśli tak nie jest, utwórz go. Upewnij się również, że jednostka usługi jest obecna.

    $tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}

  3. Teraz dodaj właściwość rozszerzenia katalogu o nazwie GroupDN. Będzie to atrybut ciągu dostępny dla obiektów grupy.

    New-MgApplicationExtensionProperty ` 
  -ApplicationId $app.Id ` 
  -Name "GroupDN" ` 
  -DataType "String" ` 
  -TargetObjects Group

Aby uzyskać więcej informacji na temat tworzenia właściwości rozszerzenia katalogu dla grup, zobacz Cloud sync directory extensions and custom attribute mapping (Rozszerzenia katalogów synchronizacji w chmurze i mapowanie atrybutów niestandardowych).

Konfigurowanie zaopatrzenia

Aby skonfigurować prowizjonowanie, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Cloud sync.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. Wybierz pozycję Nowa konfiguracja.

  2. Wybierz Microsoft Entra ID do synchronizacji z AD.

    Zrzut ekranu przedstawiający wybór konfiguracji.

  3. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający nową konfigurację.

  4. Zostanie otwarty ekran Wprowadzenie . W tym miejscu możesz kontynuować konfigurowanie synchronizacji z chmurą.

  5. Po lewej stronie wybierz pozycję Zakres filtrowania.

  6. W obszarze Zakres grup wybierz pozycję Wybrane grupy zabezpieczeń.

    Zrzut ekranu przedstawiający sekcje filtrów określania zakresu.

  7. Istnieją dwa możliwe podejścia do ustawienia OU:

    • Możesz użyć wyrażeń niestandardowych, aby upewnić się, że grupa zostanie ponownie utworzona przy użyciu tej samej jednostki organizacyjnej. Użyj następującego wyrażenia dla wartości ParentDistinguishedName:

      IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Existing ParentDistinguishedName>",
)

      To wyrażenie:

      • Używa domyślnej jednostki organizacyjnej, jeśli rozszerzenie jest puste.
      • W przeciwnym razie usuwa część CN i zachowuje ścieżkę parentDN, ponownie obsługując przecinki w sekwencjach ucieczki.

      Te zmiany powodują pełną synchronizację i nie mają wpływu na istniejące grupy. Przetestuj ustawienie atrybutu GroupDN dla istniejącej grupy za pomocą Microsoft Graph i sprawdź, czy wraca do oryginalnej OU.

    • Jeśli nie chcesz zachować oryginalnej ścieżki OU i informacji o CN z lokalizacji lokalnej, w obszarze Kontener docelowy wybierz pozycję Edytuj mapowanie atrybutów.

      1. Zmień typ mapowania na Wyrażenie.

      2. W polu wyrażenia wprowadź:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

      3. Zmień wartość domyślną na OU=Groups,DC=contoso,DC=com.

        Zrzut ekranu przedstawiający sposób zmiany wartości domyślnej dla OU.

      4. Wybierz i zastosuj. Kontener docelowy zmienia się w zależności od atrybutu displayName grupy.

  8. Możesz użyć wyrażeń niestandardowych, aby upewnić się, że grupa zostanie ponownie utworzona przy użyciu tej samej nazwy CN. Użyj następującego wyrażenia dla wartości CN:

    IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
    Replace(
        Replace(
            Replace(
                Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
)

    To wyrażenie:

    • Jeśli rozszerzenie jest puste, generuje zapasową nazwę CN z DisplayName + ObjectId.
    • W przeciwnym razie wyodrębnia CN, obsługując przecinki z prefiksem ucieczki przez tymczasowe zastąpienie ich wartościami szesnastkowymi.

  9. Wybierz Zapisz.

  10. Po lewej stronie wybierz pozycję Przegląd.

  11. W górnej części wybierz pozycję Przejrzyj i włącz.

  12. Po prawej stronie wybierz pozycję Włącz konfigurację.

konfiguracja testowa

Uwaga

Po uruchomieniu aprowizacji na żądanie członkowie nie są automatycznie aprowizowani. Musisz wybrać członków, których chcesz przetestować, a limit wynosi pięć członków.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Cloud sync.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. W obszarze Konfiguracja wybierz konfigurację.

  2. Po lewej stronie wybierz pozycję Udostępnij na żądanie.

  3. Wprowadź Sales w polu Wybrana grupa.

  4. W sekcji Wybrani użytkownicy wybierz niektórych użytkowników do przetestowania.

    Zrzut ekranu przedstawiający dodawanie członków.

  5. Wybierz Provision.

  6. Powinna zostać wyświetlona przydzielona grupa.

Zrzut ekranu przedstawiający pomyślną aprowizację na żądanie.

Weryfikuj w usługach AD DS

Wykonaj następujące kroki, aby upewnić się, że grupa jest aprowizowana w usługach AD DS:

  1. Zaloguj się do środowiska lokalnego.

  2. Uruchom Użytkownicy i komputery w usłudze Active Directory.

  3. Sprawdź, czy nowa grupa została utworzona.

    Zrzut ekranu przedstawiający nowo aprowizowaną grupę.

Udostępnianie grup w usługach AD DS dla przekonwertowanych obiektów SOA

Po przekonwertowaniu źródła autorytetu (SOA) na chmurę dla grupy lokalnej, ta grupa będzie kwalifikować się do udostępniania grup w usługach AD DS.

Na przykład na poniższym diagramie SOA lub SOATestGroup1 jest przenoszone do chmury. W związku z tym staje się ona dostępna dla zakresu zadań w inicjowaniu obsługi administracyjnej grup w usługach AD DS.

Zrzut ekranu przedstawiający zadanie w ramach zakresu.

