Documentatie/Integraties

Hybride en on-prem AD

Zet een hybrid worker met PowerShell-runbook op zodat ServiceChanger ook on-prem AD-groepen vult, met write-back via Entra Connect.

Het idee

Cloud-only groepen schrijft ServiceChanger direct via Microsoft Graph. Maar groepen die vanuit on-prem AD naar Entra worden gesynchroniseerd zijn in Entra alleen-lezen: Microsoft laat geen membership-writes toe op een on-prem gemasterde groep. De wijziging moet dus on-prem gebeuren.

Daarvoor draait er naast je cloud-koppeling een PowerShell-runbook op een hybrid worker. Dat is een Windows-host in je eigen netwerk die je domain controllers kan bereiken. Het runbook past de groepslidmaatschappen aan in AD. Je bestaande Entra Connect synct die wijziging vervolgens terug naar Entra, zodat het beeld in de cloud klopt.

ServiceChanger  ->  hybrid worker (runbook)  ->  Active Directory  ->  Entra Connect  ->  Entra ID

Zo beheer je cloud en on-prem vanuit hetzelfde regelmodel.

Wat je nodig hebt

  • Een Windows-host (server of VM) die lid is van het domein of de domain controllers kan bereiken, met de Active Directory PowerShell-module geinstalleerd.
  • Een AD-serviceaccount met rechten om alleen de doelgroepen te beheren (membership toevoegen en verwijderen). Geef niet meer rechten dan nodig.
  • Uitgaande netwerktoegang van de host naar ServiceChanger om werk op te halen en resultaten terug te melden.
  • Een werkende Entra Connect-sync tussen je AD en je tenant.

Setup in het kort

  1. Richt de Windows-host in en installeer de AD PowerShell-module (RSAT-AD-PowerShell).
  2. Maak het AD-serviceaccount aan en delegeer membership-beheer op de organizational units of groepen die in scope zijn.
  3. Installeer de runbook-agent en koppel hem aan je tenant in ServiceChanger.
  4. Wijs in ServiceChanger aan welke groepen on-prem worden beheerd.
  5. Test eerst op een kleine testgroep van een paar users voor je het breder uitrolt.

Hoe een wijziging verloopt

  1. Een regel matcht (of de match vervalt) voor een user in een on-prem gesynchroniseerde groep.
  2. ServiceChanger zet de gewenste wijziging klaar voor de hybrid worker.
  3. Het runbook haalt de wijziging op en voert hem uit tegen AD.
  4. Entra Connect synct de nieuwe membership terug naar Entra bij de volgende sync-cyclus.
ServiceChanger herkent of een user en een groep on-prem gesynchroniseerd zijn. Een cloud-only user toevoegen aan een on-prem gemasterde groep kan Microsoft niet; die combinatie wordt overgeslagen en gerapporteerd in plaats van te falen.

Voorbeeld van een runbook-stap

Het runbook werkt idempotent: het controleert eerst de huidige staat en doet alleen wat nodig is.

Import-Module ActiveDirectory

# Voeg een user toe aan een on-prem groep als hij er nog niet in zit
$group = "Engineering-All"
$userDn = (Get-ADUser -Filter "UserPrincipalName -eq '[email protected]'").DistinguishedName

$members = Get-ADGroupMember -Identity $group | Select-Object -ExpandProperty DistinguishedName
if ($members -notcontains $userDn) {
    Add-ADGroupMember -Identity $group -Members $userDn
}

Verwijderen verloopt vergelijkbaar met Remove-ADGroupMember, alleen als de user daadwerkelijk lid is.

Timing

De doorlooptijd hangt af van twee dingen: hoe vaak het runbook werk ophaalt, en de sync-interval van Entra Connect (standaard elke 30 minuten). Reken erop dat een on-prem wijziging niet instant in Entra zichtbaar is, maar binnen een Entra Connect-cyclus.

Troubleshooting

Wijziging in AD gedaan, maar niet zichtbaar in Entra. Wacht op de volgende Entra Connect-cyclus of forceer een sync. Controleer dat de groep daadwerkelijk in scope van Entra Connect zit.

Runbook kan groep niet aanpassen. Controleer de gedelegeerde rechten van het serviceaccount op die OU of groep.

Combinatie wordt overgeslagen. Een cloud-only user past niet in een on-prem gemasterde groep, en andersom. Beoordeel of de user en de groep aan dezelfde kant horen.

Gerelateerd