Delen via

On-premises Active Directory-apps (Kerberos) beheren met Microsoft Entra Cloud Sync

Scenario: On-premises toepassingen beheren met Active Directory-groepen die in de cloud zijn geconfigureerd en beheerd. Met Microsoft Entra Cloud Sync kunt u toepassingstoewijzingen in AD volledig beheren terwijl u profiteert van Microsoft Entra ID-governance functies om eventuele toegangsaanvragen te beheren en te herstellen.

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Connect Sync is vanaf 30 juni 2024niet meer beschikbaar. Deze functie is op deze datum stopgezet en u wordt niet meer ondersteund in Microsoft Entra Connect Sync om cloudbeveiligingsgroepen in te richten in Active Directory. De functie blijft functioneren na de beëindigingsdatum; het ontvangt echter geen ondersteuning meer en kan op elk moment stoppen zonder waarschuwing.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision naar Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Microsoft Entra Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Microsoft Entra Cloud Sync.

Klanten die deze preview-functie in Microsoft Entra Connect Sync gebruiken, moeten hun configuratie wijzigen van Microsoft Entra Connect Sync naar Microsoft Entra Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Microsoft Entra Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt Microsoft Entra Cloud Sync ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Microsoft Entra Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u Group Writeback v1 blijven gebruiken voor deze mogelijkheid.

U kunt het exclusieve overstappen naar Microsoft Entra Cloud Sync evalueren met de gebruikerssynchronisatiewizard .

Vereisten

De volgende vereisten zijn vereist om dit scenario te implementeren.

  • Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
  • On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
    • Vereist voor AD-schema-attribuut - msDS-ExternalDirectoryObjectId.
  • Provisioneringsagent met buildversie 1.1.1367.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen bij een schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat de lees-, schrijf-, maak- en verwijderrechten voor alle eigenschappen zijn toegepast op alle onderliggende groepen en gebruikersobjecten.

Deze machtigingen worden niet standaard toegepast op AdminSDHolder-objecten

Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

  • De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
    • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen uit te filteren.
  • Microsoft Entra Connect met buildversie 2.2.8.0 of hoger.
    • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect.
    • Vereist om AD:user:objectGUID te synchroniseren met Microsoft Entra ID:user:onPremisesObjectIdentifier.

Ondersteunde groepen

Voor dit scenario worden alleen de volgende groepen ondersteund:

  • Alleen cloudbeveiligingsgroepen worden ondersteund
  • Deze groepen moeten toegewezen of dynamisch lidmaatschap hebben
  • Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of cloudbeveiligingsgroepen bevatten
  • De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest
  • Deze groepen worden teruggeschreven met het AD-groepenbereik van universeel. Uw on-premises omgeving moet het universele groepsbereik ondersteunen
  • Groepen die groter zijn dan 50.000 leden, worden niet ondersteund
  • Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep

Ondersteunde scenario's

In de volgende secties worden de scenario's besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen.

Ondersteunde scenario's configureren

Als u wilt bepalen of een gebruiker verbinding kan maken met een Active Directory-toepassing die gebruikmaakt van Windows-verificatie, kunt u de toepassingsproxy en een Microsoft Entra-beveiligingsgroep gebruiken. Als een toepassing de AD-groepslidmaatschappen van een gebruiker controleert via Kerberos of LDAP, kunt u de inrichting van cloudsynchronisatiegroepen gebruiken om ervoor te zorgen dat een AD-gebruiker deze groepslidmaatschappen heeft voordat de gebruiker toegang heeft tot de toepassingen.

In de volgende secties worden twee scenarioopties besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen. De scenarioopties zijn bedoeld om ervoor te zorgen dat gebruikers die zijn toegewezen aan de toepassing groepslidmaatschappen hebben wanneer ze zich verifiëren bij de toepassing.

  • Maak een nieuwe groep en werk de toepassing bij, als deze al bestaat, om te controleren op de nieuwe groep of
  • Een nieuwe groep maken en de bestaande groepen bijwerken waarop de toepassing heeft gecontroleerd om de nieuwe groep als lid op te nemen

Voordat u begint, moet u ervoor zorgen dat u een domeinbeheerder bent in het domein waarop de toepassing is geïnstalleerd. Zorg ervoor dat u zich kunt aanmelden bij een domeincontroller of dat de Remote Server Administration Tools voor AD DS-beheer (Active Directory Domain Services) is geïnstalleerd op uw Windows-pc.

De optie nieuwe groepen configureren

In dit scenario werkt u de toepassing bij om te controleren op de SID, naam of gedistingeerde naam van nieuwe groepen die zijn gemaakt door het inrichten van cloudsynchronisatiegroepen. Dit scenario is van toepassing op:

  • Implementaties voor nieuwe toepassingen die voor het eerst zijn verbonden met AD DS.
  • Nieuwe cohorten van gebruikers die toegang hebben tot de toepassing.
  • Voor het moderniseren van toepassingen kunt u de afhankelijkheid van bestaande AD DS-groepen verminderen. Toepassingen die momenteel controleren op lidmaatschap van de Domain Admins groep moeten worden bijgewerkt om ook te controleren op een zojuist gemaakte AD-groep.

Gebruik de volgende stappen voor toepassingen om nieuwe groepen te gebruiken.