  • Po uruchomieniu zadania SOATestGroup1 zostanie pomyślnie skonfigurowana.

  • W dziennikach aprowizacji można wyszukać grupę SOATestGroup1 i sprawdzić, czy grupa została aprowizowana.

    Zrzut ekranu przedstawiający dzienniki aprowizacji.

  • Szczegóły pokazują, że grupa SOATestGroup1 została dopasowana do istniejącej grupy docelowej.

    Zrzut ekranu przedstawiający dopasowane atrybuty.

  • Możesz również potwierdzić, że zaktualizowano atrybut adminDescription i cn grupy docelowej.

    Zrzut ekranu przedstawiający zaktualizowane atrybuty.

  • Kiedy patrzysz na AD DS, można zauważyć, że oryginalna grupa została zaktualizowana.

    Zrzut ekranu przedstawiający zaktualizowaną grupę.

    Zrzut ekranu przedstawiający właściwości grupy.

Chmura pomija aprowizowanie przekonwertowanych obiektów SOA na identyfikator Entra firmy Microsoft

Jeśli spróbujesz edytować atrybut grupy w usługach AD DS po przekonwertowaniu SOA na chmurę, Cloud Sync pomija obiekt podczas udostępniania.

Załóżmy, że mamy grupę SOAGroup3 i zaktualizujemy jej nazwę grupy do grupy SOA Group3.1.

Zrzut ekranu przedstawiający aktualizację nazwy obiektu.

W logach aprowizacji widać, że element SOAGroup3 został pominięty.

Zrzut ekranu przedstawiający pominięty obiekt.

Szczegółowe informacje wyjaśniają, że obiekt nie jest synchronizowany, ponieważ jego soa jest konwertowana na chmurę.

Zrzut ekranu przedstawiający zablokowaną synchronizację.

Obsługa zagnieżdżonych grup i odwołań do przynależności członkowskich

W poniższej tabeli wyjaśniono, jak aprowizacja obsługuje odwołania do członkostwa po przekonwertowaniu SOA w różnych scenariuszach użycia.

Przypadek użycia Typ grupy nadrzędnej Typ grupy składowej Zadanie Jak działa synchronizacja
Nadrzędna grupa zabezpieczeń Firmy Microsoft Entra ma tylko członków firmy Microsoft Entra. Grupa zabezpieczeń Firmy Microsoft Entra Grupa zabezpieczeń Firmy Microsoft Entra AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie dostarcza grupie nadrzędnej wszystkie odwołania do jej składowych (grup członkowskich).
Nadrzędna grupa zabezpieczeń Microsoft Entra ma niektórych członków, którymi są grupy zsynchronizowane. Grupa zabezpieczeń Firmy Microsoft Entra Grupy zabezpieczeń usług AD DS (zsynchronizowane grupy) AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie udostępnia grupę nadrzędną, ale wszystkie odwołania do grup członków (grupy członkowskie), które są grupami usług AD DS, nie są udostępniane.
Nadrzędna grupa zabezpieczeń Microsoft Entra ma niektórych członków, którzy są synchronizowane grupy, których SOA jest konwertowana na chmurę. Grupa zabezpieczeń Firmy Microsoft Entra Grupy zabezpieczeń usług AD DS, których SOA jest przekształcone na chmurę. AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie dostarcza grupie nadrzędnej wszystkie odwołania do jej składowych (grup członkowskich).
Musisz przekonwertować SOA zsynchronizowanej grupy (nadrzędnej), która ma grupy zarządzane przez chmurę jako członków. Grupy zabezpieczeń usług AD DS z SOA przekształcone na chmurę Grupa zabezpieczeń Firmy Microsoft Entra AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie dostarcza grupie nadrzędnej wszystkie odwołania do jej składowych (grup członkowskich).
Należy przekonwertować SOA zsynchronizowanej grupy (nadrzędnej), która ma inne zsynchronizowane grupy jako członków. Grupy zabezpieczeń usług AD DS z SOA przekształcone na chmurę Grupy zabezpieczeń usług AD DS (zsynchronizowane grupy) AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie konfiguruje grupę nadrzędną, ale wszystkie odwołania do grup członkowskich (grupy użytkowników), które są grupami zabezpieczeń usług AD DS, nie są konfigurowane.
Należy przekonwertować SOA zsynchronizowanej grupy (nadrzędnej), której składowe to inne zsynchronizowane grupy mające SOA przekonwertowane na chmurę. Grupy zabezpieczeń usług AD DS z SOA przekształcone na chmurę Grupy zabezpieczeń usług AD DS z SOA przekształcone na chmurę AAD2ADGroupProvisioning (udostępnianie grup w usłudze AD DS) Zadanie dostarcza grupie nadrzędnej wszystkie odwołania do jej składowych (grup członkowskich).

Dostarczanie grup w usługach AD DS po wycofaniu przekonwertowanych grup SOA

Jeśli masz przekonwertowane grupy SOA w zakresie działania i cofniesz konwersję grupy SOA, aby stała się własnością AD DS, aprowizacja grup w AD DS przestanie synchronizować zmiany, ale nie usuwa grupy lokalnej w środowisku on-premises. Usuwa również grupę z zakresu konfiguracji. Lokalna kontrola grupy zostanie wznowione w następnym cyklu synchronizacji.

  • W dziennikach inspekcji można sprawdzić, czy synchronizacja nie jest wykonana dla tego obiektu, ponieważ jest ona zarządzana lokalnie.

    Zrzut ekranu przedstawiający szczegóły dziennika inspekcji.

    Możesz również sprawdzić w usługach AD DS, czy grupa istnieje i nie została usunięta.

    Zrzut ekranu przedstawiający użytkowników i komputery.

Następne kroki

  • Last updated on