Bagikan melalui

Mengatur aplikasi berbasis Active Directory Domain Services lokal (Kerberos) menggunakan Microsoft Entra ID Governance

Penting

Pratinjau Group Writeback v2 di Microsoft Entra Connect Sync telah dihentikan dan tidak lagi didukung.

Anda dapat menggunakan Microsoft Entra Cloud Sync untuk memprovisikan grup keamanan cloud ke Active Directory Domain Services (AD DS) lokal.

Jika Anda menggunakan Group Writeback v2 di Sinkronisasi Microsoft Entra Connect, Anda harus memindahkan klien sinkronisasi Anda ke Microsoft Entra Cloud Sync. Untuk memeriksa apakah Anda memenuhi syarat untuk pindah ke Microsoft Entra Cloud Sync, gunakan asisten sinkronisasi pengguna.

Jika Anda tidak dapat menggunakan Microsoft Cloud Sync seperti yang direkomendasikan oleh wizard, Anda dapat menjalankan Microsoft Entra Cloud Sync secara berdampingan dengan Sinkronisasi Microsoft Entra Connect. Dalam hal ini, Anda mungkin menjalankan Microsoft Entra Cloud Sync hanya untuk memprovisikan grup keamanan cloud ke AD DS lokal.

Jika Anda memprovisikan grup Microsoft 365 ke AD DS, Anda dapat terus menggunakan Group Writeback v1.

Artikel ini menguraikan skenario untuk menggunakan Microsoft Entra ID Governance untuk aplikasi lokal yang terintegrasi dengan Active Directory Domain Services (AD DS).

Skenario tercakup: Kelola aplikasi lokal dengan grup Direktori Aktif yang disediakan dari dan dikelola di cloud. Microsoft Entra Cloud Sync memungkinkan Anda untuk sepenuhnya mengatur penetapan aplikasi di AD DS sambil memanfaatkan fitur Microsoft Entra ID Governance untuk mengontrol dan memulihkan permintaan terkait akses apa pun.

Untuk informasi selengkapnya tentang cara mengatur aplikasi yang tidak terintegrasi dengan AD DS, lihat Mengatur akses untuk aplikasi di lingkungan Anda.

Skenario yang didukung

Jika Anda ingin mengontrol apakah pengguna dapat tersambung ke aplikasi Direktori Aktif yang menggunakan autentikasi Windows, Anda dapat menggunakan proksi aplikasi dan grup keamanan Microsoft Entra. Jika aplikasi memeriksa keanggotaan grup AD DS pengguna dengan menggunakan Kerberos atau Lightweight Directory Access Protocol (LDAP), maka Anda dapat menggunakan provisi grup Cloud Sync untuk memastikan pengguna memiliki keanggotaan grup tersebut sebelum mereka mengakses aplikasi.

Bagian berikut membahas tiga opsi yang didukung dengan provisi grup Cloud Sync. Opsi skenario dimaksudkan untuk memastikan pengguna yang ditetapkan ke aplikasi memiliki keanggotaan grup saat mereka mengautentikasi ke aplikasi.

  • Konversi Sumber Otoritas (SOA) grup di AD DS yang disinkronkan ke ID Microsoft Entra dengan menggunakan Sinkronisasi Microsoft Entra Connect atau Microsoft Entra Cloud Sync.

  • Buat grup baru dan perbarui aplikasi, jika sudah ada, untuk memeriksa grup baru

  • Buat grup baru dan perbarui grup yang sudah ada, aplikasi diperiksa, untuk menyertakan grup baru sebagai anggota

Sebelum memulai, pastikan Anda adalah administrator domain di domain tempat aplikasi diinstal. Pastikan Anda dapat masuk ke pengontrol domain, atau memasang alat Administrasi Server Jarak Jauh untuk administrasi AD DS di PC Windows Anda.

MICROSOFT Entra ID memiliki layanan proksi aplikasi yang memungkinkan pengguna mengakses aplikasi lokal dengan masuk dengan akun Microsoft Entra mereka. Untuk informasi selengkapnya tentang cara mengonfigurasi proksi aplikasi, lihat Menambahkan aplikasi lokal untuk akses jarak jauh melalui proksi aplikasi di ID Microsoft Entra.

