本教程将指导你创建和配置云同步以将组同步到本地 Active Directory。
将 Microsoft Entra ID 预配到 Active Directory - 先决条件
实现将组预配到 Active Directory 需要满足以下先决条件。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 若要查找适合你的要求的许可证,请参阅 比较Microsoft Entra ID 的正式版功能。
一般要求
- 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
- 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
- AD 架构属性所需 - msDS-ExternalDirectoryObjectId
- 使用内部版本 1.1.1370.0 或更高版本预配代理。
备注
仅在全新安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential
如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。
默认情况下,这些权限不会应用于 AdminSDHolder 对象的 Microsoft Entra 预配代理 gMSA PowerShell 命令。
- 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局目录)上的一个或多个域控制器通信。
- 全局目录查找需要筛选出无效的成员身份引用
- Microsoft Entra Connect Sync 版本为 2.2.8.0 或更高版本
- 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
- 要求将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支持的组和规模限制
支持以下内容:
- 仅支持云创建的安全组
- 这些组可以有指定的成员组或动态成员组。
- 这些组只能包含本地同步的用户和/或其他云创建的安全组。
- 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
- 这些组被写回到 AD 群组的范围,并设定为 通用。 本地环境必须支持通用组范围。
- 不支持超过 50,000 个成员的组。
- 不支持超过 150,000 个对象的租户。 这意味着,如果租户中用户和组的任意组合超过 15 万个对象,则该租户将不受支持。
- 每个直接子嵌套组计数为引用组中的一个成员
- 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。
其他信息
下面是有关在 Active Directory 中配置组的其他信息。
- 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
- 这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
- onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
- 使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0),可以将本地用户的 objectGUID 属性同步到云用户的 onPremisesObjectIdentifier 属性。
- 如果你使用 Microsoft Entra Connect Sync(2.2.8.0)来同步用户,而不是 Microsoft Entra Cloud Sync,并希望将服务配置到 AD,那么必须使用 2.2.8.0 或更高版本。
- 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
- 组预配作业计划为每 20 分钟运行一次。
假设
本教程的假设条件如下:
- 你有一个 Active Directory 本地部署环境
- 你有云同步设置,可将用户同步到 Microsoft Entra ID。
- 你有两个同步的用户。 分别是 Britta Simon 和 Lola Jacobson。 这些用户存在于本地和 Microsoft Entra ID 中。
- 已在 Active Directory 中创建三个组织单位 - Groups、Sales 和 Marketing。 它们具有以下 distinguishedName:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
在 Microsoft Entra ID 中创建两个组。
首先,我们在 Microsoft Entra ID 中创建两个组。 一个组是销售,另一个组是市场营销。
若要创建两个组,请执行以下步骤。
- 以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>群组>所有群组。
- 在顶部,单击“新建组”。
- 确保“组类型”设置为“安全”。
- 对于“组名称”,输入“Sales”
- 对于“成员身份类型”,将其保留在分配状态。
- 单击“ 创建”。
- 使用“Marketing”作为“组名称”重复此过程。
将用户添加到新创建的组
- 以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>群组>所有群组。
- 在顶部的搜索框中输入“Sales”。
- 单击新“Sales”组。
- 在左侧,单击“成员”
- 在顶部,单击“添加成员”。
- 在顶部的搜索框中,输入“Britta Simon”。
- 勾选“Britta Simon”,然后单击“选择”
- 此时应该会成功地将她添加到该组。
- 在最左侧,单击 “所有组 ”,并使用 “销售 ”组重复此过程,并将 Lola Jacobson 添加到该组。
配置预配
若要配置预配,请执行以下步骤。
以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
选择“新配置”。
选择 Microsoft Entra ID 到 AD 进行同步。
在“配置”屏幕上,选择你的域以及是否启用密码哈希同步。单击“创建”。
此时将打开“开始使用”屏幕。 在此处可以继续配置云同步
在左侧,单击“范围筛选器”。
在“组范围”下,将其设置为“所有安全组”
在“目标容器”下,单击“编辑属性映射”。
将“映射类型”更改为“表达式”
在表达式框中,输入以下内容:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")将“默认值”更改为“OU=Groups,DC=contoso,DC=com”。
单击“应用”,这会根据组的 displayName 属性更改目标容器。
单击“保存”
在左侧,单击“概述”
在顶部,单击“查看并启用”
在右侧,单击“启用配置”
测试配置
备注
使用按需预配时,不会自动预配成员。 需要选择要测试的成员,并且存在 5 个成员的限制。
以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云端同步。
在“配置”下选择你的配置。
在左侧,选择“按需预配”。
在“已选择的组”框中输入“Sales”
从 “所选用户 ”部分,选择要测试的一些用户。
单击“预配”。
你应会看到组已预配。
在 Active Directory 中验证
现在可以确保将组预配到 Active Directory 了。
请执行以下操作:
- 登录到本地环境。
- 启动“Active Directory 用户和计算机”
- 验证是否已预配新组。
