Självstudie – Etablera grupper till Active Directory Domain Services med hjälp av Microsoft Entra Cloud Sync

Den här självstudien beskriver hur du konfigurerar Cloud Sync för att synkronisera grupper till lokala Active Directory Domain Services (AD DS).

Viktigt!

Vi rekommenderar att du använder Valda säkerhetsgrupper som standardomfångsfilter när du konfigurerar gruppetablering till AD DS. Det här standardomfångsfiltret hjälper till att förhindra prestandaproblem när du etablerar grupper.

Konfigurera Microsoft Entra ID till Active Directory Domain Services – förutsättningar

Följande förutsättningar krävs för att implementera tilldelningsgrupper i Active Directory Domain Services (AD DS).

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. För att hitta rätt licens för dina krav, se Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Allmänna krav

  • Microsoft Entra konto med minst en Hybrid Identity Administrator roll.
  • Lokalt AD DS-schema med attributet msDS-ExternalDirectoryObjectId som är tillgängligt i Windows Server 2016 och senare.
  • Etableringsagent med version 1.1.1373.0 eller senare.

Anteckning

Behörigheterna till tjänstkontot tilldelas endast vid ren installation. Om du uppgraderar från den tidigare versionen måste behörigheter tilldelas manuellt med hjälp av PowerShell:

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Om behörigheterna anges manuellt måste du tilldela läs-, skriv-, skapa- och ta bort alla egenskaper för alla underordnade grupper och användarobjekt.

Dessa behörigheter tillämpas inte på AdminSDHolder-objekt som standard. Mer information finns i Microsoft Entra provisioning agent gMSA PowerShell cmdlets.

  • Etableringsagenten måste vara installerad på en server som kör Windows Server 2022, Windows Server 2019 eller Windows Server 2016.
  • Etableringsagenten måste kunna kommunicera med en eller flera domänkontrollanter på portarna TCP/389 (LDAP) och TCP/3268 (global katalog).
    • Krävs för global katalogsökning för att filtrera bort ogiltiga medlemskapsreferenser
  • Microsoft Entra Connect Sync med build-version 2.2.8.0
    • Krävs för att stödja lokalt användarmedlemskap som synkroniserats med Microsoft Entra Connect Sync
    • Krävs för att synkronisera AD DS:user:objectGUID med AAD DS:user:onPremisesObjectIdentifier

Begränsningar i skalning för tilldelningsgrupper till Active Directory

Gruppetablering till Active Directory funktionens prestanda påverkas av klientorganisationens storlek och av antalet grupper och medlemskap som är aktuella för överföring till Active Directory. Det här avsnittet innehåller vägledning om hur du avgör om GPAD stöder skalningskravet och hur du väljer rätt gruppomfångsläge för att uppnå snabbare inledande och deltasynkroniseringscykler.

Vad stöds inte?

  • Grupper som är större än 50 000 medlemmar stöds inte.
  • Användning av omfånget "Alla säkerhetsgrupper" utan att tillämpa attributomfångsfiltrering stöds inte.

Skalningsgränser

Omfångsläge Antal grupper inom omfånget Antal medlemskapslänkar (endast direkta medlemmar) Noteringar
Läget "Valda säkerhetsgrupper" Upp till 10 000 grupper. I fönstret CloudSync i Microsoft Entra portalen kan du bara välja upp till 999 grupper och visa upp till 999 grupper. Om du behöver lägga till fler än 1 000 grupper i omfånget kan du läsa: Utökat gruppval via API. Upp till och med 250 000 medlemmar totalt i alla grupper enligt omfattningen. Använd det här omfångsläget om klienten överskrider någon av dessa gränser
1. Klientorganisationen har över 200 000 användare
2. Klientorganisationen har fler än 40 000 grupper
3. Tenant har fler än 1M gruppmedlemskap.
Läget "Alla säkerhetsgrupper" med minst ett attributbegränsningsfilter. Upp till 20 000 grupper. Upp till 500 000 medlemmar i alla grupper inom räckvidd. Använd det här omfångsläget om hyresgästen uppfyller ALLA nedanstående gränsvärden:
1. Hyresgästen har under 200 000 användare
2. Klientorganisationen har mindre än 40 000 grupper
3. Hyresgästen har färre än 1 miljon gruppmedlemskap.

