Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID

Důležité

Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude ukončena k tomuto datu a nebudete už v Connect Sync podporováni, abyste zřídili skupiny zabezpečení cloudu ve službě Active Directory. Tato funkce bude fungovat i po uplynutí data ukončení; po tomto datu však již nebude dostávat podporu a bez předchozího upozornění může přestat fungovat.

Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory , které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce v Synchronizaci cloudu spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z connect sync na cloudovou synchronizaci. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do cloudové synchronizace (pokud podporuje vaše potřeby). Synchronizaci cloudu můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do cloudové synchronizace.

Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro Službu Active Directory, můžete pro tuto funkci dál používat zpětný zápis skupiny v1.

K vyhodnocení přesunu výhradně do cloudové synchronizace můžete použít průvodce synchronizací uživatelů.

Scénář: Správa místních aplikací pomocí skupin Active Directory, které jsou zřízené a spravované v cloudu Microsoft Entra Cloud Sync umožňuje plně řídit přiřazení aplikací v AD a současně využívat funkce zásad správného řízení Microsoft Entra ID k řízení a nápravě všech žádostí souvisejících s přístupem.

Díky vydání agenta zřizování 1.1.1370.0 teď může cloudová synchronizace zřizovat skupiny přímo do vašeho místní Active Directory prostředí. Pomocí funkcí zásad správného řízení identit můžete řídit přístup k aplikacím založeným na AD, například zahrnutím skupiny do balíčku přístupu pro správu nároků.

Podívejte se na video o zpětném zápisu skupiny.

Skvělý přehled zřizování skupin synchronizace cloudu ve službě Active Directory a o tom, co pro vás může udělat, najdete v níže uvedeném videu.

Požadavky

Pro implementaci tohoto scénáře jsou vyžadovány následující požadavky.

• Účet Microsoft Entra s alespoň rolí správce hybridní identity
• Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
  • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId.
• Zřizování agenta s buildem verze 1.1.1367.0 nebo novější

Poznámka:

Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.

Tato oprávnění se ve výchozím nastavení neaplikují na objekty AdminSDHolder.

Rutiny PowerShellu pro agenta zřizování Microsoft Entra

• Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
  • Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
• Microsoft Entra Connect s buildem 2.2.8.0 nebo novějším.
  • Vyžaduje se pro podporu místního členství uživatelů synchronizovaných pomocí služby Microsoft Entra Connect.
  • Vyžaduje se k synchronizaci AD:user:objectGUID s Microsoft Entra ID:user:onPremisesObjectIdentifier.

Podporované skupiny

V tomto scénáři jsou podporovány pouze následující skupiny:

• Podporují se pouze skupiny zabezpečení vytvořené v cloudu.
• tyto skupiny můžou mít přiřazené nebo dynamické členství.
• tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo skupiny zabezpečení vytvořené v cloudu.
• místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
• tyto skupiny se zapisují zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
• skupiny, které jsou větší než 50 000 členů, se nepodporují.
• každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.

Podporované scénáře

Následující části se věnuje scénářům podporovaným při zřizování skupin synchronizace cloudu.

Konfigurace podporovaných scénářů

Pokud chcete určit, jestli se uživatel může připojit k aplikaci služby Active Directory, která používá ověřování systému Windows, můžete použít proxy aplikace a skupinu zabezpečení Microsoft Entra. Pokud aplikace zkontroluje členství uživatele ve skupinách AD prostřednictvím protokolu Kerberos nebo LDAP, můžete pomocí zřizování skupin synchronizace cloudu zajistit, aby uživatel ad tyto členství ve skupinách získal před přístupem k aplikacím.

V následujících částech jsou popsány dvě možnosti scénáře, které jsou podporovány při zřizování skupin synchronizace cloudu. Možnosti scénáře jsou určené k zajištění toho, aby uživatelé přiřazení k aplikaci měli členství ve skupinách při ověřování v aplikaci.

• Vytvořte novou skupinu a aktualizujte aplikaci, pokud už existuje, a zkontrolujte novou skupinu nebo
• Vytvořte novou skupinu a aktualizujte existující skupiny, aplikace hledala, aby novou skupinu zahrnula jako člena.

