Escenario: uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory

Escenario: tiene cientos de grupos en Microsoft Entra ID. Desea aprovisionar algunos de estos grupos, pero no todos, de nuevo en Active Directory. Le gustaría un filtro rápido que se puede aplicar a los grupos sin tener que hacer un filtro de ámbito más complicado.

Diagrama de reescritura de grupos con sincronización con la nube.

El entorno que se crea en este escenario se puede usar para realizar pruebas o para familiarizarse con la sincronización en la nube.

Supuestos

  • En este escenario se supone que ya tiene un entorno de trabajo que está sincronizando los usuarios con Microsoft Entra ID.
  • Tenemos 4 usuarios sincronizados. Britta Simon, Lola Jacobson, Anna Ringdahl y John Smith.
  • Se han creado tres unidades organizativas en Active Directory: ventas, marketing y grupos
  • Las cuentas de usuario de Britta Simon y Anna Ringdahl residen en la unidad organizativa Ventas.
  • Las cuentas de usuario de Lola Jacobson y John Smith residen en la unidad organizativa Marketing.
  • La unidad organizativa Grupos es donde se aprovisionan nuestros grupos de Microsoft Entra ID.

Sugerencia

Para una mejor experiencia ejecutando cmdlets del SDK de Microsoft Graph PowerShell, use Visual Studio Code con la extensión ms-vscode.powershell en Modo ISE.

Creación de dos grupos en Microsoft Entra ID

Para empezar, cree dos grupos en Microsoft Entra ID. Un grupo es Ventas y el otro es Marketing.

Para crear dos grupos, siga estos pasos.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Entra ID>Grupos>Todos los grupos.
  3. En la parte superior, seleccione Nuevo grupo.
  4. Asegúrese de que el Tipo de grupo está establecido en seguridad.
  5. En Nombre de grupo escriba Ventas
  6. Para Tipo de membresía, déjelo como asignado.
  7. Selecciona Crear.
  8. Repita este proceso con Marketing como Nombre del grupo.

Agregar usuarios a los grupos recién creados

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.
  2. Vaya a Entra ID>Grupos>Todos los grupos.
  3. En la parte superior, en el cuadro de búsqueda, escriba Ventas.
  4. Seleccione el nuevo grupo Ventas .
  5. A la izquierda, seleccione Miembros.
  6. En la parte superior, seleccione Agregar miembros.
  7. En la parte superior, en el cuadro de búsqueda, escriba Britta Simon.
  8. Coloque una comprobación junto a Britta Simon y Anna Ringdahl y seleccione Seleccionar.
  9. Debería agregarla correctamente al grupo.
  10. En el extremo izquierdo, seleccione Todos los grupos y repita este proceso con el grupo Marketing y agregue Lola Jacobson y John Smith a ese grupo.

Nota:

Al agregar usuarios al grupo Marketing, anote el identificador de grupo en la página de información general. Este identificador se usa más adelante para agregar la propiedad recién creada al grupo.

Instalación y conexión del SDK de PowerShell de Microsoft Graph

  1. Si aún no está instalado, siga la documentación de SDK de PowerShell de Microsoft Graph para instalar los módulos principales del SDK de PowerShell de Microsoft Graph: Microsoft.Graph.

  2. Apertura de PowerShell con privilegios administrativos

  3. Para establecer la directiva de ejecución, ejecute (presione [A] Sí en todo cuando se le solicite):

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

  4. Conéctese a su tenant (asegúrese de aceptar en nombre de la organización al iniciar sesión):

    Connect-MgGraph -Scopes "Directory.ReadWrite.All", "Application.ReadWrite.All", "User.ReadWrite.All, Group.ReadWrite.All"

Cree nuestra aplicación CloudSyncCustomExtensionApp y la entidad de servicio

Importante

La extensión de directorio para Microsoft Entra Cloud Sync solo se admite para las aplicaciones con el URI de identificación api://<tenantId>/CloudSyncCustomExtensionsApp y Tenant Schema Extension App creada por Microsoft Entra Connect.