Vad du ska göra om du överskrider gränserna

Om du överskrider de rekommenderade gränserna går det långsamt med inledande synkronisering och deltasynkronisering, vilket kan orsaka synkroniseringsfel. Om detta händer följer du dessa steg:

För många grupper eller gruppmedlemmar i omfångsläget Valda säkerhetsgrupper:

Minska antalet grupper i omfånget (rikta in sig på grupper med högre värde) eller dela upp provisioneringen i flera distinkta jobb med olika omfång.

För många grupper eller gruppmedlemmar i omfångsläget "Alla säkerhetsgrupper":

Använd omfångsläget För valda säkerhetsgrupper enligt rekommendationerna.

Vissa grupper överskrider 50 000 medlemmar:

Dela upp medlemskap över flera grupper eller anta stegvisa grupper (till exempel per region eller affärsenhet) för att hålla varje grupp under gränsen.

Utökad gruppmarkering via API

Om du behöver välja fler än 999 grupper måste du använda anropet Bevilja en appRoleAssignment för ett API-anrop för tjänstens huvudnamn .

Ett exempel på API-anropen är följande:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: Gruppobjekt-ID.
  • resourceId: Jobbets tjänstehuvudidentitet-ID.
  • appRoleId: Identifierare för approllen som exponeras av resurstjänstens huvudnamn.

Följande tabell är en lista över approll-ID:t för moln:

Moln appRoleId
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Mer information

Här är fler saker att tänka på när du etablerar grupper till AD DS.

  • Grupper som har etablerats till AD DS med Cloud Sync kan bara innehålla lokala synkroniserade användare eller andra molnskapade säkerhetsgrupper.
  • Dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
  • OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD DS-målmiljön.
  • Ett lokalt user objectGUID-attribut kan synkroniseras med ett molnanvändare onPremisesObjectIdentifier-attribut med hjälp av någon av synkroniseringsklienterna.
  • Endast globala Microsoft Entra ID klientorganisationer kan etablera från Microsoft Entra ID till AD DS. Hyresgäster som B2C stöds inte.
  • Gruppetableringsjobbet är schemalagt att ske var 20:e minut.

