Zpětný zápis skupin pomocí Microsoft Entra Cloud Sync

Díky vydání agenta zřizování 1.1.1370.0 teď může cloudová synchronizace provádět zpětný zápis skupiny. Tato funkce znamená, že cloudová synchronizace může zřizovat skupiny přímo do vašeho místní Active Directory prostředí. Pomocí funkcí zásad správného řízení identit teď můžete řídit přístup k aplikacím založeným na AD, například zahrnutím skupiny do přístupového balíčku pro správu nároků.

Důležité

Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Připojení Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v Připojení Sync už nebudete podporováni za účelem zřizování skupin zabezpečení cloudu ve službě Active Directory.

Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory , které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce v Synchronizaci cloudu spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview ve službě Připojení Sync, by měli přepnout konfiguraci ze služby Připojení Sync na cloudovou synchronizaci. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do cloudové synchronizace (pokud podporuje vaše potřeby). Synchronizaci cloudu můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do cloudové synchronizace.

Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro Službu Active Directory, můžete pro tuto funkci dál používat zpětný zápis skupiny v1.

K vyhodnocení přesunu výhradně do cloudové synchronizace můžete použít průvodce synchronizací uživatelů.

Podívejte se na video o zpětném zápisu skupiny.

Skvělý přehled zřizování skupin synchronizace cloudu ve službě Active Directory a o tom, co pro vás může udělat, najdete v níže uvedeném videu.

Zřízení ID Microsoft Entra pro Active Directory – požadavky

K implementaci skupin zřizování do služby Active Directory se vyžadují následující požadavky.

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

Obecné požadavky

• Účet Microsoft Entra s alespoň rolí hybrid Správa istrator.
• Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
  • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
• Zřizování agenta s buildem verze 1.1.1370.0 nebo novější

Poznámka:

Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.

Tato oprávnění nejsou použita pro objekty Správa SDHolder ve výchozím nastavení microsoft Entra provisioning agent gMSA PowerShell.

• Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
  • Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
• Microsoft Entra Připojení s buildem 2.2.8.0 nebo novějším
  • Vyžadováno pro podporu místního členství uživatelů synchronizovaných pomocí microsoft Entra Připojení
  • Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier

Podporované skupiny

Podporuje se pouze následující:

• Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
• Tyto skupiny můžou mít přiřazené nebo dynamické členství.
• Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
• Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
• Tyto skupiny se zapisují zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
• Skupiny, které jsou větší než 50 000 členů, se nepodporují.
• Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
• Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.

Další informace

Následuje další informace o zřizování skupin ve službě Active Directory.

• Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
• Všichni tito uživatelé musí mít u svého účtu nastavený atribut onPremisesObjectIdentifier.
• OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
• Atribut objectGUID místních uživatelů pro cloudové uživatele onPremisesObjectIdentifier lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Připojení Sync (2.2.8.0)
• Pokud k synchronizaci uživatelů používáte Microsoft Entra Připojení Sync (2.2.8.0) a chcete používat zřizování pro AD, musí to být verze 2.2.8.0 nebo novější.
• Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Tenanti, jako je B2C, se nepodporují.
• Úloha zřizování skupin se plánuje spustit každých 20 minut.

Podporované scénáře zpětného zápisu skupin pomocí Microsoft Entra Cloud Sync

Následující části popisují podporované scénáře zpětného zápisu skupin pomocí Microsoft Entra Cloud Sync.

• Migrace zpětného zápisu skupiny Microsoft Entra Připojení Sync do Microsoft Entra Cloud Sync
• Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID

Migrace zpětného zápisu skupiny Microsoft Entra Připojení Sync do Microsoft Entra Cloud Sync

Scénář: Migrace zpětného zápisu skupiny pomocí nástroje Microsoft Entra Připojení Sync (dříve Azure AD Připojení) do Microsoft Entra Cloud Sync Tento scénář je určený jenom pro zákazníky, kteří aktuálně používají zpětný zápis skupiny Microsoft Entra Připojení v2. Proces popsaný v tomto dokumentu se týká pouze skupin zabezpečení vytvořených v cloudu, které se zapisují zpět s univerzálním oborem. Skupiny a seznamy DLS s podporou pošty zapsané zpět pomocí microsoft Entra Připojení zpětného zápisu skupiny V1 nebo V2 se nepodporují.

Další informace naleznete v tématu Migrace skupiny Microsoft Entra Připojení zpětný zápis skupiny V2 do Microsoft Entra Cloud Sync.

Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID

Scénář: Správa místních aplikací pomocí skupin Active Directory, které jsou zřízené a spravované v cloudu Microsoft Entra Cloud Sync umožňuje plně řídit přiřazení aplikací v AD a současně využívat funkce zásad správného řízení Microsoft Entra ID k řízení a nápravě všech žádostí souvisejících s přístupem.

Další informace naleznete v tématu Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení microsoft Entra ID .

Další kroky

• Zřízení skupin pro Active Directory pomocí Microsoft Entra Cloud Sync
• Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID
• Migrace zpětného zápisu skupiny Microsoft Entra Připojení Sync do Microsoft Entra Cloud Sync