  1. Obtenga el identificador de inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

Nota:

Esto generará el identificador de inquilino actual. Puede confirmar este ID de inquilino navegando a Centro de administración de Microsoft Entra>ID de Entra>Resumen.

  1. Con la variable $tenantId del paso anterior, compruebe si existe CloudSyncCustomExtensionApp.

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"
$cloudSyncCustomExtApp

  2. Si existe una aplicación CloudSyncCustomExtensionApp, vaya al paso siguiente. De lo contrario, cree la nueva aplicación CloudSyncCustomExtensionApp:

    $cloudSyncCustomExtApp = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "api://$tenantId/CloudSyncCustomExtensionsApp"
$cloudSyncCustomExtApp

  3. Comprueba si la aplicación CloudSyncCustomExtensionsApp tiene asociada una entidad de seguridad. Si acabas de crear una nueva aplicación, vaya al paso siguiente.

    Get-MgServicePrincipal -Filter "AppId eq '$($cloudSyncCustomExtApp.AppId)'"

  4. Si acaba de crear una aplicación nueva o no se devuelve ninguna entidad de seguridad, cree una entidad de seguridad para CloudSyncCustomExtensionsApp:

    New-MgServicePrincipal -AppId $cloudSyncCustomExtApp.AppId

Creación de nuestro atributo de extensión personalizado

Sugerencia

En este escenario, vamos a crear un atributo de extensión personalizado llamado WritebackEnabled para usarlo en el filtro de ámbito de Microsoft Entra Cloud Sync, de modo que solo los grupos con WritebackEnabled configurado como True se devuelvan a Active Directory local, de forma similar a la marca Writeback enabled del Centro de administración de Microsoft Entra.

  1. Obtenga el identificador de inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Obtenga la aplicación CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Ahora, en CloudSyncCustomExtensionApp, cree el atributo de extensión personalizado denominado "WritebackEnabled" y asígnelo a objetos Group:

    New-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id -Name 'WritebackEnabled' -DataType 'Boolean' -TargetObjects 'Group'

  4. Este cmdlet crea un atributo de extensión similar a extension_<guid>_WritebackEnabled.

Creación de la configuración de sincronización en la nube

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.

  2. Vaya a Entra ID>Entra Connect>Sincronización en la nube.

  3. Seleccione Nueva configuración.

  4. Seleccione Sincronización de Microsoft Entra ID en AD.

Captura de pantalla de la selección de la configuración

  1. En la pantalla de configuración, seleccione el dominio y si desea habilitar la sincronización de hash de contraseñas. Seleccione Crear.

Captura de pantalla de una nueva configuración.

  1. Se abre la pantalla Introducción. Desde aquí, puede seguir configurando la sincronización en la nube

  2. A la izquierda, seleccione Filtros de ámbito y, a continuación, seleccione Ámbito de grupo>Todos los grupos.

  3. Seleccione Editar asignación de atributos y cambie el contenedor de destino a OU=Groups,DC=Contoso,DC=com. Seleccione Guardar.

  4. Seleccione Agregar filtro de ámbito de atributos.

  5. Escriba un nombre para el filtro de ámbito: Filter groups with Writeback Enabled

  6. En Atributo de destino seleccione el atributo recién creado que tiene el aspecto extension_<guid>_WritebackEnabled.

Importante

Es posible que algunos de los atributos de destino que aparecen en la lista desplegable no puedan utilizarse como filtro de ámbito porque no todas las propiedades pueden administrarse en Entra ID, por ejemplo, extensionAttribute[1-15], de ahí que la recomendación sea crear una propiedad de extensión personalizada para este fin específico.

Captura de pantalla de los atributos disponibles.

  1. En Operador , seleccione IS TRUE.
  2. Seleccione Guardar y, a continuación, seleccione Guardar.
  3. Deje la configuración deshabilitada y vuelva a ella.

Agregar una nueva propiedad de extensión a uno de nuestros grupos

Para esta parte, vamos a agregar un valor en nuestra propiedad recién creada a uno de nuestros grupos existentes, Marketing.