Scenarier för grupp- och användar-SOA

Användningsfall Överordnad grupptyp Typ av användarmedlemsgrupp Synkroniseringsriktning Så här fungerar synkronisering
En säkerhetsgrupp vars SOA finns i molnet och alla användarmedlemmar har SOA lokalt Säkerhetsgrupp vars SOA finns i molnet Användare vars SOA är lokalt Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar den överordnade gruppen med alla dess medlemsreferenser (medlemsanvändare).
En säkerhetsgrupp vars SOA finns i molnet och alla användarmedlemmar har SOA i molnet Säkerhetsgrupp vars SOA finns i molnet Användare vars SOA finns i molnet Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar säkerhetsgruppen men etablerar inga medlemsreferenser.
En säkerhetsgrupp vars SOA finns i molnet och vissa användarmedlemmar har SOA i molnet medan andra har SOA lokalt Säkerhetsgrupp vars SOA finns i molnet Vissa användare har SOA i molnet medan vissa har SOA lokalt Entra till AD (AAD2ADGroup-tilldelning) Jobbet provisionerar säkerhetsgruppen och innehåller endast medlemsreferenser vars SOA är på plats. Den hoppar över medlemsreferenser vars SOA finns i molnet.
En säkerhetsgrupp vars SOA finns i molnet och inte har några användarmedlemmar Säkerhetsgrupp vars SOA finns i molnet Inga användarmedlemmar Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar säkerhetsgruppen (tomt medlemskap).
En säkerhetsgrupp vars SOA finns lokalt och alla användarmedlemmar har SOA lokalt Säkerhetsgrupp vars SOA är lokalt Användare vars SOA är lokalt Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar inte säkerhetsgruppen.
En säkerhetsgrupp vars SOA finns lokalt och alla användarmedlemmar har SOA i molnet Säkerhetsgrupp vars SOA är lokalt Användare vars SOA finns i molnet Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar inte säkerhetsgruppen.
En säkerhetsgrupp vars SOA finns lokalt och vissa användarmedlemmar har SOA i molnet medan andra har SOA lokalt Säkerhetsgrupp vars SOA är lokalt Vissa användare har SOA i molnet medan vissa har SOA lokalt Entra till AD (AAD2ADGroup-tilldelning) Jobbet etablerar inte säkerhetsgruppen.
En säkerhetsgrupp vars SOA finns lokalt och alla användarmedlemmar har SOA lokalt Säkerhetsgrupp vars SOA är lokalt Användare vars SOA är lokalt AD till Entra (AD2AADprovisioning) Jobbet etablerar säkerhetsgruppen med alla sina medlemsreferenser (medlemsanvändare).
En säkerhetsgrupp vars SOA finns lokalt och alla användarmedlemmar har SOA i molnet Säkerhetsgrupp vars SOA är lokalt Användare vars SOA finns i molnet AD till Entra (AD2AADprovisioning) Jobbet etablerar säkerhetsgruppen med alla sina medlemsreferenser (medlemsanvändare). Så medlemsreferenser vars SOA konverteras till molnet för dessa lokala grupper kommer också att synkroniseras.
En säkerhetsgrupp vars SOA finns lokalt och vissa användarmedlemmar har SOA i molnet medan andra har SOA lokalt Säkerhetsgrupp vars SOA är lokalt Vissa användare har SOA i molnet medan vissa har SOA lokalt AD till Entra (AD2AADprovisioning) Jobbet etablerar den överordnade gruppen med alla dess medlemsreferenser (medlemsanvändare). Så medlemsreferenser vars SOA konverteras till molnet för dessa lokala grupper kommer också att synkroniseras.
En säkerhetsgrupp vars SOA finns lokalt och inte har några användarmedlemmar Säkerhetsgrupp vars SOA är lokalt Inga användarmedlemmar AD till Entra (AD2AADprovisioning) Jobbet etablerar säkerhetsgruppen (tomt medlemskap).
En säkerhetsgrupp vars SOA finns i molnet och alla användarmedlemmar har SOA lokalt Säkerhetsgrupp vars SOA är moln Användare vars SOA är lokalt AD till Entra (AD2AADprovisioning) Jobbet etablerar inte säkerhetsgruppen.
En säkerhetsgrupp vars SOA finns i molnet och alla användarmedlemmar har SOA i molnet Säkerhetsgrupp vars SOA är moln Användare vars SOA finns i molnet AD till Entra (AD2AADprovisioning) Jobbet etablerar inte säkerhetsgruppen.
En säkerhetsgrupp vars SOA finns i molnet och vissa användarmedlemmar har SOA i molnet medan andra har SOA lokalt Säkerhetsgrupp vars SOA är moln Vissa användare har SOA i molnet medan vissa har SOA lokalt AD till Entra (AD2AADprovisioning) Jobbet etablerar inte säkerhetsgruppen.

Antaganden

Den här självstudien förutsätter:

  • Du har en lokal AD DS-miljö

  • Du har konfigurerat molnsynkronisering för att synkronisera användare till Microsoft Entra ID.

  • Du har två användare som är synkroniserade: Britta Simon och Lola Jacobson. Dessa användare finns lokalt och i Microsoft Entra ID.

  • En organisationsenhet skapas i AD DS för var och en av följande avdelningar:

    Visningsnamn Unikt namn
    Marknadsföring OU=Marknadsföring, DC=contoso, DC=com
    Försäljning OU=Försäljning, DC=contoso, DC=com
    Grupper OU=Grupper, DC=contoso, DC=com

Lägga till användare i molnbaserade eller soa-konverterade säkerhetsgrupper (Source of Authority)

Följ dessa steg för att lägga till synkroniserade användare:

Anteckning

Endast referenser för synkroniserade användarmedlemmar tilldelas till AD DS.

  1. Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.
  2. Bläddra till Entra ID>Grupper>Alla grupper.
  3. Längst upp i sökrutan anger du Försäljning.
  4. Välj den nya gruppen Försäljning .
  5. Till vänster väljer du Medlemmar.
  6. Längst upp väljer du Lägg till medlemmar.
  7. Längst upp i sökrutan anger du Britta Simon.
  8. Placera en kontroll bredvid Britta Simon och välj Välj.
  9. Användaren ska läggas till i gruppen.
  10. Längst till vänster väljer du Alla grupper. Upprepa den här processen med hjälp av gruppen Försäljning och lägg till Lola Jacobson i gruppen.