Než začnete, ujistěte se, že jste správcem domény v doméně, ve které je aplikace nainstalovaná. Ujistěte se, že se můžete přihlásit k řadiči domény nebo máte na počítači s Windows nainstalované nástroje pro vzdálenou správu serveru pro správu Doména služby Active Directory Services (AD DS).

Konfigurace nové možnosti skupin

V této možnosti scénáře aktualizujete aplikaci tak, aby kontrolovala identifikátor SID, název nebo rozlišující název nových skupin vytvořených zřizováním skupin synchronizace cloudu. Tento scénář platí pro:

• nasazení pro nové aplikace, které se poprvé připojují ke službě AD DS.
• nové kohorty uživatelů, kteří k aplikaci přistupují.
• pro modernizaci aplikací, aby se snížila závislost na existujících skupinách SLUŽBY AD DS. Aplikace, které aktuálně kontrolují členství ve Domain Admins skupině, bude potřeba aktualizovat, aby také zkontrolovaly nově vytvořenou skupinu AD.

Pokud chcete používat nové skupiny, použijte následující postup pro aplikace.

Vytvoření aplikace a skupiny

1. Pomocí Centra pro správu Microsoft Entra vytvořte aplikaci v Microsoft Entra ID představující aplikaci založenou na AD a nakonfigurujte aplikaci tak, aby vyžadovala přiřazení uživatele.
2. Pokud používáte proxy aplikace, abyste uživatelům umožnili připojení k aplikaci, nakonfigurujte proxy aplikace.
3. Vytvořte novou skupinu zabezpečení v Microsoft Entra ID.
4. Pomocí zřizování skupin v AD zřiďte tuto skupinu v AD.
5. Spusťte Uživatelé a počítače služby Active Directory a počkejte na vytvoření výsledné nové skupiny AD v doméně AD. Když je k dispozici, poznamenejte si rozlišující název, doménu, název účtu a identifikátor SID nové skupiny AD.

Konfigurace aplikace pro použití nové skupiny

1. Pokud aplikace používá AD přes LDAP, nakonfigurujte aplikaci s rozlišujícím názvem nové skupiny AD. Pokud aplikace používá AD přes Kerberos, nakonfigurujte aplikaci pomocí identifikátoru SID nebo názvu domény a účtu nové skupiny AD.
2. Vytvořte přístupový balíček. Přidejte aplikaci z #1, skupinu zabezpečení z #3 jako prostředky v přístupovém balíčku. Nakonfigurujte zásadu přímého přiřazení v přístupovém balíčku.
3. Ve správě nároků přiřaďte synchronizované uživatele, kteří potřebují přístup k aplikaci založené na AD, k přístupovém balíčku.
4. Počkejte, až se nová skupina AD aktualizuje s novými členy. Pomocí Uživatelé a počítače služby Active Directory ověřte, že jsou jako členové skupiny přítomni správní uživatelé.
5. V monitorování domény AD povolte pouze účet gMSA, který spouští agenta zřizování, autorizaci ke změně členství v nové skupině AD.

Teď můžete řídit přístup k aplikaci AD prostřednictvím tohoto nového přístupového balíčku.

Konfigurace možnosti existujících skupin

V tomto scénáři přidáte novou skupinu zabezpečení AD jako člena vnořené skupiny existující skupiny. Tento scénář se vztahuje na nasazení pro aplikace, které mají pevně zakódovanou závislost na konkrétním názvu účtu skupiny, identifikátoru SID nebo rozlišujícím názvu.

Vnoření této skupiny do existujících aplikací služby AD umožní:

• Uživatelé Microsoft Entra, kteří jsou přiřazeni funkcí zásad správného řízení a následně přistupují k aplikaci, mají odpovídající lístek Kerberos. Tento lístek bude obsahovat identifikátor SID existujících skupin. Toto vnoření povoluje pravidla vnoření skupin AD.

Pokud aplikace používá ldap a sleduje vnořené členství ve skupině, zobrazí se uživatelům Microsoft Entra, že stávající skupinu mají jako jedno z jejich členství.

