Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID
Důležité
Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v aplikaci Connect Sync již nebude podporováno poskytování cloudových skupin zabezpečení do služby Active Directory. Funkce bude fungovat i po datu ukončení; po tomto datu však již nebude podporována a může přestat fungovat kdykoli bez předchozího upozornění.
Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory, které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce ve službě Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.
Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z Connect Sync na Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do služby Cloud Sync (pokud podporuje vaše potřeby). Službu Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do Cloud Sync.
Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro službu Active Directory: pro tuto funkci můžete nadále používat zpětný zápis skupiny v1.
K vyhodnocení přesunu výhradně do služby Cloud Sync můžete použít průvodce synchronizací uživatelů.
Scénář: Správa místních aplikací pomocí skupin Active Directory, které jsou zřízené a spravované v cloudu Microsoft Entra Cloud Sync umožňuje plně řídit přiřazení aplikací v AD a současně využívat funkce zásad správného řízení Microsoft Entra ID k řízení a nápravě všech žádostí souvisejících s přístupem.
Díky vydání agenta zřizování 1.1.1370.0 teď může cloudová synchronizace zřizovat skupiny přímo do vašeho místní Active Directory prostředí. Pomocí funkcí zásad správného řízení identit můžete řídit přístup k aplikacím založeným na AD, například zahrnutím skupiny do balíčku přístupu pro správu nároků.
Podívejte se na video o zpětném zápisu skupiny.
Skvělý přehled zřizování skupin synchronizace cloudu ve službě Active Directory a o tom, co pro vás může udělat, najdete v níže uvedeném videu.
Požadavky
Pro implementaci tohoto scénáře jsou vyžadovány následující požadavky.
- Účet Microsoft Entra s alespoň rolí správce hybridní identity
- Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
- Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId.
- Zřizování agenta s buildem verze 1.1.1367.0 nebo novější
Poznámka:
Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.
Tato oprávnění se ve výchozím nastavení neaplikují na objekty AdminSDHolder.
Rutiny PowerShellu pro agenta zřizování Microsoft Entra
- Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
- Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
- Microsoft Entra Connect s buildem 2.2.8.0 nebo novějším.
- Vyžaduje se pro podporu místního členství uživatelů synchronizovaných pomocí služby Microsoft Entra Connect.
- Vyžaduje se k synchronizaci AD:user:objectGUID s Microsoft Entra ID:user:onPremisesObjectIdentifier.
Podporované skupiny
V tomto scénáři jsou podporovány pouze následující skupiny:
- Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
- Přiřazené nebo dynamické skupiny členství
- Obsahují pouze místní synchronizované uživatele nebo skupiny zabezpečení vytvořené v cloudu.
- Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
- Zapsáno zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
- Maximálně 50 000 členů
- Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
Podporované scénáře
Následující části se věnuje scénářům podporovaným při zřizování skupin synchronizace cloudu.
Konfigurace podporovaných scénářů
Pokud chcete určit, jestli se uživatel může připojit k aplikaci služby Active Directory, která používá ověřování systému Windows, můžete použít proxy aplikace a skupinu zabezpečení Microsoft Entra. Pokud aplikace zkontroluje členství uživatele ve skupinách AD prostřednictvím protokolu Kerberos nebo LDAP, můžete pomocí zřizování skupin synchronizace cloudu zajistit, aby uživatel ad tyto členství ve skupinách získal předtím, než uživatel přistupuje k aplikacím.
V následujících částech jsou popsány dvě možnosti scénáře, které jsou podporovány při zřizování skupin synchronizace cloudu. Možnosti scénáře jsou určené k zajištění toho, aby uživatelé přiřazení k aplikaci měli členství ve skupinách při ověřování v aplikaci.
- Vytvořte novou skupinu a aktualizujte aplikaci, pokud už existuje, a zkontrolujte novou skupinu nebo
- Vytvořte novou skupinu a aktualizujte existující skupiny, aplikace hledala, aby novou skupinu zahrnula jako člena.