Förbered SOA-konverterade grupper för tillhandahållande till den ursprungliga sökvägen för organisationsenheten (OU)

Slutför de här stegen för att förbereda grupper som du planerar att konvertera till molnhanterade för etablering från Microsoft Entra ID tillbaka till den ursprungliga OU-sökvägen i Active Directory Domain Services (AD DS) lokalt:

  1. Ändra AD DS-gruppomfånget till Universell.
  2. Skapa en specialapplikation.
  3. Skapa katalogtilläggsegenskapen för grupper.

Ändra gruppomfånget för AD DS-grupperna till Universal

  1. Öppna Active Directory Administrationscenter.
  2. Högerklicka på en grupp och klicka på Egenskaper.
  3. I avsnittet Grupp väljer du Universell som gruppomfång.
  4. Klicka på Spara.

Skapa tillägget

Cloud Sync stöder endast tillägg som skapats i ett särskilt program med namnet CloudSyncCustomExtensionsApp. Om appen inte finns i din klientorganisation måste du skapa den. Det här steget utförs en gång per klientorganisation.

Mer information om hur du skapar tillägget finns i Katalogtillägg för molnsynkronisering och anpassad attributmappning.

  1. Öppna ett upphöjt PowerShell-fönster och kör följande kommandon för att installera moduler och ansluta:

    Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

  2. Kontrollera om programmet finns. Om det inte finns, skapa det. Se också till att tjänstens huvudnamn finns.

    $tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 
$app

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}
$sp

  3. Lägg nu till en katalogtilläggsegenskap med namnet GroupDN. Det här är ett strängattribut som är tillgängligt för gruppobjekt.

    New-MgApplicationExtensionProperty `
  -ApplicationId $app.Id `
  -Name "GroupDN" `
  -DataType "String" `
  -TargetObjects Group

Mer information om hur du skapar katalogtilläggsegenskapen för grupper finns i Katalogtillägg för molnsynkronisering och anpassad attributmappning.

Konfigurera attributmappning för Cloud Sync

Be sedan Cloud Sync att fylla i den här tilläggsegenskapen med gruppens unika namn (DN) från Active Directory. Det här steget säkerställer att den ursprungliga organisationsenheten och CN-informationen bevaras i Microsoft Entra ID.

  1. Öppna Microsoft Entra administrationscenter >Entra ID>Entra Connect>Cloud Sync.
  2. Välj din AD-till-Microsoft Entra ID-konfiguration.
  3. Gå till Attributmappningar.
  4. Överst växlar du Objekttyp till Grupp.
  5. Lägg till en ny attributmappning.
    • Mappningstyp: Direkt
    • Källattribut: distinguishedName (den lokala gruppens DN)
    • Målattribut: extension_<appIdWithoutHyphens>_GroupDN
  6. Spara schemat för att utlösa en synkronisering.

Genom att mappa distinguishedName direkt samlar du in gruppens fullständiga DN (CN + OU-sökväg) i tilläggsegenskapen, vilket gör det enklare att senare rekonstruera både CN och OU när du etablerar tillbaka till AD.

Kontrollera att mappningen fungerade

När synkroniseringen har körts bör du kontrollera att tilläggsegenskapen är ifylld med DN. Använd Microsoft Graph PowerShell:

$groupDisplayName = 'My Security Group'
$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq '$groupDisplayName'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

Det här kommandot returnerar gruppen med dess DN som lagras i tilläggsegenskapen. Du kan också testa med Graph Explorer genom att fråga:

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Konvertera auktoritetskälla (SOA)

När du har verifierat att DN lagras i tillägget kan du konvertera gruppens auktoritetskälla till Microsoft Entra ID. Den här ändringen gör att gruppen blir molnhanterad, samtidigt som den ursprungliga DN bevaras i tillägget för senare användning vid gruppering till AD DS.

Konfigurera tillhandahållande

Följ dessa steg för att konfigurera försörjning:

  1. Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.

  2. Bläddra till Entra ID>Entra Connect>Cloud Sync.

    Screenshot som visar startsidan för Microsoft Entra Connect Cloud Sync.

  1. Välj Ny konfiguration.

  2. Välj Microsoft Entra ID till AD-synkronisering.

    Skärmbild av konfigurationsval.

  3. Välj din domän på konfigurationsskärmen. Välj Skapa.

    Skärmbild av en ny konfiguration.

