本主题介绍如何在将组预配到 Microsoft Entra ID 的过程中,保留并使用本地组的原始组织单位(OU)。
先决条件
使用 Connect Sync 或 Cloud Sync 同步自定义扩展属性,或使用当前未使用的默认架构中的现有属性,并为要将颁发源(SOA)转换为云的组设置 OU 路径。 当从云中更新这些组时,该属性可帮助你将组预配到同一 OU。
步骤 1:在本地 Active Directory 域服务(AD DS)中填充 extensionAttribute13 属性
使用 PowerShell 从每个组的可分辨名称(DN)中提取 OU,并将其存储在 extensionAttribute13 属性中。 在转换组授权来源 (SOA) 之前,可以运行以下 cmdlet 将每个组的原始 OU 路径存储在可写属性中。
Get-ADGroup -Filter * -SearchBase "DC=contoso,DC=com" | ForEach-Object {
$ou = ($_.DistinguishedName -split ",", 2)[1] # Extract OU path
Set-ADGroup -Identity $_.DistinguishedName -Replace @{extensionAttribute13 = $ou}
}
还可以将 OU 信息存储在其他一些属性中,例如 信息 或任何其他自定义属性。 有关如何同步自定义属性的详细信息,请参阅 自定义属性映射。
步骤 2:在 Microsoft Entra Cloud Sync 或 Connect Sync 中为 extensionAttribute13 启用同步
以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 标识>配置>云同步。
选择云同步配置。
在 “属性映射”下,对于组对象:
- 单击编辑映射
- 添加新的映射:
设置 价值 源属性 extensionAttribute13 目标属性 onPremisesExtensionAttributes.extensionAttribute13 匹配对象 保持未选中状态 应用此映射 始终
步骤 3:确认Microsoft Entra ID 中的属性同步
使用 PowerShell 验证属性同步。
Microsoft Graph PowerShell
Get-MgGroup -GroupId <groupId> | Select -ExpandProperty OnPremisesExtensionAttributes你应该会看到:
{ "onPremisesExtensionAttributes": { "extensionAttribute13": "OU=Finance,DC=contoso,DC=com" } }
步骤 4:在预配期间使用 extensionAttribute13
配置预配时,请使用同步属性来管理目标 OU。
在 预配 配置中,将 onPremisesExtensionAttributes.extensionAttribute13 映射到自定义变量,例如 preferredOU。
使用类似于该示例的表达式来应对回退。 此表达式使用原始 OU(如果可用),或回退到指定的默认 OU。 可以稍后更改 extensionAttribute13 来替换该值。
IIF(IsNullOrEmpty([extensionAttribute13]), "OU=<Enter your default OU name>,DC=contoso,DC=com", [extensionAttribute13])