Bagikan melalui

Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra

  • Artikel

Penting

Pratinjau publik Group Writeback v2 di Sinkronisasi Microsoft Entra Connect tidak akan lagi tersedia setelah 30 Juni 2024. Fitur ini akan dihentikan pada tanggal ini, dan Anda tidak akan lagi didukung di Connect Sync untuk memprovisikan grup keamanan cloud ke Direktori Aktif. Fitur ini akan terus beroperasi di luar tanggal penghentian; namun, ia tidak akan lagi menerima dukungan setelah tanggal ini dan dapat berhenti berfungsi kapan saja tanpa pemberitahuan.

Kami menawarkan fungsionalitas serupa di Microsoft Entra Cloud Sync yang disebut Provisi Grup ke Direktori Aktif yang dapat Anda gunakan alih-alih Group Writeback v2 untuk menyediakan grup keamanan cloud ke Direktori Aktif. Kami sedang berupaya meningkatkan fungsionalitas ini di Cloud Sync bersama dengan fitur baru lainnya yang kami kembangkan di Cloud Sync.

Pelanggan yang menggunakan fitur pratinjau ini di Connect Sync harus mengalihkan konfigurasi mereka dari Connect Sync ke Cloud Sync. Anda dapat memilih untuk memindahkan semua sinkronisasi hibrid Anda ke Cloud Sync (jika mendukung kebutuhan Anda). Anda juga dapat menjalankan Cloud Sync secara berdampingan dan hanya memindahkan provisi grup keamanan cloud ke Direktori Aktif ke Cloud Sync.

Untuk pelanggan yang memprovisikan grup Microsoft 365 ke Direktori Aktif, Anda dapat terus menggunakan Group Writeback v1 untuk kemampuan ini.

Anda dapat mengevaluasi pemindahan secara eksklusif ke Cloud Sync dengan menggunakan wizard sinkronisasi pengguna.

Skenario: Mengelola aplikasi lokal dengan grup Direktori Aktif yang disediakan dari dan dikelola di cloud. Microsoft Entra Cloud Sync memungkinkan Anda untuk sepenuhnya mengatur penetapan aplikasi di AD sambil memanfaatkan fitur Tata Kelola ID Microsoft Entra untuk mengontrol dan memulihkan permintaan terkait akses apa pun.

Dengan rilis agen provisi 1.1.1370.0, sinkronisasi cloud sekarang memiliki kemampuan untuk menyediakan grup langsung ke lingkungan Active Directory lokal Anda. Anda dapat menggunakan fitur tata kelola identitas untuk mengatur akses ke aplikasi berbasis AD, seperti dengan menyertakan grup dalam paket akses pengelolaan pemberian hak.

Gambar konseptual Provisi Grup Microsoft Entra Cloud Sync ke AD.

Tonton video tulis balik grup

Untuk gambaran umum yang bagus tentang provisi grup sinkronisasi cloud ke Direktori aktif dan apa yang dapat dilakukannya untuk Anda, lihat video di bawah ini.

Prasyarat

Prasyarat berikut diperlukan untuk menerapkan skenario ini.

  • Akun Microsoft Entra dengan setidaknya peran Administrator Identitas Hibrid.
  • Lingkungan Active Directory Domain Services lokal dengan sistem operasi Windows Server 2016 atau yang lebih baru.
    • Diperlukan untuk atribut Skema AD - msDS-ExternalDirectoryObjectId.
  • Agen provisi dengan build versi 1.1.1367.0 atau yang lebih baru.

Catatan

Izin ke akun layanan ditetapkan selama penginstalan bersih saja. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual menggunakan cmdlet PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Jika izin diatur secara manual, Anda perlu memastikan bahwa Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.

Izin ini tidak diterapkan ke objek AdminSDHolder secara default

Cmdlet Microsoft Entra provisioning agent gMSA PowerShell

  • Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
    • Diperlukan untuk pencarian katalog global untuk memfilter referensi keanggotaan yang tidak valid.
  • Microsoft Entra Connect dengan build versi 2.2.8.0 atau yang lebih baru.
    • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Microsoft Entra Connect.
    • Diperlukan untuk menyinkronkan AD:user:objectGUID ke Microsoft Entra ID:user:onPremisesObjectIdentifier.

Grup yang didukung

Untuk skenario ini, hanya grup berikut yang didukung:

  • Hanya grup Keamanan yang dibuat cloud yang didukung
  • Grup-grup ini harus memiliki keanggotaan yang ditetapkan, atau dinamis
  • Grup ini hanya dapat berisi pengguna lokal yang disinkronkan dan /atau grup keamanan yang dibuat cloud
  • Akun pengguna lokal yang disinkronkan dan merupakan anggota grup keamanan yang dibuat cloud ini, dapat berasal dari domain atau lintas domain yang sama, tetapi semuanya harus berasal dari forest yang sama
  • Grup-grup ini ditulis kembali dengan cakupan grup AD universal. Lingkungan lokal Anda harus mendukung cakupan grup universal
  • Grup yang lebih besar dari 50.000 anggota tidak didukung
  • Setiap grup berlapis anak langsung dihitung sebagai satu anggota dalam grup referensi

Skenario yang didukung

Bagian berikut membahas skenario yang didukung dengan provisi grup sinkronisasi cloud.

