Partilhar via

Cenário - Usando extensões de diretório com provisionamento de grupo para o Ative Directory

Cenário: Você tem centenas de grupos no Microsoft Entra ID. Você deseja provisionar alguns desses grupos, mas nem todos para o Active Directory. Você gostaria de um filtro rápido que possa ser aplicado a grupos sem ter que fazer um filtro de escopo mais complicado.

Diagrama de write-back de grupo com sincronização na nuvem.

Você pode usar o ambiente criado neste cenário para testar ou para se familiarizar mais com a sincronização na nuvem.

Suposições

  • Este cenário pressupõe que você já tenha um ambiente de trabalho que esteja sincronizando usuários com o Microsoft Entra ID.
  • Temos 4 usuários que estão sincronizados. Britta Simon, Lola Jacobson, Anna Ringdahl e John Smith.
  • Três unidades organizacionais foram criadas no Ative Directory - Vendas, Marketing e Grupos
  • As contas de usuário Britta Simon e Anna Ringdahl residem na UO de Vendas.
  • As contas de utilizador de Lola Jacobson e John Smith encontram-se na Unidade Organizacional de Marketing.
  • A OU de Grupos é onde os nossos grupos do Microsoft Entra ID são provisionados.

Gorjeta

Para obter uma melhor experiência de execução de cmdlets do SDK do Microsoft Graph PowerShell, use o Visual Studio Code com ms-vscode.powershell extensão no Modo ISE.

Criar dois grupos no Microsoft Entra ID

Para começar, crie dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>Grupos>Todos os grupos.
  3. Na parte superior, clique em Novo grupo.
  4. Verifique se o tipo Grupo está definido como segurança.
  5. Para o Nome do Grupo , insira Vendas
  6. Para o tipo de associação, mantenha-o atribuído.
  7. Clique em Criar.
  8. Repita este processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Entra ID>Grupos>Todos os grupos.
  3. Na parte superior, na caixa de pesquisa, digite Vendas.
  4. Clique no novo grupo Vendas .
  5. À esquerda, clique em Membros
  6. Na parte superior, clique em Adicionar membros.
  7. Na parte superior, na caixa de pesquisa, digite Britta Simon.
  8. Coloque um cheque ao lado de Britta Simon e Anna Ringdahl e clique em Selecionar
  9. Deve conseguir adicioná-la ao grupo.
  10. Na extremidade esquerda, clique em Todos os grupos e repita este processo usando o grupo Marketing e adicionando Lola Jacobson e John Smith a esse grupo.

Nota

Ao adicionar usuários ao grupo de Marketing, anote a ID do grupo na página de visão geral. Esse ID é usado posteriormente para adicionar nossa propriedade recém-criada ao grupo.

Instalar e conectar o SDK do Microsoft Graph PowerShell

  1. Se ainda não estiver instalado, siga a documentação do SDK do Microsoft Graph PowerShell para instalar os módulos principais do SDK do Microsoft Graph PowerShell: Microsoft.Graph.

  2. Abrir o PowerShell com privilégios administrativos

  3. Para definir a política de execução, execute (pressione [A] Sim para todos quando solicitado):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Conecte-se ao seu inquilino (certifique-se de aceitar em seu nome ao iniciar sessão):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Crie o nosso aplicativo CloudSyncCustomExtensionApp e principal de serviço

Importante

A extensão de diretório para o Microsoft Entra Cloud Sync só é suportada para aplicações com o URI identificador "api://<tenantId>/CloudSyncCustomExtensionsApp" e a aplicação de extensão de esquema de Tenant criada pelo Microsoft Entra Connect.

  1. Obtenha o ID do inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Nota

Isso resultará no nosso ID de inquilino atual. Pode confirmar este ID do locatário navegando até o centro de administração do Microsoft Entra>ID do Entra>Visão geral.

  1. Usando a $tenantId variável da etapa anterior, verifique se o CloudSyncCustomExtensionApp existe.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Se existir um CloudSyncCustomExtensionApp, avance para o passo seguinte. Caso contrário, crie o novo aplicativo CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Verifique se a aplicação CloudSyncCustomExtensionsApp tem um princípio de segurança associado. Se você acabou de criar um novo aplicativo, pule para a próxima etapa.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Se você acabou de criar um novo aplicativo ou uma entidade de segurança não é retornada, crie uma entidade de segurança para CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Crie nosso atributo de extensão personalizado

Gorjeta

Neste cenário, vamos criar um atributo de extensão personalizado chamado WritebackEnabled para ser usado no filtro de escopo do Microsoft Entra Cloud Sync, para que apenas grupos com WritebackEnabled definido como True sejam gravados novamente no Ative Directory local, de forma semelhante ao sinalizador Writeback habilitado no centro de administração do Microsoft Entra.

