Compartilhar via

Cenário – Usando extensões de diretório com provisionamento de grupo no Active Directory

  • Artigo

Cenário: você tem centenas de grupos no Microsoft Entra ID. Você deseja provisionar alguns desses grupos, mas não todos de volta ao Active Directory. Você gostaria de um filtro rápido que possa ser aplicado a grupos sem precisar criar um filtro de escopo mais complicado.

Diagrama de write-back de grupo com sincronização na nuvem.

Você pode usar o ambiente criado neste tutorial para testes ou para se familiarizar mais com a sincronização na nuvem.

Suposições

  • Esse cenário pressupõe que você já tem um ambiente de trabalho que esteja sincronizando usuários com o Microsoft Entra ID.
  • Há quatro usuários sincronizados. Brenda Fernandes, Lara Cardoso, Marina Azevedo e Pedro Gonçalves.
  • Três unidades organizacionais foram criados no Active Directory – Vendas, Marketing e Grupos
  • As contas de usuários Brenda Fernandes e Marina Azevedo residem na UO de Vendas.
  • As contas de usuário Lara Cardoso e Pedro Gonçalves residem na UO de Marketing.
  • A UO de Grupos é onde nossos grupos do Microsoft Entra ID são provisionados.

Dica

Para obter uma experiência melhor na execução de cmdlets do SDK do PowerShell do Microsoft Graph, use o Visual Studio Code com a extensão ms-vscode.powershell no modo do ISE.

Criar dois grupos no Microsoft Entra ID

Para começar, crie dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue atéIdentidade>Grupos>Todos os grupos.
  3. Na parte superior, clique em Novo grupo.
  4. Verifique se o Tipo de grupo está definido como de segurança.
  5. Para o Nome do Grupo, insira Vendas
  6. Para o Tipo de associação, mantenha-o atribuído.
  7. Clique em Criar.
  8. Repita esse processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
  2. Navegue atéIdentidade>Grupos>Todos os grupos.
  3. Na parte superior, na caixa de pesquisa, insira Vendas.
  4. Clique no novo grupo Vendas.
  5. À esquerda, clique em Membros
  6. Na parte superior, clique em Adicionar membros.
  7. Na parte superior, na caixa de pesquisa, insira Brenda Fernandes.
  8. Marque a caixa de seleção ao lado de Brenda Fernandes e Marina Azevedo e clique em Selecionar
  9. Isso deve adicioná-la com êxito ao grupo.
  10. Na extrema esquerda, clique em Todos os grupos e repita esse processo usando o grupo Marketing e adicionando Lara Cardoso e Pedro Gonçalves a esse grupo.

Observação

Ao adicionar usuários ao grupo Marketing, anote a ID do grupo na página de visão geral. Essa ID será usada posteriormente para adicionar a propriedade recém-criada ao grupo.

Instalar e conectar o SDK do Microsoft Graph PowerShell

  1. Se ele ainda não estiver instalado, siga a documentação do SDK do PowerShell do Microsoft Graph para instalar os módulos principais do SDK do PowerShell do Microsoft Graph: Microsoft.Graph.

  2. Abrir o PowerShell com privilégios administrativos

  3. Para definir a política de execução, execute (pressione [A] Sim para todos quando solicitado):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Conectar-se ao seu locatário (certifique-se de aceitar em nome de ao entrar):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Criar nosso aplicativo CloudSyncCustomExtensionApp e a entidade de serviço

Importante

Há suporte para extensão de diretório para a Sincronização na Nuvem do Microsoft Entra somente em aplicativos com o URI do identificador “api://<tenantId>/CloudSyncCustomExtensionsApp” e o Tenant Schema Extension App criado pelo Microsoft Entra Connect.

  1. Obtenha a ID do Locatário:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Observação

Isso gerará nossa ID de Locatário atual. Você pode confirmar essa ID de Locatário navegando até o Centro de administração do Microsoft Entra> Identidade > Visão Geral.

  1. Usando a variável $tenantId da etapa anterior, verifique se o CloudSyncCustomExtensionApp existe.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Se houver um CloudSyncCustomExtensionApp, vá para a próxima etapa. Caso contrário, crie o novo aplicativo CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Verifique se o aplicativo CloudSyncCustomExtensionsApp tem uma entidade de segurança associada. Se você acabou de criar um novo aplicativo, vá para a próxima etapa.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Se você acabou de criar um novo aplicativo ou uma entidade de segurança não for retornada, crie uma entidade de segurança para CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Criar nosso atributo de extensão personalizado

Dica

Neste cenário, vamos criar um atributo de extensão personalizado chamado WritebackEnabled para ser usado no filtro de escopo da Sincronização na nuvem do Microsoft Entra. Assim, somente os grupos com WritebackEnabled definido como True serão gravados novamente no Active Directory local, de modo semelhante ao Sinalizador habilitado para write-back no centro de administração do Microsoft Entra.

