Condividi tramite

Scenario: uso delle estensioni di directory con il provisioning di gruppi in Active Directory

  • Articolo

Scenario: sono disponibili centinaia di gruppi in Microsoft Entra ID. Si vuole eseguire il provisioning di alcuni di questi gruppi, ma non di tutti in Active Directory. Si desidera un filtro rapido che può essere applicato ai gruppi senza dover rendere un filtro di ambito più complesso.

Diagramma del writeback di gruppo con la sincronizzazione cloud.

È possibile usare l'ambiente creato in questo scenario per il test o per acquisire familiarità con la sincronizzazione cloud.

Presupposti

  • Questo scenario presuppone che l'utente disponga già di un ambiente di lavoro che sincronizza gli utenti con Microsoft Entra ID.
  • Sono presenti 4 utenti sincronizzati. Britta Simon, Lola Jacobson, Anna Ringdahl e John Smith.
  • Sono state create tre unità organizzative in Active Directory: Vendite, Marketing e Gruppi
  • Gli account utente Britta Simon e Anna Ringdahl risiedono nell'unità organizzativa Vendite.
  • Gli account utente Lola Jacobson e John Smith risiedono nell'unità organizzativa Marketing.
  • L'unità organizzativa Gruppi è la posizione in cui viene effettuato il provisioning dei gruppi di Microsoft Entra ID.

Suggerimento

Per un'esperienza migliore nell'esecuzione dei cmdlet di Microsoft Graph PowerShell SDK, usare Visual Studio Code con ms-vscode.powershell l'estensione in modalità ISE.

Creare due gruppi in Microsoft Entra ID

Per iniziare, creare due gruppi in Microsoft Entra ID. Un gruppo è Vendite e l'altro è Marketing.

Per creare due gruppi, attenersi alla procedura seguente.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gruppi>Tutti i gruppi.
  3. Nella parte superiore fare clic su Nuovo gruppo.
  4. Assicurarsi che Tipo di gruppo sia impostato su Sicurezza.
  5. Per Nome gruppo immettere Vendite
  6. Per Tipo di appartenenza mantenerlo assegnato.
  7. Cliccare su Crea.
  8. Ripetere questo processo usando Marketing come Nome gruppo.

Aggiungere utenti ai gruppi appena creati

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gruppi>Tutti i gruppi.
  3. Nella parte superiore, nella casella di ricerca immettere Vendite.
  4. Fare clic sul nuovo gruppo Vendite.
  5. A sinistra, fare clic su Membri
  6. Nella parte superiore, fare clic su Aggiungi membri.
  7. Nella parte superiore, nella casella di ricerca immettere Britta Simon.
  8. Immettere un segno di spunta accanto a Britta Simon e Anna Ringdahl e fare clic su Seleziona
  9. Dovrebbe aggiungerla correttamente al gruppo.
  10. A sinistra fare clic su Tutti i gruppi e ripetere questo processo usando il gruppo Marketing e aggiungendo Lola Jacobson e John Smith a tale gruppo.

Nota

Quando si aggiungono utenti al gruppo Marketing, prendere nota dell'ID gruppo nella pagina di panoramica. Questo ID viene usato in seguito per aggiungere la proprietà appena creata al gruppo.

Installare e connettere Microsoft Graph PowerShell SDK

  1. Se non è ancora installato, seguire la documentazione di Microsoft Graph PowerShell SDK per installare i moduli principali di Microsoft Graph PowerShell SDK: Microsoft.Graph.

  2. Aprire PowerShell con privilegi amministrativi

  3. Per impostare i criteri di esecuzione, eseguire (premere [A] Sì a tutti quando richiesto):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Connettersi al tenant (assicurarsi di accettare per conto dell'utente durante l'accesso):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Creare l'applicazione CloudSyncCustomExtensionApp e l'entità servizio

Importante

L'estensione directory per la sincronizzazione cloud di Microsoft Entra è supportata solo per le applicazioni con l'URI "identificatore api://<tenantId>/CloudSyncCustomExtensionsApp" e Tenant Schema Extension App creata da Microsoft Entra Connect.

  1. Ottenere l'ID tenant:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Nota

Verrà restituito l'ID tenant corrente. Per confermare questo ID tenant, passare a Panoramica delle identità > dell'interfaccia> di amministrazione di Microsoft Entra.

  1. Usando la $tenantId variabile del passaggio precedente, verificare se CloudSyncCustomExtensionApp esiste.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Se esiste un'app CloudSyncCustomExtension, passare al passaggio successivo. In caso contrario, creare la nuova app CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Controllare se l'applicazione CloudSyncCustomExtensionsApp dispone di un'entità di sicurezza associata. Se è stata appena creata una nuova app, passare al passaggio successivo.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Se è stata appena creata una nuova app o un'entità di sicurezza non viene restituita, creare un'entità di sicurezza per CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Creare l'attributo di estensione personalizzato

Suggerimento

In questo scenario verrà creato un attributo di estensione personalizzato denominato WritebackEnabled da usare nel filtro di ambito Microsoft Entra Cloud Sync, in modo che solo i gruppi con WritebackEnabled impostato su True vengano riscritto in Active Directory locale, in modo analogo al flag abilitato writeback nell'interfaccia di amministrazione di Microsoft Entra.