Mengonfigurasi skenario yang didukung

Jika Anda ingin mengontrol apakah pengguna dapat tersambung ke aplikasi Direktori Aktif yang menggunakan autentikasi Windows, Anda dapat menggunakan proksi aplikasi dan grup keamanan Microsoft Entra. Jika aplikasi memeriksa keanggotaan grup AD pengguna, melalui Kerberos atau LDAP, maka Anda dapat menggunakan provisi grup sinkronisasi cloud untuk memastikan pengguna AD memiliki keanggotaan grup tersebut sebelum pengguna mengakses aplikasi.

Bagian berikut membahas dua opsi skenario yang didukung dengan provisi grup sinkronisasi cloud. Opsi skenario dimaksudkan untuk memastikan pengguna yang ditetapkan ke aplikasi memiliki keanggotaan grup saat mereka mengautentikasi ke aplikasi.

  • Buat grup baru dan perbarui aplikasi, jika sudah ada, untuk memeriksa grup baru, atau
  • Buat grup baru dan perbarui grup yang ada, aplikasi sedang memeriksa, untuk menyertakan grup baru sebagai anggota

Sebelum memulai, pastikan Anda adalah administrator domain di domain tempat aplikasi diinstal. Pastikan Anda dapat masuk ke pengendali domain, atau memiliki alat Administrasi Server Jarak Jauh untuk administrasi Active Directory Domain Services (AD DS) yang diinstal pada PC Windows Anda.

Mengonfigurasi opsi grup baru

Dalam opsi skenario ini, Anda memperbarui aplikasi untuk memeriksa SID, nama, atau nama khusus grup baru yang dibuat oleh provisi grup sinkronisasi cloud. Skenario ini berlaku untuk:

  • Penyebaran untuk aplikasi baru yang terhubung ke AD DS untuk pertama kalinya.
  • Kohor baru pengguna yang mengakses aplikasi.
  • Untuk modernisasi aplikasi, untuk mengurangi dependensi pada grup AD DS yang ada. Aplikasi, yang saat ini memeriksa keanggotaan Domain Admins grup, perlu diperbarui untuk juga memeriksa grup AD yang baru dibuat juga.

Gunakan langkah-langkah berikut untuk aplikasi untuk menggunakan grup baru.

Membuat aplikasi dan grup

  1. Menggunakan pusat admin Microsoft Entra, buat aplikasi di MICROSOFT Entra ID yang mewakili aplikasi berbasis AD, dan konfigurasikan aplikasi untuk memerlukan penetapan pengguna.
  2. Jika Anda menggunakan proksi aplikasi untuk memungkinkan pengguna terhubung ke aplikasi, konfigurasikan proksi aplikasi.
  3. Buat grup keamanan baru di ID Microsoft Entra.
  4. Gunakan Provisi Grup ke AD untuk memprovisikan grup ini ke AD.
  5. Luncurkan Pengguna dan Komputer Direktori Aktif, dan tunggu grup AD baru yang dihasilkan dibuat di domain AD. Saat ada, rekam nama khusus, domain, nama akun, dan SID grup AD baru.

Mengonfigurasi aplikasi untuk menggunakan grup baru

  1. Jika aplikasi menggunakan AD melalui LDAP, konfigurasikan aplikasi dengan nama khusus grup AD baru. Jika aplikasi menggunakan AD melalui Kerberos, konfigurasikan aplikasi dengan SID, atau nama domain dan akun, dari grup AD baru.
  2. Membuat paket akses. Tambahkan aplikasi dari #1, grup keamanan dari #3, sebagai sumber daya dalam Paket Akses. Konfigurasikan kebijakan penugasan langsung dalam paket akses.
  3. Di Pengelolaan Pemberian Hak, tetapkan pengguna yang disinkronkan yang memerlukan akses ke aplikasi berbasis AD ke paket akses.
  4. Tunggu hingga grup AD baru diperbarui dengan anggota baru. Menggunakan Pengguna dan Komputer Direktori Aktif, konfirmasikan bahwa pengguna yang benar ada sebagai anggota grup.
  5. Dalam pemantauan domain AD Anda, izinkan hanya akun gMSA yang menjalankan agen provisi, otorisasi untuk mengubah keanggotaan di grup AD baru.

Anda sekarang dapat mengatur akses ke aplikasi AD melalui paket akses baru ini.

Mengonfigurasi opsi grup yang ada

Dalam opsi skenario ini, Anda menambahkan grup keamanan AD baru sebagai anggota grup berlapis dari grup yang sudah ada. Skenario ini berlaku untuk penyebaran untuk aplikasi yang memiliki dependensi hardcod pada nama akun grup, SID, atau nama khusus tertentu.

