Tutorial: Bereitstellen von Gruppen in Active Directory mithilfe der Microsoft Entra-Cloudsynchronisierung

Das folgende Tutorial führt Sie durch die Erstellung und Konfiguration der Cloudsynchronisierung, um Gruppen mit lokalem Active Directory zu synchronisieren.

Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen

Zum Implementieren von Bereitstellungsgruppen in Active Directory müssen die folgenden Voraussetzungen erfüllt sein.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Allgemeine Anforderungen

• Ein Microsoft Entra-Konto mit der Rolle Hybridadministrator oder höher
• Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher
  • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
• Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.

Hinweis

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Sie die Berechtigungen manuell mithilfe des PowerShell-Cmdlets zuweisen:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.

Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet.

• Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
  • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
• Microsoft Entra Connect mit der Buildversion 2.2.8.0 oder höher
  • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect synchronisiert wird
  • Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier

Unterstützte Gruppen

Nur Folgendes wird unterstützt:

• Lediglich in der Cloud erstellte Sicherheitsgruppen werden unterstützt.
• Diese Gruppen können über eine zugewiesene oder dynamische Mitgliedschaft verfügen.
• Diese Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
• Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
• Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den universellen Gruppenbereich unterstützen.
• Gruppen mit mehr als 50.000 Mitgliedern werden nicht unterstützt.
• Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe.
• Der Abgleich von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.

Weitere Informationen

Im Anschluss finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.

• Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
• Für alle diese Benutzer muss das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt werden.
• onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
• Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden.
• Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
• Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
• Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Annahmen

In diesem Tutorial wird Folgendes vorausgesetzt:

• Sie verfügen über eine lokale Active Directory-Umgebung.
• Sie haben die Cloudsynchronisierung eingerichtet, um Benutzer mit Microsoft Entra ID zu synchronisieren.
• Sie haben zwei Benutzer, die synchronisiert werden: Britta Simon und Lola Jacobson. Diese Benutzer sind lokal und in Microsoft Entra ID vorhanden.
• In Active Directory wurden drei Organisationseinheiten erstellt: Groups, Sales und Marketing. Sie haben die folgenden Distinguished Names (distinguishedNames):
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Erstellen von zwei Gruppen in Microsoft Entra ID

Sie erstellen zunächst zwei Gruppen in Microsoft Entra ID. Eine Gruppe heißt „Sales“, die andere „Marketing“.

Führen Sie zum Erstellen der zwei Gruppen die folgenden Schritte aus:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
3. Klicken Sie oben auf Neue Gruppe.
4. Vergewissern Sie sich, dass Gruppentyp auf Sicherheit festgelegt ist.
5. Geben Sie unter Gruppennamen den Namen Sales ein.
6. Behalten Sie unter Mitgliedschaftstyp die Zuweisungsoption bei.
7. Klicken Sie auf Erstellen.
8. Wiederholen Sie diesen Vorgang, und verwenden Sie Marketing als Gruppenname.

Hinzufügen von Benutzern zu neu erstellten Gruppen

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Browsen Sie zu Identität>Gruppen>Alle Gruppen.
3. Geben Sie oben in das Suchfeld Sales ein.
4. Klicken Sie auf die neue Gruppe Sales.
5. Klicken Sie auf der linken Seite auf Mitglieder.
6. Klicken Sie oben auf Mitglieder hinzufügen.
7. Geben Sie oben im Suchfeld Britta Simon ein.
8. Setzen Sie ein Häkchen neben Britta Simon, und klicken Sie auf Auswählen.
9. Sie sollte der Gruppe erfolgreich hinzugefügt werden.
10. Klicken Sie ganz links auf Alle Gruppen, und wiederholen Sie diesen Vorgang für die Gruppe Sales, um Lola Jacobson dieser Gruppe hinzuzufügen.

Konfigurieren der Bereitstellung

Gehen Sie zum Konfigurieren der Bereitstellung wie folgt vor.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.

3. Wählen Sie Neue Konfiguration aus.

4. Wählen Sie Microsoft Entra ID-Synchronisierung mit AD aus.

5. Wählen Sie im Konfigurationsbildschirm Ihre Domäne aus, und geben Sie an, ob die Kennworthashsynchronisierung aktiviert werden soll. Klicken Sie auf Erstellen.

6. Der Bildschirm Erste Schritte wird geöffnet. Von hier aus können Sie die Konfiguration der Cloudsynchronisierung fortsetzen.

7. Klicken Sie auf der linken Seite auf Bereichsauswahlfilter.

8. Legen Sie unter Gruppenbereich die Option Alle Sicherheitsgruppen fest.

9. Klicken Sie unter Zielcontainer auf Attributzuordnung bearbeiten.

10. Legen Sie Zuordnungstyp auf Ausdruck fest.

11. Geben Sie in das Feld „Ausdruck“ Folgendes ein: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com") .

12. Ändern Sie den Standardwert in „OU=Groups,DC=contoso,DC=com“.

13. Klicken Sie auf Übernehmen. Dadurch wird der Zielcontainer geändert, der vom displayName-Attribut der Gruppe abhängig ist.

14. Klicken Sie unten auf der Seite auf Speichern.

15. Klicken Sie auf der linken Seite auf Übersicht.

16. Klicken Sie oben auf Überprüfen und aktivieren.

17. Klicken Sie rechts auf Konfiguration aktivieren.

Testkonfiguration

Hinweis

Bei der bedarfsorientierten Bereitstellung werden Mitglieder nicht automatisch bereitgestellt. Sie müssen auswählen, für welche Mitglieder Sie Tests durchführen möchten. Hierfür können Sie maximal 5 Mitglieder auswählen.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Hybridadministrator an.
2. Navigieren Sie zu Identität>Hybridverwaltung>Microsoft Entra Connect>Cloudsynchronisierung.

3. Wählen Sie unter Konfiguration Ihre Konfiguration aus.

4. Wählen Sie auf der linken Seite Bedarfsbasiert bereitstellen aus.

5. Geben Sie Sales in das Feld Ausgewählte Gruppe ein.

6. Wählen Sie im Abschnitt Ausgewählte Benutzer einige Benutzer*innen für Tests aus.

7. Klicken Sie auf Bereitstellen.

8. Die bereitgestellte Gruppe sollte angezeigt werden.

Überprüfen in Active Directory

Jetzt können Sie sich vergewissern, dass die Gruppe in Active Directory bereitgestellt wurde.

Gehen Sie folgendermaßen vor:

1. Melden Sie sich bei Ihrer lokalen Umgebung an.
2. Starten Sie Active Directory-Benutzer und -Computer.
3. Überprüfen Sie, ob die neue Gruppe bereitgestellt wurde.

Nächste Schritte

• Gruppenrückschreiben mit der Microsoft Entra-Cloudsynchronisierung
• Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance
• Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zu Microsoft Entra Cloud Sync