  4. Skärmen Kom igång öppnas. Härifrån kan du fortsätta att konfigurera molnsynkronisering.

  5. Välj Omfångsfilter till vänster.

    Skärmbild av översiktssidan.

  6. För Omfång för Grupper väljer du Valda säkerhetsgrupper.

    Skärmbild av avsnitten för omfångsfilter.

  7. Det finns tre möjliga metoder för att ange mål-OU där grupperna skapas:

    • Du kan använda en konstant OU-mappning för att etablera alla grupper i samma organisationsenhet:

      1. Under Målcontainer väljer du Redigera attributmappning.

      2. För Konstantvärde anger du DistinguishedName för målorganisationsenheten.

        Skärmbild av målets OU-konfiguration.

      3. Välj Tillämpa.

      4. Välj Spara.

    • Du kan använda anpassade uttryck för att säkerställa att gruppen återskapas med samma OU (organisationsenhet). Det här uttrycket kan ta bort CN-delen av gruppens DN och bevara den överordnade DN-sökvägen, hantera escaped kommatecken, och ange en standard-OU om tilläggsvärdet är tomt. Använd följande uttryck för ParentDistinguishedName mappning genom att anpassa exempeluttrycket eller genom att köra PowerShell-skriptet för att generera det slutliga uttrycket.

      Anteckning

      Det här uttrycket förutsätter att du redan har skapat en tilläggsegenskap för GroupDN. Om inte gör du det först innan du använder exempeluttrycket eller kör skriptet.

      1. Från följande exempeluttryck ersätter du platshållarna med dina respektive värden för tilläggsattributnamnet extension_<AppIdWithoutHyphens>_GroupDN. För din standardmålenhet (om tilläggsvärdet är NULL) ersätter du <Default ParentDistinguishedName> :
      IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDN]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Default ParentDistinguishedName>"
)
      1. Eller ange värdet för parametern $defaultGroupOU och kör skriptet för att generera det slutliga uttrycket som en textfil:
      # Provide the Default OU for groups that don't have the GroupDN extension populated.
$defaultGroupOU = 'OU=Groups,OU=SYNC,DC=adatum,DC=com'

# Get the extension name
$tenantId = (Get-MgOrganization).Id
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
$ext = Get-MgApplicationExtensionProperty -ApplicationId $app.Id | Where-Object { $_.Name -like '*GroupDN' }
$groupDN_extension = $ext.Name
"GroupDN extension name: $groupDN_extension"

# Sample expression
$groupDN_expression = @'
IIF(
IsPresent([{groupDN_extension}]),
    Replace(
        Mid(
            Mid(
                Replace([{groupDN_extension}], "\,", , , "\2C", , ),
                Instr(Replace([{groupDN_extension}], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
    "{defaultGroupOU}"
)
'@

# Generate the expression by replacing the placeholders with actual values
$groupDN_expression -replace ('{groupDN_extension}', $groupDN_extension) -replace ('{defaultGroupOU}', $defaultGroupOU) | 
    Out-File -FilePath '.\GroupDN_expression.txt' -Encoding utf8
&'.\GroupDN_expression.txt'
      1. Ändra mappningstyp till Uttryck.
      2. I uttrycksrutan infogar du det uppdaterade uttrycket och väljer Använd.
      3. Välj Spara.

    • Om du vill placera grupper i olika organisationsenheter baserat på deras DisplayName:

      1. Anpassa följande uttryck och placera det i uttrycksrutan:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

      2. Uppdatera standardvärdet så att det är standardmål-OU, till exempel OU=Groups,DC=contoso,DC=com.

        Skärmbild som visar hur du justerar standardvärdet för organisationsenheten.

      3. Välj Tillämpa. Målcontainern ändras beroende på attributet group displayName.

      4. Välj Spara.

      Anteckning

      Dessa ändringar orsakar en fullständig synkronisering och påverkar inte befintliga grupper. Testa att ställa in GroupDN-attributet för en befintlig grupp i Microsoft Graph och säkerställ att det skrivs tillbaka till den ursprungliga organisationsenheten.

  8. Du kan använda ett anpassat uttryck för att se till att gruppen återskapas med samma CommonName (CN). Det här uttrycket kan extrahera CN-värdet, hantera undantagna kommatecken genom att tillfälligt ersätta dem med hexvärden och ange ett reserv-CN från DisplayName + ObjectId om tillägget är tomt. Använd följande uttryck för cn mappning genom att anpassa exempeluttrycket eller genom att köra PowerShell-skriptet för att generera det slutliga uttrycket.

