Szenario – Verwenden von Verzeichniserweiterungen mit Gruppenbereitstellung in Active Directory

Szenario: Sie verfügen über Hunderte von Gruppen in Microsoft Entra ID. Sie möchten einige dieser Gruppen, aber nicht alle wieder in Active Directory bereitstellen. Sie möchten einen Schnellfilter einrichten, der auf Gruppen angewendet werden kann, ohne einen komplizierteren Bereichsfilter erstellen zu müssen.

Die Umgebung, die Sie in diesem Szenario erstellen, können Sie zu Testzwecken verwenden oder um sich besser mit der Cloudsynchronisierung vertraut zu machen.

Annahmen

• In diesem Szenario wird davon ausgegangen, dass Sie bereits über eine Arbeitsumgebung verfügen, die Benutzer mit Microsoft Entra ID synchronisiert.
• Sie haben vier Benutzer, die synchronisiert werden: Britta Simon, Lola Jacobson, Anna Ringdahl und John Smith.
• In Active Directory wurden drei Organisationseinheiten erstellt: Sales, Marketing und Groups.
• Die Benutzerkonten Britta Simon und Anna Ringdahl befinden sich in der Organisationseinheit „Sales“.
• Die Benutzerkonten Lola Jacobson und John Smith befinden sich in der Organisationseinheit „Marketing“.
• Ihre Gruppen aus Microsoft Entra ID werden in der Organisationseinheit „Groups“ bereitgestellt.

Erstellen von zwei Gruppen in Microsoft Entra ID

Sie erstellen zunächst zwei Gruppen in Microsoft Entra ID. Eine Gruppe heißt „Sales“, die andere „Marketing“.

Führen Sie zum Erstellen der zwei Gruppen die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
3. Klicken Sie oben auf Neue Gruppe.
4. Vergewissern Sie sich, dass Gruppentyp auf Sicherheit festgelegt ist.
5. Geben Sie unter Gruppennamen den Namen Sales ein.
6. Behalten Sie unter Mitgliedschaftstyp die Zuweisungsoption bei.
7. Klicken Sie auf Erstellen.
8. Wiederholen Sie diesen Vorgang, und verwenden Sie Marketing als Gruppenname.

Hinzufügen von Benutzern zu neu erstellten Gruppen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
3. Geben Sie oben in das Suchfeld Sales ein.
4. Klicken Sie auf die neue Gruppe Sales.
5. Klicken Sie auf der linken Seite auf Mitglieder.
6. Klicken Sie oben auf Mitglieder hinzufügen.
7. Geben Sie oben im Suchfeld Britta Simon ein.
8. Setzen Sie ein Häkchen neben Britta Simon und Anna Ringdahl, und klicken Sie auf Auswählen.
9. Sie sollten der Gruppe erfolgreich hinzugefügt werden.
10. Klicken Sie ganz links auf Alle Gruppen, und wiederholen Sie diesen Vorgang für die Gruppe Marketing, um Lola Jacobson und John Smith dieser Gruppe hinzuzufügen.

Hinweis

Notieren Sie sich beim Hinzufügen von Benutzern zur Gruppe „Marketing“ die Gruppen-ID auf der Übersichtsseite. Diese ID wird später verwendet, um der Gruppe die neu erstellte Eigenschaft hinzuzufügen.

Abrufen Ihrer Mandanten-ID

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Browsen Sie zu Identität>Übersicht.
3. Notieren Sie sich Ihre Mandanten-ID zur späteren Verwendung.

Erstellen von CloudSyncCustomExtensionApp und des Dienstprinzipals

Wichtig

Die Verzeichniserweiterung für die Microsoft Entra-Cloudsynchronisierung wird nur für Anwendungen mit dem Bezeichner-URI „api://<tenantId>/CloudSyncCustomExtensionsApp“ und der von Microsoft Entra Connect erstellten Tenant Schema Extension App unterstützt.

1. Öffnen Sie auf dem lokalen Computer PowerShell mit Administratorrechten.
2. Führen Sie zum Festlegen der Ausführungsrichtlinie den folgenden Befehl aus (drücken Sie [A] (Ja für alle), wenn Sie dazu aufgefordert werden):

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

3. Führen Sie den folgenden Befehl aus, um das v1-Modul des SDK in PowerShell Core oder Windows PowerShell zu installieren. Drücken Sie bei entsprechender Aufforderung [Y] (Ja):

Install-Module Microsoft.Graph -Scope CurrentUser

4. Stellen Sie eine Verbindung mit Ihrem Mandanten her. (Achten Sie darauf, bei der Anmeldung die Option „Im Auftrag von“ für die Einwilligung zu verwenden.)

Connect-MgGraph -Scopes "Application.ReadWrite.All", "Group.ReadWrite.All", "User.ReadWrite.All"

5. Überprüfen Sie, ob CloudSyncCustomExtensionApp vorhanden ist.

Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://<tenantId>/CloudSyncCustomExtensionsApp')"

6. Falls ja, notieren Sie sich die App-ID (appId), und fahren Sie mit Schritt 8 fort. Erstellen Sie andernfalls die App.
7. Erstellen Sie CloudSyncCustomExtensionApp. Ersetzen Sie <tenant ID> durch Ihre Mandanten-ID. Kopieren Sie die ID und die App-ID, die nach der Erstellung angezeigt wird.

