Einrichten des Gruppenrückschreibens in der Berechtigungsverwaltung

In diesem Artikel erfahren Sie, wie Sie das Gruppenrückschreiben in der Berechtigungsverwaltung einrichten. Das Gruppenrückschreiben ist ein Feature, mit dem Sie Cloudgruppen mit Microsoft Entra Cloud Sync wieder in Ihre lokale Active Directory-Instanz schreiben können.

Einrichten des Gruppenrückschreibens in der Berechtigungsverwaltung

Um das Gruppenrückschreiben für Microsoft 365-Gruppen in Zugriffspaketen einzurichten, müssen die folgenden Voraussetzungen erfüllt sein:

• Aktivieren Sie das Gruppenrückschreiben im Microsoft Entra Admin Center.
• Die Organisationseinheit (OE), die zum Einrichten des Gruppenrückschreibens in der Microsoft Entra Cloud Sync-Konfiguration verwendet wird, ist vorhanden.
• Die Schritte zum Aktivieren des Gruppenrückschreibens für Microsoft Entra Cloud Sync wurden ausgeführt.

Mithilfe des Gruppenrückschreibens können Sie jetzt Sicherheitsgruppen synchronisieren, die Teil von Zugriffspaketen zum lokalen Active Directory sind. Führen Sie diese Schritte aus, um die Gruppen zu synchronisieren:

1. Erstellen einer Microsoft Entra Sicherheitsgruppe.

2. Legen Sie die Gruppe so fest, dass sie in das lokale Active Directory zurückgeschrieben wird. Anweisungen finden Sie unter Gruppenrückschreiben im Microsoft Entra Admin Center.

3. Fügen Sie die Gruppe zu einem Zugriffspaket als Ressourcenrolle hinzu. Einen Leitfaden dazu finden Sie unter Erstellen eines neuen Zugriffspakets.

4. Starten Sie „Active Directory-Benutzer und -Computer“, und warten Sie, bis die resultierende neue AD-Gruppe in der AD-Domäne erstellt wird. Wenn er vorhanden ist, notieren Sie den Distinguished Name, die Domäne, den Kontonamen und die SID der neuen AD-Gruppe.

5. Konfigurieren Sie die Anwendung so, dass sie die neue Gruppe verwendet, entweder durch Aktualisieren der Anwendung oder Hinzufügen der Gruppe als Mitglied einer vorhandenen Gruppe, wie unter Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance beschrieben.

6. Weisen Sie den Benutzer zum Zugriffspaket zu. Informationen zum direkten Zuweisen eines Benutzers finden Sie unter Anzeigen, Hinzufügen und Entfernen von Zuweisungen für ein Zugriffspaket.

7. Nachdem Sie dem Zugriffspaket einen Benutzer zugewiesen haben, vergewissern Sie sich, dass der Benutzer jetzt Mitglied der lokalen Gruppe ist, sobald der Microsoft Entra Cloud Sync-Zyklus abgeschlossen ist:

   1. Anzeigen der Mitgliedseigenschaft der Gruppe in der lokalen Organisationseinheit ODER
   2. Überprüfen des Mitglieds im Benutzerobjekt

   Hinweis

   Der standardmäßige Synchronisierungszyklus von Microsoft Entra Cloud Sync wird alle 30 Minuten ausgeführt. Möglicherweise müssen Sie bis zum nächsten Zyklus warten, um Ergebnisse lokal anzuzeigen. Sie können den Synchronisierungszyklus aber auch manuell ausführen, um die Ergebnisse schneller zu sehen.

8. Lassen Sie in Ihrer AD-Domänenüberwachung nur das gMSA-Konto zu, das den Bereitstellungs-Agent ausführt, um die Autorisierung zu haben, um die Mitgliedschaft in der neuen AD-Gruppe zu ändern.

Nächste Schritte

• Erstellen und Verwalten eines Ressourcenkatalogs in der Berechtigungsverwaltung
• Delegieren der Zugriffssteuerung an Zugriffspaket-Manager in der Berechtigungsverwaltung