Prasyarat

Prasyarat berikut diperlukan untuk menerapkan skenario ini:

  • Akun Microsoft Entra dengan setidaknya peran Pengelola Identitas Hibrida.

  • Lingkungan Active Directory Domain Services (AD DS) lokal dengan sistem operasi Windows Server 2016 atau yang lebih baru.

    • Diperlukan untuk atribut skema AD DS - msDS-ExternalDirectoryObjectId.

  • Agen provisioning dengan build versi 1.1.1367.0 atau yang lebih baru.

    Catatan

    Izin untuk akun layanan hanya ditetapkan selama penginstalan bersih. Jika Anda memutakhirkan dari versi sebelumnya, tetapkan izin secara manual dengan menggunakan PowerShell:

    $credential = Get-Credential

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

    Pastikan Anda mengizinkan Baca, Tulis, Buat, dan Hapus semua properti untuk semua grup dan pengguna turunan.

    Izin ini secara default tidak diterapkan pada objek AdminSDHolder oleh cmdlet PowerShell agen penyediaan Microsoft Entra gMSA.

  • Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 untuk Lightweight Directory Access Protocol (LDAP) dan TCP/3268 untuk Katalog Global.

    • Diperlukan untuk pencarian Katalog Global untuk memfilter referensi keanggotaan yang tidak valid.

  • Microsoft Entra Connect dengan build versi 2.2.8.0 atau yang lebih baru.

    • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Microsoft Entra Connect.
    • Diperlukan untuk menyinkronkan AD DS:user:objectGUID ke Microsoft Entra ID:user:onPremisesObjectIdentifier.

Untuk informasi selengkapnya, lihat grup yang didukung sinkronisasi cloud dan batas skala.

Grup yang didukung

Untuk skenario ini, hanya grup berikut yang didukung:

  • Hanya grup keamanan yang dibuat oleh cloud atau yang dikonversi dari Sumber Otoritas (SOA) yang didukung.
  • Grup keanggotaan yang ditetapkan atau dinamis.
  • Berisi pengguna yang disinkronkan secara lokal atau grup keamanan yang dibuat di cloud.
  • Pengguna lokal yang disinkronkan yang merupakan anggota grup keamanan yang dibuat cloud dapat berasal dari domain yang sama atau domain lain dari forest yang sama
  • Forest harus mendukung grup Universal karena grup keamanan yang dibuat cloud telah ditulis kembali ke AD DS dengan cakupan grup Universal
  • Tidak lebih dari 50.000 anggota
  • Setiap grup anak langsung dihitung sebagai satu anggota dalam kelompok rujukan

Pertimbangan dalam mengonfigurasi ulang grup ke AD DS

Jika Anda memprovisikan kembali grup ke AD DS setelah mengonversi Group SOA, provisikan kembali ke unit organisasi (OU) aslinya. Praktik ini memastikan bahwa Microsoft Entra Cloud Sync mengenali grup yang dikonversi sebagai grup yang sama yang sudah ada di AD DS.

Cloud Sync mengenali grup yang dikonversi karena kedua grup memiliki pengidentifikasi keamanan (SID) yang sama. Jika Anda memprovisikan grup ke unit organisasi yang berbeda, grup tersebut mempertahankan SID yang sama, dan Microsoft Entra Cloud Sync memperbarui grup yang ada, tetapi Anda mungkin mengalami masalah dengan daftar kontrol akses. Izin tidak selalu dapat ditransfer dengan lancar antar kontainer dan hanya izin eksplisit yang ditetapkan untuk grup. Izin yang diwariskan dari izin OU asli atau Objek Kebijakan Grup yang diterapkan ke OU tidak disertakan dengan grup.

