Csoportos visszaírás a Microsoft Entra Cloud Sync használatával

Az 1.1.1370.0-s kiépítési ügynök kiadásával a felhőszinkronizálás mostantól képessége van csoportvisszaállítást végezni. Ez a funkció azt jelenti, hogy a felhőszinkronizálás közvetlenül kiépítheti a csoportokat a helyi Active Directory környezetbe. Mostantól identitásszabályozási funkciókkal is szabályozhatja az AD-alapú alkalmazásokhoz való hozzáférést, például úgy, hogy belevesz egy csoportot egy jogosultságkezelési hozzáférési csomagba.

Fontos

A Microsoft Entra Connect Sync Csoportvisszaíró v2 bétaverziója elavult, és már nem támogatott.

A Microsoft Entra Cloud Sync használatával felhőbiztonsági csoportokat építhet ki a helyszíni Active Directory Domain Services (AD DS) számára.

Ha csoportvisszaíró v2-t használ a Microsoft Entra Connect Syncben, a szinkronizálási ügyfelet át kell helyeznie a Microsoft Entra Cloud Syncbe. Annak ellenőrzéséhez, hogy jogosult-e a Microsoft Entra Cloud Syncre való áttérésre, használja a felhasználói szinkronizálási varázslót.

Ha nem tudja használni a Microsoft Cloud Syncet a varázsló által javasolt módon, a Microsoft Entra Cloud Syncet egymás mellett futtathatja a Microsoft Entra Connect Sync szolgáltatással. Ebben az esetben előfordulhat, hogy a Microsoft Entra Cloud Syncet csak a helyszíni AD DS felhőbiztonsági csoportjainak kiépítéséhez futtatja.

Ha Microsoft 365-csoportokat épít ki az AD DS-be, továbbra is használhatja a Csoportvisszaíró v1-et.

Microsoft Entra-azonosító kiépítése az Active Directory Domain Services számára – Előfeltételek

A következő előfeltételek szükségesek az Active Directory Domain Services (AD DS) kiépítési csoportjainak implementálásához.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. A követelményeknek megfelelő licenc megkereséséhez tekintse meg a Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása című témakört.

Általános követelmények

Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
Helyszíni AD DS-séma az msDS-ExternalDirectoryObjectId attribútummal, amely a Windows Server 2016-ban és újabb verziókban érhető el.
Létesítési ügynök az 1.1.3730.0-s vagy újabb verzióval.

Megjegyzés

A szolgáltatásfiók engedélyeit csak a tiszta telepítés során rendelik hozzá. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell használatával:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyek manuálisan vannak beállítva, az összes leszármazott csoport és felhasználói objektum összes tulajdonságát hozzá kell rendelnie olvasáshoz, íráshoz, létrehozáshoz és törléshez.

Ezek az engedélyek alapértelmezés szerint nem lesznek alkalmazva az AdminSDHolder-objektumokra. További információkért lásd: Microsoft Entra provisioning agent gMSA PowerShell-parancsmagok.

A kiépítési ügynököt Windows Server 2022, Windows Server 2019 vagy Windows Server 2016 rendszert futtató kiszolgálón kell telepíteni.
A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
Microsoft Entra Connect Sync a 2.22.8.0 verziójú builddel
- A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
- A AD DS:user:objectGUIDAAD DS:user:onPremisesObjectIdentifier szinkronizálásához szükséges

Active Directoryhoz tartozó ellátási csoportok mérethatárai

Az Active Directory-szolgáltatás csoportkiépítésének teljesítményét befolyásolja a bérlő mérete, valamint az Active Directoryba való kiépítés hatókörében lévő csoportok és tagságok száma. Ez a szakasz útmutatást nyújt annak megállapításához, hogy a GPAD támogatja-e a méretezési követelményt, és hogyan választhatja ki a megfelelő csoport hatókörkezelési módot a gyorsabb kezdeti és változásszinkronizálási ciklusok eléréséhez.

Mi nem támogatott?

Az 50 000-nél nagyobb csoportok nem támogatottak.
Nem támogatott az "Összes biztonsági csoport" hatókör-szűrés használata attribútumhatókör-szűrés alkalmazása nélkül.