Establecimiento del valor de la propiedad de extensión mediante el SDK de PowerShell de Microsoft Graph

  1. Obtenga el identificador de inquilino:

    $tenantId = (Get-MgOrganization).Id
$tenantId

  2. Obtenga la aplicación CloudSyncCustomExtensionsApp:

    $cloudSyncCustomExtApp = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'api://$tenantId/CloudSyncCustomExtensionsApp')"

  3. Obtenga nuestra propiedad de extensión:

    $gwbEnabledExtAttrib = Get-MgApplicationExtensionProperty -ApplicationId $cloudSyncCustomExtApp.Id | 
    Where-Object {$_.Name -Like '*WritebackEnabled'} | Select-Object -First 1
$gwbEnabledExtAttrib 
$gwbEnabledExtName = $gwbEnabledExtAttrib.Name

  4. Ahora, obtenga el grupo Marketing:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'"
$marketingGrp

  5. A continuación, con la variable $gwbEnabledExtName que contiene extension_<guid>_WritebackEnabled, establezca el valor True para el grupo Marketing:

    Update-MgGroup -GroupId $marketingGrp.Id -AdditionalProperties @{$gwbEnabledExtName = $true}

  6. Para confirmarlo, puede leer el valor de la propiedad extension_<guid>_WritebackEnabled con:

    $marketingGrp = Get-MgGroup -ConsistencyLevel eventual -Filter "DisplayName eq 'Marketing'" -Property Id,$gwbEnabledExtName
$marketingGrp.AdditionalProperties.$gwbEnabledExtName

Establezca el valor de la propiedad de extensión con Microsoft Graph Explorer

Debes asegurarte de haber dado tu consentimiento a Group.ReadWrite.All. Para ello, selecciona Modificar permisos.

  1. Ve al Explorador de Microsoft Graph

  2. Inicie sesión con su cuenta de administrador de inquilinos. Se usó una cuenta de administrador de identidad híbrida para crear este escenario y podría ser suficiente.

  3. En la parte superior, cambia el GET a PATCH

  4. En la barra de direcciones, escribe: https://graph.microsoft.com/v1.0/groups/<Group Id>

  5. En el cuerpo de la solicitud, escribe:

    {
  "extension_<guid>_WritebackEnabled": true
}

  6. Seleccione Ejecutar consulta. Captura de pantalla de la ejecución de la consulta del grafo.

  7. Si se ha realizado correctamente, verás [].

  8. Ahora, en la parte superior, cambia PATCH por GET y examina las propiedades del grupo de marketing.

  9. Seleccione Ejecutar consulta. Deberías ver el atributo recién creado. Captura de pantalla de las propiedades de grupo.

Probar nuestra configuración

Nota:

Al usar el aprovisionamiento a petición, los miembros no se aprovisionan automáticamente. Debes seleccionar qué miembros deseas probar y hay un límite de 5 miembros.

  1. Inicie sesión en el centro de administración de Microsoft Entra al menos como Administrador de identidad híbrida.

  2. Vaya a Entra ID>Entra Connect>Sincronización en la nube.

    Captura de pantalla que muestra la página principal de Microsoft Entra Connect Cloud Sync.

  1. En Configuración, selecciona tu configuración.
  2. A la izquierda, selecciona Aprovisionar a petición.
  3. Escribe Marketing en el cuadro de Grupo seleccionado
  4. En la sección Usuarios seleccionados, selecciona algunos usuarios para probar. Selecciona Lola Jacobson y John Smith.
  5. Seleccione Aprovisionar. Debe aprovisionar correctamente. Captura de pantalla del aprovisionamiento correcto.
  6. Ahora prueba con el grupo Ventas y agrega Britta Simon y Anna Ringdahl. Esto no debería aprovisionarse. Captura de pantalla del aprovisionamiento que se está bloqueando.
  7. En Active Directory, deberías ver el grupo Marketing recién creado. Captura de pantalla del nuevo grupo en usuarios y equipos de Active Directory.
  8. Ahora puede ir a la página De información general de entra ID>Entra Connect>Cloud Sync > para revisar y habilitar nuestra configuración para iniciar la sincronización.

Pasos siguientes

  • Last updated on