Sebelum Anda mengonversi SOA, pertimbangkan langkah-langkah yang direkomendasikan berikut:

  1. Pindahkan grup yang Anda rencanakan untuk mengonversi SOA ke unit organisasi tertentu jika memungkinkan. Jika Anda tidak dapat memindahkan grup, atur jalur OU untuk setiap grup ke jalur OU asli sebelum Anda mengonversi SOA grup. Untuk informasi selengkapnya tentang cara mengatur jalur OU asli, lihat Mempertahankan dan menggunakan OU asli untuk provisi grup.
  2. Lakukan perubahan pada SOA.
  3. Saat memprovisikan grup ke AD DS, atur pemetaan atribut seperti yang dijelaskan di Pertahankan dan gunakan OU asli untuk provisi grup.
  4. Lakukan provisi sesuai permintaan terlebih dahulu sebelum mengaktifkan provisi untuk grup lainnya.

Untuk informasi selengkapnya tentang cara mengonfigurasi lokasi target untuk grup yang disediakan ke AD DS, lihat Kontainer target filter cakupan.

Mengatur aplikasi berbasis AD DS lokal menggunakan Group SOA

Dalam skenario ini, ketika grup di domain AD DS digunakan oleh aplikasi, Anda dapat mengonversi SOA grup ke Microsoft Entra. Kemudian Anda dapat memprovisikan perubahan keanggotaan ke grup yang dibuat di Microsoft Entra, seperti melalui pengelolaan pemberian hak atau tinjauan akses, kembali ke AD DS dengan menggunakan Microsoft Entra Cloud Sync. Dalam model ini, Anda tidak perlu mengubah aplikasi atau membuat grup baru.

Cuplikan layar diagram konseptual pengalihan ke Sumber Otoritas Grup.

Gunakan langkah-langkah berikut untuk aplikasi untuk menggunakan opsi Soa Grup.

Membuat aplikasi dan mengonversi SOA

  1. Menggunakan pusat admin Microsoft Entra, buat aplikasi di ID Microsoft Entra yang mewakili aplikasi berbasis AD DS, dan konfigurasikan aplikasi untuk memerlukan penetapan pengguna.
  2. Pastikan bahwa grup AD DS yang Anda rencanakan untuk dikonversi sudah disinkronkan ke Microsoft Entra, dan bahwa keanggotaan grup AD DS hanya pengguna dan secara opsional grup lain yang juga disinkronkan ke Microsoft Entra. Jika grup atau anggota grup apa pun tidak diwakili di Microsoft Entra, Anda tidak dapat mengonversi SOA grup.
  3. Konversikan SOA ke grup cloud yang sudah disinkronkan.
  4. Setelah Anda mengonversi SOA, gunakan Group Provisioning to AD DS untuk memprovisikan perubahan berikutnya pada grup ini kembali ke AD DS. Setelah provisi grup diaktifkan, Microsoft Entra Cloud Sync mengakui bahwa grup yang dikonversi adalah grup yang sama dengan yang sudah ada di AD DS, karena kedua grup memiliki pengidentifikasi keamanan (SID) yang sama. Memprovisikan grup cloud yang dikonversi ke AD DS kemudian memperbarui grup AD DS yang ada alih-alih membuat yang baru.

Mengonfigurasi fitur Microsoft Entra untuk mengelola keanggotaan grup yang dikonversi SOA

  1. Buat paket akses. Tambahkan aplikasi dan grup keamanan dari langkah sebelumnya sebagai sumber daya dalam paket akses. Konfigurasikan kebijakan penugasan langsung dalam paket akses.
  2. Di Pengelolaan Pemberian Hak, tetapkan pengguna yang disinkronkan yang memerlukan akses ke aplikasi berbasis AD DS ke paket akses.
  3. Tunggu Hingga Microsoft Entra Cloud Sync menyelesaikan sinkronisasi berikutnya. Dengan menggunakan Pengguna dan Komputer Active Directory, konfirmasikan bahwa pengguna yang benar ada sebagai anggota dari grup.
  4. Dalam pemantauan domain AD DS Anda, izinkan hanya akun gMSA yang menjalankan agen provisi, otorisasi untuk mengubah keanggotaan di grup AD DS baru.

Untuk informasi selengkapnya, lihat Memprioritaskan pendekatan cloud-first: Mengonversi Sumber Otoritas Grup ke cloud (Pratinjau).