    Anteckning

    Det här uttrycket förutsätter att du redan har skapat en tilläggsegenskap för GroupDN. Om inte gör du det först innan du använder exempeluttrycket eller kör skriptet.

    1. Om du vill anpassa ett exempeluttryck ersätter du platshållarna med dina respektive värden för tilläggsattributnamnet extension_<AppIdWithoutHyphens>_GroupDN.
    IIF(
   IsPresent([extension_<AppIdWithoutHyphens>_GroupDN]),
       Replace(
           Replace(
               Replace(
                   Word(Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ), 1, ","),
                   "CN=", , , "", ,
               ),
               "cn=", , , "", ,
           ),
           "\2C", , , ",", ,
       ),
   Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))
)
    1. Eller om du vill använda ett Microsoft Graph PowerShell-skript:
    # Get the extension name
$tenantId = (Get-MgOrganization).Id
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
$ext = Get-MgApplicationExtensionProperty -ApplicationId $app.Id | Where-Object { $_.Name -like '*GroupDN' }
$groupDN_extension = $ext.Name
"GroupDN extension name: $groupDN_extension"

# Sample expression
$groupCN_expression = @'
IIF(
    IsPresent([{groupDN_extension}]),
    Replace(
        Replace(
            Replace(
                Word(Replace([{groupDN_extension}], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))
)
'@

# Generate the expression by replacing the placeholders with actual values
$groupCN_expression -replace ('{groupDN_extension}', $groupDN_extension) | 
    Out-File -FilePath '.\GroupCN_expression.txt' -Encoding utf8
&'.\GroupCN_expression.txt'
    1. Gå till Attributmappning.
    2. Redigera attributmappningen cn .
    3. Ändra mappningstyp till Uttryck.
    4. I uttrycksrutan infogar du det uppdaterade uttrycket och väljer Använd.
    5. Välj Spara schema.

  9. Till vänster väljer du Översikt.

  10. Längst upp väljer du Granska och aktivera.

  11. Till höger väljer du Aktivera konfiguration.

Testkonfiguration

Anteckning

När du kör tilldelning på begäran tilldelas inte medlemmar automatiskt. Du måste välja de medlemmar som du vill testa och gränsen är fem medlemmar. Om du vill testa när du har tagit bort en medlem väljer du Visa alla användare och väljer sedan de medlemmar som har tagits bort från gruppen.

  1. Logga in på administrationscentret för Microsoft Entra som minst en Hybrid Identity Administrator.

  2. Bläddra till Entra ID>Entra Connect>Cloud Sync.

    Screenshot som visar startsidan för Microsoft Entra Connect Cloud Sync.

  1. Under Konfiguration väljer du din konfiguration.

  2. Till vänster väljer du Provision på begäran.

  3. Ange Försäljning i rutan Vald grupp .

  4. I avsnittet Valda användare väljer du några användare att testa.

    Skärmbild av att lägga till medlemmar.

  5. Välj Försörjning.

  6. Du bör se gruppen tillgängliggjord.

Skärmbild av lyckat tillhandahållande på begäran.

Verifiera i AD DS

Följ de här stegen för att se till att gruppen har provisionerats till AD DS:

  1. Logga in på din lokala miljö.

  2. Starta Active Directory Users and Computers.

  3. Kontrollera att den nya gruppen har försetts.

    Skärmbild av den nyligen etablerade gruppen.

Gruppetablering till AD DS-beteende för SOA-konverterade objekt

När du konverterar källan till auktoritet (SOA) till molnet för en lokal grupp blir den gruppen berättigad till gruppetablering till AD DS.

I följande diagram konverteras till exempel SOA eller SOATestGroup1 till molnet. Därför blir den tillgänglig för jobbstyrningen i gruppkonfigurationen till AD DS.

Skärmbild av jobbet i omfattning.

  • När ett jobb körs, etableras SOATestGroup1 framgångsrikt.

  • I etableringsloggarna kan du söka efter SOATestGroup1 och kontrollera att gruppen har etablerats.

    Skärmbild av provisioneringsloggarna.

  • Informationen visar att SOATestGroup1 matchades med en befintlig målgrupp.

    Skärmbild av matchade attribut.