  1. Obtenha o aplicativo CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  2. Agora, no CloudSyncCustomExtensionApp, crie o atributo de extensão personalizado chamado "WritebackEnabled" e atribua-o a objetos de Grupo:

    New-MgApplicationExtensionProperty -Id $cloudSyncCustomExtApp.Id -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  3. Esse cmdlet cria um atributo de extensão que se parece com extension_<guid>_WritebackEnabled.

Criar nossa configuração de sincronização de nuvem

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

  2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.

  3. Selecione Nova configuração.

  4. Selecione Sincronizar o Microsoft Entra ID ao AD.

Captura de tela da seleção de configuração.

  1. Na tela de configuração, selecione seu domínio e se a sincronização de hash de senha deve ser habilitada. Clique em Criar.

Captura de tela de uma nova configuração.

  1. A tela Introdução é aberta. Aqui, você pode continuar configurar a sincronização na nuvem

  2. À esquerda, clique em Filtros de escopo, selecione Escopo do grupo - Todos os grupos

  3. Clique em Editar mapeamento de atributos e altere o Contêiner de Destino para OU=Groups,DC=Contoso,DC=com. Clique em Save (Salvar).

  4. Clique em Adicionar filtro de escopo de atributo

  5. Digite um nome para o filtro de escopo: Filter groups with Writeback Enabled

  6. Em Atributo de Destino, selecione o atributo recém-criado que se parece com extension_<guid>_WritebackEnabled.

Importante

Alguns dos atributos de destino exibidos na lista suspensa podem não ser utilizáveis como um filtro de escopo porque nem todas as propriedades podem ser gerenciadas no Entra ID, por exemplo, extensionAttribute[1-15]. Portanto, a recomendação é criar uma propriedade de extensão personalizada para essa finalidade específica. Captura de tela de atributos disponíveis.

  1. Em Operador, selecione IS TRUE
  2. Clique em Save (Salvar). E clique em Salvar.
  3. Deixe a configuração desabilitada e volte para ela.

Adicione a nova propriedade de extensão a um dos grupos

Para essa parte, adicionaremos um valor à nossa propriedade recém-criada a um dos grupos existentes, Marketing.

Definir o valor da propriedade de extensão usando o SDK do Microsoft Graph PowerShell

  1. Use a variável $cloudSyncCustomExtApp da etapa anterior para obter nossa propriedade de extensão:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  2. Agora, obtenha o grupo Marketing:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  3. Em seguida, com a variável $gwbEnabledExtName que contém extension_<guid>_WritebackEnabled, defina o valor True para o grupo de Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  4. Para confirmar, você pode ler o valor da propriedade extension_<guid>_WritebackEnabled com:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Definir o valor da propriedade de extensão usando o Microsoft Graph Explorer

Você precisa ter certeza de que deu consentimento a Group.ReadWrite.All. Você pode fazer isso selecionando Modificar permissões.

  1. Navegue até o Explorador do Microsoft Graph

  2. Entre usando a conta de administrador de locatários. Talvez seja necessário usar uma conta de administrador de identidade híbrida. Uma conta de administrador de identidade híbrida foi usada na criação desse cenário. Uma conta de administrador de identidade híbrida pode ser suficiente.

  3. Na parte superior, altere GET para PATCH

  4. Na caixa de endereços, insira: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. No corpo da solicitação, insira:

    {
 extension_<guid>_WritebackEnabled: true
}

  6. Clique em Executar consultaCaptura de tela da execução da consulta de grafo.

  7. Se for feito corretamente, você verá [].

  8. Agora, na parte superior, altere PATCH para GET e examine as propriedades do grupo de marketing.

  9. Clique em Executar consulta. Você deve ver o atributo recém-criado. Captura de tela das propriedades do grupo.

Testar a configuração

Observação

Ao usar o provisionamento sob demanda, os membros não são provisionados automaticamente. Você precisa selecionar em quais membros deseja fazer o teste e há um limite de cinco membros.

  1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
  2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem. Captura de tela da home page da sincronização na nuvem.
  1. Em Configuração, selecione sua configuração.
  2. À esquerda, selecione Provisionar sob demanda.
  3. Insira Marketing na caixa Grupo selecionado
  4. Na seção Usuários selecionados, selecione alguns usuários para testar. Selecione Lara Cardoso e Pedro Gonçalves.
  5. Clique em Provisionar. Ele deve ser provisionado com êxito. Captura de tela do provisionamento bem-sucedido.
  6. Agora tente com o grupo Vendas e adicione Brenda Fernandes e Marina Azevedo. Isso não deve ser provisionado. Captura de tela do bloqueio do provisionamento.
  7. No Active Directory, você deverá ver o grupo Marketing recém-criado. Captura de tela do novo grupo em usuários e computadores do Active Directory.
  8. Você já pode navegar até a página Identidade>Gerenciamento Híbrido>Microsoft Entra Connect>Sincronização na nuvem >Visão Geral para revisar e habilitar nossa configuração a fim de iniciar a sincronização.

Próximas etapas