Mengatur AD DS lokal dengan grup keamanan cloud yang baru disediakan

Dalam skenario ini, Anda memperbarui aplikasi untuk memeriksa SID, nama, atau nama lengkap grup baru yang dibuat melalui penyediaan grup Cloud Sync. Skenario ini berlaku untuk:

  • Penyebaran aplikasi baru yang terhubung ke domain Active Directory Domain Services (AD DS) untuk yang pertama kalinya.
  • Kelompok pengguna baru yang mengakses aplikasi.
  • Untuk modernisasi aplikasi, untuk mengurangi dependensi pada grup AD DS yang ada.

Aplikasi yang saat ini memeriksa keanggotaan Domain Admins grup perlu diperbarui untuk juga memeriksa grup AD DS yang baru dibuat.

Ikuti langkah-langkah di bagian berikutnya untuk mengonfigurasi aplikasi untuk menggunakan grup baru.

Membuat aplikasi dan grup

  1. Menggunakan pusat admin Microsoft Entra, buat aplikasi di MICROSOFT Entra ID yang mewakili aplikasi berbasis AD DS dan konfigurasikan aplikasi untuk memerlukan penetapan pengguna.
  2. Buat grup keamanan baru di ID Microsoft Entra.
  3. Gunakan Provisi Grup ke AD DS untuk memprovisikan grup ini ke AD DS.
  4. Aktifkan Pengguna dan Komputer Direktori Aktif dan tunggu hingga grup AD DS baru yang dihasilkan dibuat di dalam domain AD DS. Jika ada, catat nama yang dibedakan, domain, nama akun, dan SID grup AD DS baru.

Mengonfigurasi aplikasi untuk menggunakan grup baru

  1. Jika aplikasi menggunakan AD DS melalui LDAP, konfigurasikan aplikasi dengan nama khusus grup AD DS baru. Jika aplikasi menggunakan AD DS melalui Kerberos, konfigurasikan aplikasi dengan SID atau nama domain dan akun grup AD DS baru.
  2. Buat paket akses. Tambahkan aplikasi dan grup keamanan dari langkah sebelumnya sebagai sumber daya dalam paket akses. Konfigurasikan kebijakan penugasan langsung dalam paket akses.
  3. Di Pengelolaan Pemberian Hak, tetapkan pengguna yang disinkronkan yang memerlukan akses ke aplikasi berbasis AD DS ke paket akses.
  4. Tunggu hingga grup AD DS baru diperbarui dengan anggota baru. Dengan menggunakan Pengguna dan Komputer Active Directory, konfirmasikan bahwa pengguna yang benar ada sebagai anggota dari grup.
  5. Dalam pemantauan domain AD DS Anda, izinkan hanya akun gMSA yang menjalankan otorisasi agen provisi untuk mengubah keanggotaan di grup AD DS baru.

Anda sekarang dapat mengatur akses ke aplikasi AD DS melalui paket akses baru ini.

Mengonfigurasi opsi grup yang sudah ada

Dalam opsi skenario ini, Anda menambahkan grup keamanan AD DS baru sebagai anggota grup berlapis dari grup yang sudah ada. Skenario ini berlaku untuk penyebaran aplikasi yang memiliki dependensi tertanam langsung pada nama akun grup tertentu, SID, atau nama khusus.

Menggabungkan grup tersebut ke dalam grup AD DS aplikasi yang sudah ada memungkinkan:

  • Pengguna Microsoft Entra yang ditetapkan melalui fitur tata kelola dan kemudian mengakses aplikasi untuk mendapatkan tiket Kerberos yang sesuai. Tiket ini berisi SID dari grup yang sudah ada. Pepenjaraan diperbolehkan sesuai aturan pemaduan grup AD DS.

Jika aplikasi menggunakan LDAP dan mengikuti keanggotaan grup berlapis, aplikasi akan melihat bahwa pengguna Microsoft Entra memiliki grup yang ada sebagai salah satu keanggotaan mereka.