New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://<tenant ID>/CloudSyncCustomExtensionsApp"

8. Wenn die App vorhanden ist, überprüfen Sie, ob sie über einen Sicherheitsprinzipal verfügt. Ersetzen Sie <application id> durch Ihre Anwendungs-ID (appId).

Get-MgServicePrincipal -Filter "AppId eq '<application id>'"

9. Wenn Sie die App soeben erstellt haben, erstellen Sie einen neuen Sicherheitsprinzipal. Ersetzen Sie <application id> durch Ihre Anwendungs-ID (appId).

   New-MgServicePrincipal -AppId '<appId>'
   

Erstellen der Erweiterung und der Cloudsynchronisierungskonfiguration

1. Jetzt erstellen Sie Ihr benutzerdefiniertes Attribut und weisen es CloudSyncCustomExtensionApp zu. Ersetzen Sie <id> durch Ihre ID. Verwenden Sie die Objekt-ID der Anwendung.

New-MgApplicationExtensionProperty -Id <id> -Name “SynchGroup” -DataType “Boolean” -TargetObjects “Group”

2. Sie werden möglicherweise erneut aufgefordert, die ID einzugeben.

3. Dieses Cmdlet erstellt ein Attribut, das wie folgt aussieht: extension_<GUID>_SynchGroup. Sie benötigen dieses für die Zuordnung zu einer Gruppe, es wird jedoch nicht vom Graph PowerShell-Cmdlet zurückgegeben.

4. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.

5. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloud-Synchronisierung.

6. Wählen Sie Neue Konfiguration aus.

7. Wählen Sie Microsoft Entra ID-Synchronisierung mit AD aus.

8. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.

9. Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

10. Klicken Sie auf der linken Seite auf Bereichsauswahlfilter, und wählen Sie Gruppenbereich - Alle Gruppen aus.

11. Klicken Sie auf Attributzuordnung bearbeiten, und ändern Sie Zielcontainer- in „OU=Groups,DC=contoso,DC=com“. Klicken Sie auf Speichern.

12. Klicken Sie auf Attributbereichsfilter hinzufügen.

13. Wählen Sie unter Zielattribut das neu erstellte Attribut aus, das wie folgt aussieht: extension_<GUID>_SynchGroup. Notieren Sie sich dieses, da wir es verwenden müssen, um dieses Attribut zu einer unserer Gruppen hinzuzufügen.

14. Wählen Sie unter Operator die Option PRESENT aus.

15. Klicken Sie auf Speichern. Klicken Sie anschließend auf Speichern.

16. Lassen Sie die Konfiguration deaktiviert, und kehren Sie später zurück.

Hinzufügen einer neuen Erweiterungseigenschaft zu einer unserer Gruppen

Für diesen Teil werden Sie Ihre neu erstellte Eigenschaft zu einer der vorhandenen Gruppen (Marketing) hinzufügen. Dazu verwenden Sie den Microsoft Graph-Tester. Sie müssen sicherstellen, dass Sie „Group.ReadWrite.All“ zugestimmt haben. Wählen Sie dazu Berechtigungen ändern aus.

1. Navigieren Sie zu https://developer.microsoft.com/graph/graph-explorer.

2. Melden Sie sich mit Ihrem Mandantenadministratorkonto an. Dies muss möglicherweise ein globales Administratorkonto sein. Beim Erstellen dieses Szenarios wurde ein globales Administratorkonto verwendet. Möglicherweise reicht ein Hybridadministratorkonto aus.

3. Ändern Sie oben das GET in PATCH.

4. Geben Sie im Adressfeld Folgendes ein: https://graph.microsoft.com/v1.0/groups/<Gruppen-ID>.

5. Geben Sie Folgendes in den Anforderungstext ein:

   {
    extension_<guid>_SynchGroup: true
   }
   
   

6. Klicken Sie auf Abfrage ausführen.

7. Bei ordnungsgemäßer Ausführung wird [] angezeigt.

8. Ändern Sie jetzt oben PATCH in GET, und sehen Sie sich die Eigenschaften der Marketinggruppe an.

9. Klicken Sie auf Abfrage ausführen. Das neu erstellte Attribut sollte angezeigt werden.

Testen der Konfiguration

Hinweis

Bei der bedarfsgesteuerten Bereitstellung werden Mitglieder nicht automatisch bereitgestellt. Sie müssen auswählen, für welche Mitglieder Sie Tests durchführen möchten. Hierfür können Sie maximal 5 Mitglieder auswählen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.

3. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

4. Wählen Sie auf der linken Seite Bedarfsbasiert bereitstellen aus.

5. Geben Sie Marketing in das Feld Ausgewählte Gruppe ein.

6. Wählen Sie im Abschnitt Ausgewählte Benutzer einige Benutzer*innen für Tests aus. Wählen Sie Lola Jacobson und John Smith aus.

7. Klicken Sie auf Bereitstellen. Sie sollte erfolgreich bereitgestellt werden.

8. Wiederholen Sie die Schritte jetzt für die Gruppe Sales, und fügen Sie Britta Simon und Anna Ringdahl hinzu. Die Bereitstellung sollte nicht erfolgen.

9. In Active Directory sollte die neu erstellte Gruppe „Marketing“ angezeigt werden.

Nächste Schritte

• Verwenden des Gruppenrückschreibens mit der Microsoft Entra-Cloudsynchronisierung
• Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance
• Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zu Microsoft Entra Cloud Sync