Csoportos visszaírás a Microsoft Entra Cloud Sync használatával
Az 1.1.1370.0-s kiépítési ügynök kiadásával a felhőszinkronizálás mostantól képes csoportvisszaírót végezni. Ez a funkció azt jelenti, hogy a felhőszinkronizálás közvetlenül kiépítheti a csoportokat a helyi Active Directory környezetbe. Mostantól identitásszabályozási funkciókkal is szabályozhatja az AD-alapú alkalmazásokhoz való hozzáférést, például úgy, hogy belevesz egy csoportot egy jogosultságkezelési hozzáférési csomagba.
Fontos
A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek
A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.
Licenckövetelmények
A funkció használatához Microsoft Entra ID P1-licencek szükségesek. A követelményeknek megfelelő licenc megkereséséhez tekintse meg a Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása című témakört.
Általános követelmények
- Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
- Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.
Jegyzet
A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.
Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra
- A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
- Microsoft Entra Connect Sync a 2.2.8.0-s vagy újabb buildtel
- A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
- Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier
Támogatott csoportok és méretezési korlátok
A következők támogatottak:
- Csak a felhőben létrehozott biztonsági csoportok támogatottak
- Ezek a csoportok hozzárendelt vagy dinamikus tagsági csoportokkal rendelkezhetnek.
- Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
- A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
- Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
- Az 50 000 tagnál nagyobb csoportok nem támogatottak.
- A 150 000-nél több objektummal rendelkező bérlők nem támogatottak. Ez azt jelenti, hogy ha egy bérlő 150 000-t meghaladó felhasználók és csoportok kombinációjával rendelkezik, a bérlő nem támogatott.
- Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
- A Microsoft Entra ID és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.
További információk
Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.
- Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
- Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
- Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
- AzPremisesObjectIdentifier attribútumon a helyszíni felhasználók objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
- Ha a Microsoft Entra Connect Sync (2.2.8.0) használatával szinkronizálja a felhasználókat a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak a 2.2.8.0-s vagy újabb verziójának kell lennie.
- Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
- A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.
A Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyvei
A következő szakaszok a Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyveit ismertetik.
- A Microsoft Entra Connect Sync csoport v2 visszaírásának migrálása a Microsoft Entra Cloud Syncbe
- Helyi Active Directory-alapú alkalmazások (Kerberos) szabályozása Microsoft Entra ID-kezelés
A Microsoft Entra Connect Sync csoport v2 visszaírásának migrálása a Microsoft Entra Cloud Syncbe
Forgatókönyv: Csoportvisszaíró migrálása a Microsoft Entra Connect Sync (korábbi nevén Azure AD Connect) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Connect csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.
További információ: Microsoft Entra Connect Sync csoportvisszaíró V2 migrálása a Microsoft Entra Cloud Syncbe.
Helyi Active Directory-alapú alkalmazások (Kerberos) szabályozása Microsoft Entra ID-kezelés
Forgatókönyv: Helyszíni alkalmazások kezelése a felhőben kiépített és felügyelt Active Directory-csoportokkal. A Microsoft Entra Cloud Sync lehetővé teszi az alkalmazás-hozzárendelések teljes körű szabályozását az AD-ben, miközben kihasználja Microsoft Entra ID-kezelés funkciókat a hozzáféréssel kapcsolatos kérések szabályozásához és szervizeléséhez.
További információ: Helyi Active Directory-alapú alkalmazások szabályozása (Kerberos) Microsoft Entra ID-kezelés használatával.