Než začnete, ujistěte se, že jste správcem domény v doméně, ve které je aplikace nainstalovaná. Ujistěte se, že se můžete přihlásit k řadiči domény nebo máte na počítači s Windows nainstalované nástroje pro vzdálenou správu serveru pro správu Doména služby Active Directory Services (AD DS).
Konfigurace nové možnosti skupin
V této možnosti scénáře aktualizujete aplikaci tak, aby kontrolovala identifikátor SID, název nebo rozlišující název nových skupin vytvořených zřizováním skupin synchronizace cloudu. Tento scénář platí pro:
- Nasazení pro nové aplikace, které se poprvé připojují ke službě AD DS
- Nové kohorty uživatelů, kteří k aplikaci přistupují.
- Pokud chcete omezit závislost na existujících skupinách AD DS, v případě modernizace aplikací.
Aplikace, které aktuálně kontrolují členství ve
Domain Admins
skupině, je potřeba aktualizovat, aby také zkontrolovaly nově vytvořenou skupinu AD.
Pokud chcete používat nové skupiny, použijte následující postup pro aplikace.
Vytvoření aplikace a skupiny
- Pomocí Centra pro správu Microsoft Entra vytvořte aplikaci v Microsoft Entra ID představující aplikaci založenou na AD a nakonfigurujte aplikaci tak, aby vyžadovala přiřazení uživatele.
- Pokud používáte proxy aplikace, abyste uživatelům umožnili připojení k aplikaci, nakonfigurujte proxy aplikace.
- Vytvořte novou skupinu zabezpečení v Microsoft Entra ID.
- Pomocí zřizování skupin v AD zřiďte tuto skupinu v AD.
- Spusťte Uživatelé a počítače služby Active Directory a počkejte na vytvoření výsledné nové skupiny AD v doméně AD. Když je k dispozici, poznamenejte si rozlišující název, doménu, název účtu a identifikátor SID nové skupiny AD.
Konfigurace aplikace pro použití nové skupiny
- Pokud aplikace používá AD přes LDAP, nakonfigurujte aplikaci s rozlišujícím názvem nové skupiny AD. Pokud aplikace používá AD přes Kerberos, nakonfigurujte aplikaci pomocí identifikátoru SID nebo názvu domény a účtu nové skupiny AD.
- Vytvořte přístupový balíček. Přidejte aplikaci z #1, skupinu zabezpečení z #3 jako prostředky v přístupovém balíčku. Nakonfigurujte zásadu přímého přiřazení v přístupovém balíčku.
- Ve správě nároků přiřaďte synchronizované uživatele, kteří potřebují přístup k aplikaci založené na AD, k přístupovém balíčku.
- Počkejte, až se nová skupina AD aktualizuje s novými členy. Pomocí Uživatelé a počítače služby Active Directory ověřte, že jsou jako členové skupiny přítomni správní uživatelé.
- V monitorování domény AD povolte pouze účet gMSA, který spouští agenta zřizování, autorizaci ke změně členství v nové skupině AD.
Teď můžete řídit přístup k aplikaci AD prostřednictvím tohoto nového přístupového balíčku.
Konfigurace možnosti existujících skupin
V tomto scénáři přidáte novou skupinu zabezpečení AD jako člena vnořené skupiny existující skupiny. Tento scénář se vztahuje na nasazení pro aplikace, které mají pevně zakódovanou závislost na konkrétním názvu účtu skupiny, identifikátoru SID nebo rozlišujícím názvu.
Vnoření této skupiny do existujících aplikací služby AD umožní:
- Uživatelé Microsoft Entra, kteří jsou přiřazeni funkcí zásad správného řízení a pak k aplikaci přistupují, aby měli odpovídající lístek Kerberos. Tento lístek obsahuje identifikátor SID existujících skupin. Vnoření povoluje pravidla vnoření skupin AD.
