Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dengan rilis agen provisi 1.1.1370.0, sinkronisasi cloud sekarang memiliki kemampuan untuk melakukan penulisan balik grup. Fitur ini berarti bahwa sinkronisasi cloud dapat memprovisikan grup langsung ke lingkungan Active Directory lokal Anda. Sekarang Anda juga dapat menggunakan fitur tata kelola identitas untuk mengatur akses ke aplikasi berbasis AD, seperti dengan menyertakan grup dalam paket akses pengelolaan pemberian hak.
Penting
Pratinjau Group Writeback v2 di Microsoft Entra Connect Sync tidak digunakan lagi dan tidak lagi didukung.
Anda dapat menggunakan Microsoft Entra Cloud Sync untuk memprovisikan grup keamanan cloud ke Active Directory Domain Services (AD DS) lokal.
Jika Anda menggunakan Group Writeback v2 di Sinkronisasi Microsoft Entra Connect, Anda harus memindahkan klien sinkronisasi anda ke Microsoft Entra Cloud Sync. Untuk memeriksa apakah Anda memenuhi syarat untuk pindah ke Microsoft Entra Cloud Sync, gunakan wizard sinkronisasi pengguna.
Jika Anda tidak dapat menggunakan Microsoft Cloud Sync seperti yang direkomendasikan oleh wizard, Anda dapat menjalankan Microsoft Entra Cloud Sync secara berdampingan dengan Sinkronisasi Microsoft Entra Connect. Dalam hal ini, Anda mungkin menjalankan Microsoft Entra Cloud Sync hanya untuk memprovisikan grup keamanan cloud ke AD DS lokal.
Jika Anda memprovisikan grup Microsoft 365 ke AD DS, Anda dapat terus menggunakan Tulis Balik Grup v1.
Memprovisikan ID Microsoft Entra ke Active Directory Domain Services - Prasyarat
Prasyarat berikut diperlukan untuk menerapkan grup provisi ke Active Directory Domain Services (AD DS).
Persyaratan lisensi
Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur ID Microsoft Entra yang tersedia secara umum.
Persyaratan umum
- Akun Microsoft Entra dengan setidaknya peran Pengelola Identitas Hibrida.
- Skema AD DS lokal dengan atribut msDS-ExternalDirectoryObjectId , yang tersedia di Windows Server 2016 dan yang lebih baru.
- Agen provisi dengan build versi 1.1.3730.0 atau yang lebih baru.
Catatan
Izin ke akun layanan tersebut ditetapkan hanya selama penginstalan bersih. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual dengan menggunakan PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Jika izin diatur secara manual, Anda perlu menetapkan Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.
Izin ini tidak diterapkan ke objek AdminSDHolder secara default. Untuk informasi selengkapnya, lihat cmdlet Microsoft Entra provisioning agent gMSA PowerShell.
- Agen provisi harus diinstal pada server yang menjalankan Windows Server 2022, Windows Server 2019, atau Windows Server 2016.
- Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
- Diperlukan untuk pencarian Katalog Global untuk memfilter referensi keanggotaan yang tidak valid
- Sinkronisasi Microsoft Entra Connect dengan build versi 2.22.8.0
- Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Sinkronisasi Microsoft Entra Connect
- Diperlukan untuk menyinkronkan
AD DS:user:objectGUIDkeAAD DS:user:onPremisesObjectIdentifier
Batas skala untuk Grup Provisioning ke Active Directory
Performa fitur Provisi Grup ke Direktori Aktif dipengaruhi oleh ukuran penyewa dan jumlah grup dan keanggotaan yang berada dalam cakupan provisi ke Direktori Aktif. Bagian ini memberikan panduan tentang cara menentukan apakah GPAD mendukung persyaratan skala Anda dan cara memilih mode cakupan grup yang tepat untuk mencapai siklus sinkronisasi awal dan delta yang lebih cepat.
Apa yang tidak didukung?
- Grup yang lebih besar dari anggota 50K tidak didukung.
- Penggunaan cakupan "Semua grup keamanan" tanpa menerapkan pemfilteran cakupan atribut tidak didukung.
Pembatasan skala
| Mode Penetapan Cakupan | Jumlah grup dalam cakupan | Jumlah tautan keanggotaan (Hanya anggota langsung) | Catatan |
|---|---|---|---|
| Mode "Grup keamanan yang dipilih" | Hingga 10K grup. Panel CloudSync di portal Microsoft Entra hanya memungkinkan pemilihan hingga 999 grup serta menampilkan hingga 999 grup. Jika Anda perlu menambahkan lebih dari 1000 grup ke dalam cakupan, lihat: Pilihan grup yang diperluas melalui API. | Hingga total 250K anggota di semua grup yang tercakup. | Gunakan mode cakupan ini jika penyewa Anda melebihi SALAH SATU batas ini 1. Penyewa memiliki lebih dari 200k pengguna 2. Penyewa memiliki lebih dari 40K grup 3. Penyewa memiliki lebih dari 1M keanggotaan grup. |
| Mode "Semua Grup keamanan" dengan setidaknya satu filter cakupan atribut. | Hingga 20K grup. | Hingga 500K jumlah total anggota di semua grup yang dicakup. | Gunakan mode cakupan ini jika penyewa Anda memenuhi SEMUA batas di bawah ini: 1. Penyewa memiliki kurang dari 200k pengguna 2. Penyewa memiliki kurang dari 40K grup 3. Penyewa memiliki keanggotaan grup kurang dari 1M. |
Apa yang harus dilakukan jika Anda melebihi batas
Melebihi batas yang direkomendasikan akan memperlambat sinkronisasi awal dan delta, mungkin menyebabkan kesalahan sinkronisasi. Jika ini terjadi, ikuti langkah-langkah berikut:
Terlalu banyak grup atau anggota grup dalam mode cakupan 'Grup keamanan yang dipilih':
Kurangi jumlah grup dalam cakupan (targetkan grup nilai yang lebih tinggi), atau pisahkan provisi menjadi beberapa pekerjaan berbeda dengan cakupan yang terputus-putus.