Menumpuk grup tersebut ke dalam grup AD yang ada akan memungkinkan:

  • Pengguna Microsoft Entra, yang ditetapkan oleh fitur tata kelola, lalu mengakses aplikasi, untuk memiliki tiket Kerberos yang sesuai. Tiket ini berisi SID grup yang ada. Berlapis diizinkan oleh aturan berlapis grup AD.

Jika aplikasi menggunakan LDAP dan mengikuti keanggotaan grup berlapis, aplikasi akan melihat pengguna Microsoft Entra memiliki grup yang ada sebagai salah satu keanggotaan mereka.

Menentukan kelayakan grup yang ada

  1. Luncurkan Pengguna dan Komputer Direktori Aktif, dan rekam nama, jenis, dan cakupan khusus grup AD yang ada yang digunakan oleh aplikasi.
  2. Jika grup yang ada adalah Domain Admins, , Domain Guests, Domain UsersEnterprise Admins, Enterprise Key Admins, Group Policy Creation Owners, Key AdminsProtected Users, , atau Schema Admins, maka Anda harus mengubah aplikasi untuk menggunakan grup baru, seperti yang dijelaskan di atas, karena grup ini tidak dapat digunakan oleh sinkronisasi cloud.
  3. Jika grup memiliki cakupan Global, ubah grup agar memiliki cakupan Universal. Grup global tidak dapat memiliki grup universal sebagai anggota.

Membuat aplikasi dan grup

  1. Di pusat admin Microsoft Entra, buat aplikasi di MICROSOFT Entra ID yang mewakili aplikasi berbasis AD, dan konfigurasikan aplikasi untuk memerlukan penetapan pengguna.
  2. Jika proksi aplikasi digunakan untuk memungkinkan pengguna terhubung ke aplikasi, maka konfigurasikan proksi aplikasi.
  3. Buat grup keamanan baru di ID Microsoft Entra.
  4. Gunakan Provisi Grup ke AD untuk memprovisikan grup ini ke AD.
  5. Luncurkan Pengguna dan Komputer Direktori Aktif, dan tunggu grup AD baru yang dihasilkan dibuat di domain AD, Saat ada, rekam nama khusus, domain, nama akun, dan SID grup AD baru.

Mengonfigurasi aplikasi untuk menggunakan grup baru

  1. Menggunakan Pengguna dan Komputer Direktori Aktif, tambahkan grup AD baru sebagai anggota grup AD yang sudah ada.
  2. Membuat paket akses. Tambahkan aplikasi dari #1, grup keamanan dari #3, sebagai sumber daya dalam Paket Akses. Konfigurasikan kebijakan penugasan langsung dalam paket akses.
  3. Di Pengelolaan Pemberian Hak, tetapkan pengguna yang disinkronkan yang memerlukan akses ke aplikasi berbasis AD ke paket akses, termasuk anggota pengguna dari grup AD yang ada yang masih memerlukan akses.
  4. Tunggu hingga grup AD baru diperbarui dengan anggota baru. Menggunakan Pengguna dan Komputer Direktori Aktif, konfirmasikan bahwa pengguna yang benar ada sebagai anggota grup.
  5. Menggunakan Pengguna dan Komputer Direktori Aktif, hapus anggota yang ada, selain dari grup AD baru, dari grup AD yang sudah ada.
  6. Dalam pemantauan domain AD Anda, izinkan hanya akun gMSA yang menjalankan agen provisi, otorisasi untuk mengubah keanggotaan di grup AD baru.

Anda kemudian dapat mengatur akses ke aplikasi AD melalui paket akses baru ini.

Pemecahan Masalah

Pengguna yang merupakan anggota grup AD baru, dan berada di PC Windows yang sudah masuk ke domain AD, mungkin memiliki tiket yang sudah ada yang dikeluarkan oleh pengendali domain AD yang tidak menyertakan keanggotaan grup AD baru. Ini karena tiket mungkin telah dikeluarkan sebelum provisi grup sinkronisasi cloud yang menambahkannya ke grup AD baru. Pengguna tidak akan dapat menunjukkan tiket untuk akses ke aplikasi, sehingga harus menunggu tiket kedaluwarsa dan tiket baru dikeluarkan, atau menghapus menyeluruh tiket mereka, keluar dan masuk kembali ke domain. Lihat perintah klist untuk detail selengkapnya.

Pelanggan tulis balik grup Microsoft Entra Connect v2 yang sudah ada

Jika Anda menggunakan tulis balik grup Microsoft Entra Connect v2, Anda harus pindah ke provisi sinkronisasi cloud ke AD sebelum Anda dapat memanfaatkan provisi grup sinkronisasi cloud. Lihat Memigrasikan tulis balik grup Sinkronisasi Microsoft Entra Connect V2 ke Microsoft Entra Cloud Sync

Langkah berikutnya