Pokud aplikace používá ldap a sleduje vnořené členství ve skupině, zobrazí se uživatelům Microsoft Entra, že stávající skupinu mají jako jedno z jejich členství.
Určení způsobilosti stávající skupiny
- Spusťte Uživatelé a počítače služby Active Directory a poznamenejte si rozlišující název, typ a obor existující skupiny AD, kterou aplikace používá.
- Pokud je
Domain Admins
stávající skupina , ,Domain Guests
Group Policy Creation Owners
Domain Users
Enterprise Key Admins
Key Admins
Enterprise Admins
Protected Users
neboSchema Admins
, pak budete muset změnit aplikaci na použití nové skupiny, jak je popsáno výše, protože tyto skupiny není možné používat synchronizací cloudu. - Pokud má skupina globální obor, změňte skupinu tak, aby měla univerzální obor. Globální skupina nemůže mít univerzální skupiny jako členy.
Vytvoření aplikace a skupiny
- V Centru pro správu Microsoft Entra vytvořte aplikaci v Microsoft Entra ID představující aplikaci založenou na AD a nakonfigurujte aplikaci tak, aby vyžadovala přiřazení uživatele.
- Pokud se proxy aplikace používá k povolení připojení uživatelů k aplikaci, nakonfigurujte proxy aplikace.
- Vytvořte novou skupinu zabezpečení v Microsoft Entra ID.
- Pomocí zřizování skupin v AD zřiďte tuto skupinu v AD.
- Spusťte Uživatelé a počítače služby Active Directory a počkejte, až se v doméně AD vytvoří výsledná nová skupina AD, když je k dispozici, poznamenejte si rozlišující název, doménu, název účtu a identifikátor SID nové skupiny AD.
Konfigurace aplikace pro použití nové skupiny
- Pomocí Uživatelé a počítače služby Active Directory přidejte novou skupinu AD jako člena existující skupiny AD.
- Vytvořte přístupový balíček. Přidejte aplikaci z #1, skupinu zabezpečení z #3 jako prostředky v přístupovém balíčku. Nakonfigurujte zásadu přímého přiřazení v přístupovém balíčku.
- Ve správě nároků přiřaďte synchronizované uživatele, kteří potřebují přístup k aplikaci založené na AD, k přístupovém balíčku, včetně všech členů existující skupiny AD, kteří stále potřebují přístup.
- Počkejte, až se nová skupina AD aktualizuje s novými členy. Pomocí Uživatelé a počítače služby Active Directory ověřte, že jsou jako členové skupiny přítomni správní uživatelé.
- Pomocí Uživatelé a počítače služby Active Directory odeberte existující členy kromě nové skupiny AD stávající skupiny AD.
- V monitorování domény AD povolte pouze účet gMSA, který spouští agenta zřizování, autorizaci ke změně členství v nové skupině AD.
Pak budete moct řídit přístup k aplikaci AD prostřednictvím tohoto nového přístupového balíčku.
Řešení problému
Uživatel, který je členem nové skupiny AD a je na počítači s Windows, který už je přihlášený k doméně AD, může mít existující lístek vydaný řadičem domény AD, který nezahrnuje nové členství ve skupině AD. Důvodem je to, že lístek mohl být vydán před zřízením skupiny synchronizace cloudu, která je přidá do nové skupiny AD. Uživatel nebude moct předložit lístek pro přístup k aplikaci, a proto musí počkat na vypršení platnosti lístku a vydání nového lístku nebo vyprázdnit své lístky, odhlásit se a přihlásit se zpět k doméně. Další podrobnosti najdete v příkazu klist .
Stávající zákazníci se zpětným zápisem skupiny Microsoft Entra Connect v2
Pokud používáte zpětný zápis skupiny Microsoft Entra Connect v2, budete muset přejít do zřizování cloudové synchronizace do AD, abyste mohli využít výhod zřizování skupin synchronizace cloudu. Viz Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync v2 do Microsoft Entra Cloud Sync