  1. Obtenha o ID do inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Agora, sob o CloudSyncCustomExtensionApp, crie o atributo de extensão personalizado chamado "WritebackEnabled" e atribua-o a objetos Group:

    New-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  4. Este cmdlet cria um atributo de extensão que se parece com extension_<guid>_WritebackEnabled.

Crie a nossa configuração de sincronização na nuvem

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

  3. Selecione Nova configuração.

  4. Selecione Microsoft Entra ID para sincronização do AD.

Captura de tela da seleção de configuração.

  1. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Clique em Criar.

Captura de ecrã de uma nova configuração.

  1. A tela Introdução é aberta. A partir daqui, pode continuar a configurar a sincronização na nuvem

  2. À esquerda, clique em Filtros de escopo, selecione Escopo - do grupo:Todos os grupos

  3. Clique em Editar mapeamento de atributos e altere o contêiner de destino para OU=Groups,DC=Contoso,DC=com. Clique em Salvar.

  4. Clique em Adicionar filtro de escopo de atributo

  5. Digite um nome para o filtro de escopo: Filter groups with Writeback Enabled

  6. Em Atributo de destino , selecione o atributo recém-criado que se parece com extension_<guid>_WritebackEnabled.

Importante

Alguns dos atributos alvo exibidos na lista suspensa podem não ser utilizáveis como um filtro de delimitação, porque nem todas as propriedades são geríveis no Entra ID, por exemplo, extensionAttribute[1-15]. Daí a recomendação de criar uma propriedade de extensão personalizada para essa finalidade específica. Captura de tela dos atributos disponíveis.

  1. Em Operador, selecione IS TRUE
  2. Clique em Salvar. E clique em Salvar.
  3. Deixe a configuração desativada e volte para ela.

Adicionar nova propriedade de extensão a um dos nossos grupos

Para esta parte, vamos adicionar um valor em nossa propriedade recém-criada a um de nossos grupos existentes, Marketing.

Definir o valor da propriedade de extensão usando o SDK do Microsoft Graph PowerShell

  1. Obtenha o ID do inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Obtenha a nossa funcionalidade de extensão:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  4. Agora, obtenha o Marketing grupo:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  5. Em seguida, com a variável $gwbEnabledExtName contendo extension_<guid>_WritebackEnabled, defina o valor True para o grupo Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  6. Para confirmar, você pode ler o valor do extension_<guid>_WritebackEnabled imóvel com:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Definir o valor da propriedade de extensão usando o Microsoft Graph Explorer

Precisa de se certificar de que deu o seu consentimento ao Group.ReadWrite.All. Você pode fazer isso selecionando Modificar permissões.

  1. Navegue até Microsoft Graph Explorer

  2. Inicie sessão com a sua conta de administrador de inquilino. Pode ser necessária uma conta de Administrador de Identidade Híbrida. Uma conta de Administrador de Identidade Híbrida foi usada na criação desse cenário. Uma conta de Administrador de Identidade Híbrida pode ser suficiente.

  3. Na parte superior, altere a opção GET para PATCH

  4. Na caixa de endereço, digite: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. No corpo da solicitação, digite:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Clique em Executar consultaCaptura de ecrã a mostrar a execução da consulta do gráfico.

  7. Se feito corretamente, você verá [].

  8. Agora no topo, altere PATCH para GET e veja as propriedades do grupo de marketing.

  9. Clique em Executar consulta. Você deve ver o atributo recém-criado. Captura de ecrã das propriedades do grupo.

Teste a nossa configuração

Nota

Ao usar o provisionamento sob demanda, os membros não são provisionados automaticamente. Você precisa selecionar quais membros deseja testar e o limite é de 5 membros.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

    Captura de tela que mostra a página inicial do Microsoft Entra Connect Cloud Sync.

  1. Em Configuração, selecione sua configuração.
  2. À esquerda, selecione Provisão sob demanda.
  3. Insira Marketing na caixa do grupo Selecionado
  4. Na seção Usuários selecionados , selecione alguns usuários para testar. Selecione Lola Jacobson e John Smith.
  5. Clique em Configurar. Deverá ser provisionado com sucesso. Captura de ecrã do provisionamento bem-sucedido.
  6. Agora tente com o grupo de vendas e adicione Britta Simon e Anna Ringdahl. Isso não deve provisionar. Captura de tela do provisionamento sendo bloqueado.
  7. No Ative Directory, você verá o grupo Marketing recém-criado. Captura de tela do novo grupo em usuários e computadores do Ative Directory.
  8. Agora pode navegar até a página de Visão geral da sincronização na cloud do Entra ID>Entra Connect> para rever e ativar a nossa configuração para iniciar a sincronização.

Próximos passos

  • Last updated on