Menentukan kelayakan grup yang ada

  1. Luncurkan Pengguna dan Komputer Direktori Aktif dan rekam nama, jenis, dan cakupan khusus grup AD DS yang ada yang digunakan oleh aplikasi.
  2. Jika grup yang ada adalah Domain Admins, , Domain Guests, Domain UsersEnterprise Admins, Enterprise Key Admins, Group Policy Creation Owners, Key Admins, Protected Users, atau Schema Admins, maka Anda perlu mengubah aplikasi untuk menggunakan grup baru seperti yang dijelaskan di atas, karena grup ini tidak dapat digunakan oleh sinkronisasi cloud.
  3. Jika grup memiliki cakupan Global, ubah grup agar memiliki cakupan Universal. Grup global tidak dapat memiliki grup universal sebagai anggota.

Membuat aplikasi dan grup

  1. Di pusat admin Microsoft Entra, buat aplikasi di MICROSOFT Entra ID yang mewakili aplikasi berbasis AD DS dan konfigurasikan aplikasi untuk memerlukan penugasan pengguna.
  2. Buat grup keamanan baru di ID Microsoft Entra.
  3. Gunakan Provisi Grup ke AD DS untuk memprovisikan grup ini ke AD DS.
  4. Aktifkan Pengguna dan Komputer Direktori Aktif dan tunggu hingga grup AD DS baru yang dihasilkan dibuat di dalam domain AD DS. Jika ada, catat nama yang dibedakan, domain, nama akun, dan SID grup AD DS baru.

Mengonfigurasi aplikasi untuk menggunakan grup baru

  1. Menggunakan Pengguna dan Komputer Direktori Aktif, tambahkan grup AD DS baru sebagai anggota grup AD DS yang ada.
  2. Buat paket akses. Tambahkan aplikasi dari langkah #1 dan grup keamanan dari langkah #3 seperti yang dijelaskan di bagian Buat aplikasi dan grup di atas sebagai sumber daya dalam Paket Akses. Konfigurasikan kebijakan penugasan langsung dalam paket akses.
  3. Di Pengelolaan Pemberian Hak, tetapkan pengguna yang disinkronkan yang memerlukan akses ke aplikasi berbasis AD DS ke paket akses termasuk anggota pengguna dari grup AD DS yang ada yang masih memerlukan akses.
  4. Tunggu hingga grup AD DS baru diperbarui dengan anggota baru. Dengan menggunakan Pengguna dan Komputer Active Directory, konfirmasikan bahwa pengguna yang benar ada sebagai anggota dari grup.
  5. Menggunakan Pengguna dan Komputer Active Directory, hapus anggota yang ada, kecuali grup AD DS yang baru, dari grup AD DS yang ada.
  6. Dalam pemantauan domain AD DS Anda, izinkan hanya akun gMSA yang menjalankan otorisasi agen provisi untuk mengubah keanggotaan di grup AD DS baru.

Kemudian Anda dapat mengatur akses ke aplikasi AD DS dengan menggunakan paket akses baru.

Memecahkan masalah akses aplikasi

Pengguna dalam grup AD DS baru yang masuk ke perangkat yang tergabung dalam domain mungkin memiliki tiket dari pengendali domain yang tidak menyertakan keanggotaan dalam grup AD DS baru tersebut. Tiket mungkin dikeluarkan sebelum Cloud Sync menetapkan pengguna ke grup AD DS baru. Pengguna tidak dapat menggunakan tiket untuk akses ke aplikasi. Mereka harus menunggu hingga tiket kedaluwarsa dan tiket baru diterbitkan. Atau mereka harus menghapus tiket mereka, keluar, lalu masuk kembali ke domain. Untuk informasi selengkapnya, lihat klist.

Pelanggan yang sudah menggunakan penulisan ulang grup Microsoft Entra Connect v2

Jika Anda menggunakan fitur tulis balik grup Microsoft Entra Connect v2, Anda perlu beralih ke penyediaan Sinkronisasi Cloud ke AD DS sebelum dapat memanfaatkan penyediaan grup Sinkronisasi Cloud. Untuk informasi selengkapnya, lihat Migrasikan penulisan ulang grup Sinkronisasi Microsoft Entra Connect V2 ke Microsoft Entra Cloud Sync.

Konten terkait

  • Last updated on