  1. Ottenere l'applicazione CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. A questo punto, in CloudSyncCustomExtensionApp creare l'attributo di estensione personalizzato denominato "WritebackEnabled" e assegnarlo agli oggetti Group:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Questo cmdlet crea un attributo di estensione simile a extension_<guid>_WritebackEnabled.

Creare la configurazione della sincronizzazione cloud

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.

  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud.

  3. Selezionare Nuova configurazione.

  4. Selezionare Microsoft Entra ID to AD sync .Select Microsoft Entra ID to AD sync.

Screenshot della selezione della configurazione.

  1. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.

Screenshot di una nuova configurazione.

  1. Verrà visualizzata la schermata Attività iniziali. Da qui è possibile continuare a configurare la sincronizzazione cloud

  2. A sinistra fare clic su Filtri di ambito selezionare Ambito gruppo - Tutti i gruppi

  3. Fare clic su Modifica mapping attributi e modificare il contenitore di destinazione in OU=Groups,DC=Contoso,DC=com. Fare clic su Salva.

  4. Fare clic su Aggiungi filtro di ambito attributo

  5. Digitare un nome per il filtro di ambito: Filter groups with Writeback Enabled

  6. In Attributo di destinazione selezionare l'attributo appena creato simile a extension_<guid>_WritebackEnabled.

Importante

Alcuni degli attributi di destinazione visualizzati nell'elenco a discesa potrebbero non essere utilizzabili come filtro di ambito perché non tutte le proprietà possono essere gestite in Entra ID, ad esempio extensionAttribute[1-15], pertanto è consigliabile creare una proprietà di estensione personalizzata per questo scopo specifico. Screenshot degli attributi disponibili.

  1. In Operatore selezionare IS TRUE
  2. Fare clic su Salva. Fare clic su Salva.
  3. Lasciare disabilitata la configurazione e tornare.

Aggiungere una nuova proprietà di estensione a uno dei gruppi

Per questa parte, aggiungeremo un valore alla proprietà appena creata a uno dei nostri gruppi esistenti, Marketing.

Impostare il valore della proprietà di estensione usando Microsoft Graph PowerShell SDK

  1. Usare la variabile del passaggio precedente per ottenere la $cloudSyncCustomExtApp proprietà dell'estensione:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Ottenere ora il Marketing gruppo:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Quindi, con la variabile $gwbEnabledExtName contenente extension_<guid>_WritebackEnabled, impostare il valore True per il gruppo Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Per confermare, è possibile leggere il valore della extension_<guid>_WritebackEnabled proprietà con:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Impostare il valore della proprietà di estensione usando Microsoft Graph Explorer

È necessario assicurarsi di aver acconsentito a Group.ReadWrite.All. A tale scopo, selezionare Modifica autorizzazioni.

  1. Passare a Microsoft Graph Explorer

  2. Accedere con l'account amministratore del tenant. Potrebbe essere necessario essere un account di amministratore delle identità ibride. Per creare questo scenario è stato usato un account di amministratore delle identità ibride. Un account di amministratore delle identità ibride può essere sufficiente.

  3. Nella parte superiore, modificare GET in PATCH

  4. Nella casella indirizzo immettere: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. Nel corpo della richiesta immettere:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Fare clic su Esegui queryScreenshot dell'esecuzione della query del grafo.

  7. Se l'operazione è stata eseguita correttamente, viene visualizzato [].

  8. Ora nella parte superiore modificare PATCH in GET ed esaminare le proprietà del gruppo di marketing.

  9. Fare clic su Esegui query. Verrà visualizzato l'attributo appena creato. Screenshot delle proprietà dei gruppi.

Testare la configurazione

Nota

Quando si usa il provisioning su richiesta, il provisioning dei membri non viene eseguito automaticamente. È necessario selezionare i membri su cui si vuole eseguire il test ed è previsto un limite di 5 membri.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud. Screenshot della home page di sincronizzazione cloud.
  1. In Configurazione, selezionare la configurazione.
  2. A sinistra selezionare Effettuare il provisioning su richiesta.
  3. Immettere Marketing nella casella Gruppo selezionato
  4. Nella sezione Utenti selezionati selezionare alcuni utenti da testare. Selezionare Lola Jacobson e John Smith.
  5. Fare clic su Provision. Il provisioning dovrebbe essere completato. Screenshot del provisioning riuscito.
  6. Provare ora con il gruppo Vendite e aggiungere Britta Simon e Anna Ringdahl. Non è consigliabile effettuare il provisioning. Screenshot del provisioning bloccato.
  7. In Active Directory dovrebbe essere visualizzato il gruppo Marketing appena creato. Screenshot del nuovo gruppo in utenti e computer di Active Directory.
  8. È ora possibile passare alla >pagina Panoramica della sincronizzazione > cloud di Gestione>ibrida delle identità di Microsoft Entra Connect>per esaminare e abilitare la configurazione per avviare la sincronizzazione.

Passaggi successivi