  • Du kan också bekräfta att adminDescription och cn för målgruppen uppdateras.

    Skärmbild av uppdaterade attribut.

  • När du tittar på AD DS kan du se att den ursprungliga gruppen har uppdaterats.

    Skärmbild av den uppdaterade gruppen.

    Skärmbild av gruppegenskaper.

Molnet hoppar över etablering av konverterade SOA-objekt till Microsoft Entra ID

Om du försöker redigera ett attribut för en grupp i AD DS när du har konverterat SOA till molnet hoppar Cloud Sync över objektet under etableringen.

Anta att vi har en grupp SOAGroup3 och uppdaterar dess gruppnamn till SOA Group3.1.

Skärmbild av en uppdatering av objektnamn.

I etableringsloggarna kan du se att SOAGroup3 hoppades över.

Skärmbild av ett överhoppat objekt.

Informationen förklarar att objektet inte synkroniseras eftersom dess SOA konverteras till molnet.

Skärmbild av en blockerad synkronisering.

Hantering av kapslade grupper och medlemskapsreferenser

I följande tabell beskrivs hur etableringen hanterar medlemskapsreferenser när du har konverterat SOA i olika användningsfall.

Användningsfall Överordnad grupptyp Typ av medlemsgrupp Jobb Så här fungerar synkronisering
En Microsoft Entra överordnad säkerhetsgrupp har bara Microsoft Entra medlemmar. Microsoft Entra säkerhetsgrupp Microsoft Entra säkerhetsgrupp AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet tillhandahåller huvudgruppen med alla dess medlemsreferenser (medlemsgrupper).
En Microsoft Entra överordnad säkerhetsgrupp har några medlemmar som är synkroniserade grupper. Microsoft Entra säkerhetsgrupp AD DS-säkerhetsgrupper (synkroniserade grupper) AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet tillhandahåller den överordnade gruppen, men alla medlemsreferenser (medlemsgrupper) som är AD DS-grupper tillhandahålls inte.
En Microsoft Entra överordnad säkerhetsgrupp har några medlemmar som är synkroniserade grupper vars SOA konverteras till molnet. Microsoft Entra säkerhetsgrupp AD DS-säkerhetsgrupper vars SOA konverteras till molnet. AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet tillhandahåller huvudgruppen med alla dess medlemsreferenser (medlemsgrupper).
Du konverterar SOA för en synkroniserad grupp (överordnad) som har molnägda grupper som medlemmar. AD DS-säkerhetsgrupper med SOA konverterat till molnet Microsoft Entra säkerhetsgrupp AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet tillhandahåller huvudgruppen med alla dess medlemsreferenser (medlemsgrupper).
Du konverterar SOA för en synkroniserad grupp (överordnad) som har andra synkroniserade grupper som medlemmar. AD DS-säkerhetsgrupper med SOA konverterat till molnet AD DS-säkerhetsgrupper (synkroniserade grupper) AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet förser den överordnade gruppen, men alla medlemsreferenser (medlemsgrupper) som är AD DS-säkerhetsgrupper förses inte.
Du konverterar SOA för en synkroniserad grupp (överordnad) vars medlemmar är andra synkroniserade grupper som har SOA konverterat till molnet. AD DS-säkerhetsgrupper med SOA konverterat till molnet AD DS-säkerhetsgrupper med SOA konverterat till molnet AAD2ADGroupProvisioning (grupprovisionering till AD DS) Jobbet tillhandahåller huvudgruppen med alla dess medlemsreferenser (medlemsgrupper).

Grupphantering i AD DS-beteende efter att du har rullat tillbaka SOA-konverterade grupper

Om du har SOA-konverterade grupper i omfånget och du återställer den SOA-konverterade gruppen för att göra den ägd av AD DS, slutar gruppetablering till AD DS att synkronisera ändringarna, men den tar inte bort den lokala gruppen. Den tar också bort gruppen från konfigurationsomfånget. Den lokala kontrollen över gruppen återupptas i nästa synkroniseringscykel.

  • Du kan kontrollera i granskningsloggarna att synkroniseringen inte sker för det här objektet eftersom det hanteras lokalt.

    Skärmbild av granskningslogginformation.

    Du kan också kontrollera i AD DS att gruppen fortfarande är intakt och inte borttagen.

    Skärmbild av användare och datorer.

Nästa steg

  • Last updated on