Určení způsobilosti stávající skupiny

1. Spusťte Uživatelé a počítače služby Active Directory a poznamenejte si rozlišující název, typ a obor existující skupiny AD, kterou aplikace používá.
2. Pokud je Domain Adminsstávající skupina , , Domain GuestsGroup Policy Creation OwnersDomain UsersEnterprise Key AdminsKey AdminsEnterprise AdminsProtected Usersnebo Schema Admins, pak budete muset změnit aplikaci na použití nové skupiny, jak je popsáno výše, protože tyto skupiny není možné používat synchronizací cloudu.
3. Pokud má skupina globální obor, změňte skupinu tak, aby měla univerzální obor. Globální skupina nemůže mít univerzální skupiny jako členy.

Vytvoření aplikace a skupiny

1. V Centru pro správu Microsoft Entra vytvořte aplikaci v Microsoft Entra ID představující aplikaci založenou na AD a nakonfigurujte aplikaci tak, aby vyžadovala přiřazení uživatele.
2. Pokud se proxy aplikace použije k povolení připojení uživatelů k aplikaci, nakonfigurujte proxy aplikace.
3. Vytvořte novou skupinu zabezpečení v Microsoft Entra ID.
4. Pomocí zřizování skupin v AD zřiďte tuto skupinu v AD.
5. Spusťte Uživatelé a počítače služby Active Directory a počkejte, až se v doméně AD vytvoří výsledná nová skupina AD, když je k dispozici, poznamenejte si rozlišující název, doménu, název účtu a identifikátor SID nové skupiny AD.

Konfigurace aplikace pro použití nové skupiny

1. Pomocí Uživatelé a počítače služby Active Directory přidejte novou skupinu AD jako člena existující skupiny AD.
2. Vytvořte přístupový balíček. Přidejte aplikaci z #1, skupinu zabezpečení z #3 jako prostředky v přístupovém balíčku. Nakonfigurujte zásadu přímého přiřazení v přístupovém balíčku.
3. Ve správě nároků přiřaďte synchronizované uživatele, kteří potřebují přístup k aplikaci založené na AD, k přístupovém balíčku. To zahrnuje všechny uživatele stávající skupiny AD, kteří budou nadále potřebovat přístup.
4. Počkejte, až se nová skupina AD aktualizuje s novými členy. Pomocí Uživatelé a počítače služby Active Directory ověřte, že jsou jako členové skupiny přítomni správní uživatelé.
5. Pomocí Uživatelé a počítače služby Active Directory odeberte existující členy kromě nové skupiny AD stávající skupiny AD.
6. V monitorování domény AD povolte pouze účet gMSA, který spouští agenta zřizování, autorizaci ke změně členství v nové skupině AD.

Pak budete moct řídit přístup k aplikaci AD prostřednictvím tohoto nového přístupového balíčku.

Řešení problému

Uživatel, který je členem nové skupiny AD a je na počítači s Windows, který už je přihlášený k doméně AD, může mít existující lístek vydaný řadičem domény AD, který nezahrnuje nové členství ve skupině AD. Důvodem je to, že lístek mohl být vydán před zřízením skupiny synchronizace cloudu, která je přidá do nové skupiny AD. Uživatel nebude moct předložit lístek pro přístup k aplikaci, a proto musí počkat na vypršení platnosti lístku a vydání nového lístku nebo vyprázdnit své lístky, odhlásit se a přihlásit se zpět k doméně. Další podrobnosti najdete v příkazu klist .

Stávající zákazníci se zpětným zápisem skupiny Microsoft Entra Connect v2

Pokud používáte zpětný zápis skupiny Microsoft Entra Connect v2, budete muset přejít do zřizování cloudové synchronizace do AD, abyste mohli využít výhod zřizování skupin synchronizace cloudu. Viz Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync v2 do Microsoft Entra Cloud Sync

Další kroky

• Zpětný zápis skupin pomocí Microsoft Entra Cloud Sync
• Zřizování skupin ve službě Active Directory pomocí Microsoft Entra Cloud Sync
• Microsoft Entra Connect Sync group writeback V2 to Microsoft Entra Cloud Sync migration