Méretezési korlátok

Hatókörkezelési mód	Hatókörön belüli csoportok száma	Tagsági hivatkozások száma (csak közvetlen tagok esetén)	Jegyzetek
"Kijelölt biztonsági csoportok" mód	Legfeljebb 10 000 csoport. A Microsoft Entra portál CloudSync panelje csak 999 csoport kiválasztását és legfeljebb 999 csoport megjelenítését teszi lehetővé. Ha több mint 1000 csoportot kell hozzáadnia a hatókörhöz, tekintse meg a kibontott csoportválasztást API-val.	A hatókörben lévő összes csoport legfeljebb 250 000 tagot hozhat létre.	Használja ezt a hatókörkezelési módot, ha a bérlő túllépi ezen korlátok bármelyikét 1. A bérlő több mint 200 ezer felhasználóval rendelkezik 2. A bérlő több mint 40 000 csoportból áll 3. A bérlő több mint 1M-csoporttagságokkal rendelkezik.
"Minden biztonsági csoport" mód legalább egy attribútum hatókörszűrővel.	Legfeljebb 20 000 csoport.	Legfeljebb 500 ezer teljes tag a hatókör összes csoportjában.	Ezt a hatókörkezelési módot akkor használja, ha a bérlő megfelel az alábbi korlátoknak: 1. A bérlő kevesebb mint 200 ezer felhasználóval rendelkezik 2. A bérlő kevesebb mint 40 EZER csoportból áll 3. A bérlő 1M-nél kevesebb csoporttagsággal rendelkezik.

Mi a teendő, ha túllépi a korlátokat?

Az ajánlott határértékek túllépése lelassítja a kezdeti és a delta szinkronizálást, ami szinkronizálási hibákat okozhat. Ha ez történik, kövesse az alábbi lépéseket:

Túl sok csoport vagy csoporttag a "Kijelölt biztonsági csoportok" hatókörkezelési módban:

Csökkentse a hatókörön belüli csoportok számát (nagyobb értékű csoportokat célozva meg), vagy ossza meg az erőforrások kiosztását több különálló, különböző hatókörű feladatokra.

Túl sok csoport vagy csoporttag a "Minden biztonsági csoport" hatókörkezelési módban:

A kijelölt biztonsági csoportok hatókörkezelési módjának használata az ajánlott módon.

Egyes csoportok száma meghaladja az 50 ezret:

Több csoportra oszthatja fel a tagságot, vagy szakaszos csoportokat fogadhat el (például régió vagy üzleti egység szerint), hogy az egyes csoportokat a korlát alatt tartsa.

Bővített csoportválasztás API-val

Ha több mint 999 csoportot kell kiválasztania, az AppRoleAssignment hozzáadása egy szolgáltatási felelőshöz API-hívást kell használnia.

Az API-hívásokra a következő példa látható:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

principalId: Csoportobjektum-azonosító.
resourceId: A feladat szolgáltatásnév-azonosítója.
appRoleId: Az erőforrás szerviz főfelhasználó által megadott alkalmazásszerepkör azonosítója.

Az alábbi táblázat a felhőkhöz készült alkalmazásszerepkör-azonosítók listáját tartalmazza:

Felhő	appRoleId (alkalmazás szerepkör azonosító)
Public	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

További információ

Az alábbiakban további szempontokat érdemes figyelembe venni, amikor csoportokat épít ki az AD DS-be.

Az AD DS-nek a Cloud Sync használatával kiépített csoportok csak helyszíni szinkronizált felhasználókat vagy más felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD DS-környezetben található megfelelő objectGUID-vel .
A helyszíni felhasználói objectGUID attribútum szinkronizálható egy felhőfelhasználó onPremisesObjectIdentifier attribútumával a szinkronizáló kliens használatával.
Csak a globális Microsoft Entra ID-bérlők konfigurálhatnak az Entra ID-ből az AD DS-be. A B2C típusú bérlők nem támogatottak.
A csoportellátási feladat ütemezés szerint futtatott és 20 percenként indul.

A Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyvei

A következő szakaszok a Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyveit ismertetik.

A Microsoft Entra Connect Sync csoport visszaírásának V2 migrálása a Microsoft Entra Cloud Syncbe
Helyszíni Active Directory-alapú alkalmazások (Kerberos) szabályozása a Microsoft Entra ID Governance használatával

A Microsoft Entra Connect Sync V2 csoport visszaírásának migrálása a Microsoft Entra Cloud Syncbe.

Forgatókönyv: Csoportos visszaírás migrálása a Microsoft Entra Connect Sync (korábban Azure AD Connect) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Connect csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.

További információ: Microsoft Entra Connect Sync csoportvisszaíró V2 migrálása a Microsoft Entra Cloud Syncbe.

Helyi Active Directory-alapú alkalmazások (Kerberos) irányítása Microsoft Entra ID felügyelettel

Forgatókönyv: Helyszíni alkalmazások kezelése a felhőből kiépített és felügyelt Active Directory-csoportokkal. A Microsoft Entra Cloud Sync lehetővé teszi az alkalmazás-hozzárendelések teljes körű szabályozását az AD-ben, miközben kihasználja Microsoft Entra ID-kezelés funkciókat a hozzáféréssel kapcsolatos kérések szabályozásához és szervizeléséhez.

További információ: Helyszíni Active Directory-alapú alkalmazások szabályozása (Kerberos) a Microsoft Entra ID Governance használatával.

Következő lépések

Visszacsatolás

Hasznos volt ez az oldal?

Last updated on 2025-12-02