Terlalu banyak grup atau anggota grup dalam mode cakupan 'Semua grup keamanan':
Gunakan mode cakupan grup keamanan yang dipilih seperti yang disarankan .
Beberapa grup melebihi anggota 50K:
Pisahkan keanggotaan di beberapa grup atau gunakan grup bertahap (misalnya, menurut wilayah atau unit bisnis) untuk memastikan setiap grup tetap di bawah batas.
Pilihan grup yang diperluas melalui API
Jika Anda perlu memilih lebih dari 999 grup, Anda harus menggunakan berikan appRoleAssignment untuk panggilan API perwakilan layanan .
Contoh panggilan API adalah sebagai berikut:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
di mana:
- principalId: ID objek grup.
- resourceId: ID perwakilan layanan pekerjaan.
- appRoleId: Pengidentifikasi peran aplikasi yang diekspos oleh perwakilan layanan sumber daya.
Tabel berikut adalah daftar ID Peran Aplikasi untuk Cloud:
| Cloud | appRoleId |
|---|---|
| Umum | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Informasi selengkapnya
Berikut adalah poin lainnya yang perlu dipertimbangkan saat Anda memprovisikan grup ke AD DS.
- Grup yang disediakan untuk AD DS menggunakan Cloud Sync hanya dapat berisi pengguna lokal yang disinkronkan atau grup keamanan lain yang dibuat cloud.
- Pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang ditetapkan di akun mereka.
- OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD DS target.
- Atribut objectGUID pengguna lokal dapat disinkronkan ke atribut onPremisesObjectIdentifier pengguna cloud dengan menggunakan klien sinkronisasi.
- Hanya penyewa ID Microsoft Entra global yang dapat memprovisikan dari ID Microsoft Entra ke AD DS. Penyewa seperti B2C tidak didukung.
- Pekerjaan penyediaan grup dijadwalkan berjalan setiap 20 menit.
Skenario yang didukung untuk penulisan ulang grup dengan Microsoft Entra Cloud Sync
Bagian berikut menjelaskan skenario yang didukung untuk tulis balik grup dengan Microsoft Entra Cloud Sync.
- Migrasikan penulisan balik grup Microsoft Entra Connect Sync V2 ke Microsoft Entra Cloud Sync
- Mengatur aplikasi berbasis Direktori Aktif lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
Migrasikan penulisan ulang grup Microsoft Entra Connect Sync V2 ke Microsoft Entra Cloud Sync
Skenario: Migrasikan tulis balik grup menggunakan Sinkronisasi Microsoft Entra Connect (sebelumnya Azure AD Connect) ke Microsoft Entra Cloud Sync. Skenario ini hanya untuk pelanggan yang saat ini menggunakan tulis balik grup Microsoft Entra Connect v2. Proses yang diuraikan dalam dokumen ini hanya berkaitan dengan kelompok keamanan yang dibuat di cloud yang disinkronkan kembali dengan cakupan global. Grup berkemampuan email dan DLL yang ditulis kembali menggunakan tulis balik grup Microsoft Entra Connect V1 atau V2 tidak didukung.
Untuk informasi selengkapnya, lihat Memigrasikan tulis balik grup Sinkronisasi Microsoft Entra Connect V2 ke Microsoft Entra Cloud Sync.
Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
Skenario: Kelola aplikasi lokal dengan grup Direktori Aktif yang disediakan dari dan dikelola di cloud. Microsoft Entra Cloud Sync memungkinkan Anda untuk sepenuhnya mengatur penetapan aplikasi di AD sambil memanfaatkan fitur Tata Kelola ID Microsoft Entra untuk mengontrol dan memulihkan permintaan terkait akses apa pun.
Untuk informasi selengkapnya, lihat Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Microsoft Entra ID Governance.
Langkah berikutnya
- Memprovisikan grup ke Direktori Aktif menggunakan Microsoft Entra Cloud Sync
- Mengatur aplikasi berbasis Direktori Aktif lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
- Migrasikan penulisan balik grup Microsoft Entra Connect Sync V2 ke Microsoft Entra Cloud Sync
- Filter cakupan dan pemetaan atribut - Microsoft Entra ID ke Active Directory