Toepassing en groep maken

  1. Maak met behulp van het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
  2. Als u een toepassingsproxy gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
  3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
  4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
  5. Start Active Directory-gebruikers en -computers en wacht tot de resulterende nieuwe AD-groep is gemaakt in het AD-domein. Wanneer deze aanwezig is, registreert u de onderscheiden naam, het domein, de accountnaam en de SID van de nieuwe AD-groep.

Toepassing configureren voor het gebruik van een nieuwe groep

  1. Als de toepassing AD via LDAP gebruikt, configureert u de toepassing met de distinguished name van de nieuwe AD-groep. Als de toepassing AD via Kerberos gebruikt, configureert u de toepassing met de SID of de domein- en accountnaam van de nieuwe AD-groep.
  2. Maak een toegangspakket. Voeg de toepassing uit stap 1 en de beveiligingsgroep uit stap 3 toe, zoals beschreven in de sectie Toepassing en groep maken hierboven als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
  3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket.
  4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Gebruik Active Directory Gebruikers en Computers om te bevestigen dat de juiste gebruikers als leden van de groep aanwezig zijn.
  5. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de autorisatie van de inrichtingsagent wordt uitgevoerd om het lidmaatschap van de nieuwe AD-groep te wijzigen.

U kunt nu de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

De bestaande groepsoptie configureren

In dit scenario voegt u een nieuwe Active Directory-beveiligingsgroep toe als een genest groepslid van een bestaande groep. Dit scenario is van toepassing op implementaties voor toepassingen die een in code vastgelegde afhankelijkheid hebben van een bepaalde groepsaccountnaam, SID of DN-naam.

Als u die groep in de bestaande AD-groep van de toepassing nestt, is het volgende toegestaan:

  • Microsoft Entra-gebruikers die zijn toegewezen door een governancefunctie en die vervolgens toegang hebben tot de app om het juiste Kerberos-ticket te hebben. Dit ticket bevat de SID van de bestaande groep. ** Nesten is toegestaan volgens de nestingregels voor AD-groepen.

Als de app LDAP gebruikt en het geneste groepslidmaatschap volgt, ziet de app de Microsoft Entra-gebruikers als leden van de bestaande groep.

Geschiktheid van bestaande groep bepalen

  1. Start Active Directory Gebruikers en Computers en noteer de onderscheidende naam, het type en het bereik van de bestaande AD-groep die door de toepassing wordt gebruikt.
  2. Als de bestaande groep Domain Admins, Domain Guests, Domain Users, Enterprise Admins, Enterprise Key Admins, Group Policy Creation Owners, Key Admins, Protected Users, of Schema Admins is, moet u de applicatie wijzigen zodat deze een nieuwe groep gebruikt, zoals hierboven beschreven, omdat deze groepen niet door cloud-synchronisatie kunnen worden gebruikt.
  3. Als de groep een globaal bereik heeft, wijzigt u het bereik van de groep in Universal. Een globale groep kan geen universele groepen hebben als leden.

Toepassing en groep maken

  1. Maak in het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
  2. Als de toepassingsproxy wordt gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
  3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
  4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
  5. Start Active Directory-gebruikers en -computers en wacht tot de resulterende nieuwe AD-groep is gemaakt in het AD-domein. Wanneer deze aanwezig is, registreert u de onderscheiden naam, het domein, de accountnaam en de SID van de nieuwe AD-groep.

Toepassing configureren voor het gebruik van een nieuwe groep

  1. Voeg met behulp van Active Directory Gebruikers en Computers de nieuwe AD-groep toe als lid van de bestaande AD-groep.
  2. Maak een toegangspakket. Voeg de toepassing uit stap 1 en de beveiligingsgroep uit stap 3 toe, zoals beschreven in de sectie Toepassing en groep maken hierboven als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
  3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket, inclusief alle gebruikersleden van de bestaande AD-groep die nog steeds toegang nodig hebben.
  4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Gebruik Active Directory Gebruikers en Computers om te bevestigen dat de juiste gebruikers als leden van de groep aanwezig zijn.
  5. Met Active Directory: gebruikers en computers, verwijdert u de bestaande leden, afgezien van de nieuwe AD-groep, uit de bestaande AD-groep.
  6. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de autorisatie van de inrichtingsagent wordt uitgevoerd om het lidmaatschap van de nieuwe AD-groep te wijzigen.

Vervolgens kunt u de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

Probleemoplossing

Een gebruiker die lid is van de nieuwe AD-groep en zich op een Windows-pc bevindt die al is aangemeld bij een AD-domein, heeft mogelijk een bestaand ticket uitgegeven door een AD-domeincontroller die niet het nieuwe AD-groepslidmaatschap bevat. Dit komt doordat het ticket mogelijk is uitgegeven voordat de provisioning van de cloudsynchronisatiegroep hen toevoegde aan de nieuwe AD-groep. De gebruiker kan het ticket niet presenteren voor toegang tot de toepassing en moet dus wachten totdat het ticket verloopt en een nieuw ticket moet worden uitgegeven, of moet zijn tickets leegmaken, zich afmelden en vervolgens weer aanmelden bij het domein. Zie de klist-opdracht voor meer informatie.

Bestaande klanten van Microsoft Entra Connect groep-writeback v2

Als u Writeback v2 voor Microsoft Entra Connect-groepen gebruikt, moet u overstappen op inrichting van cloudsynchronisatie naar AD voordat u kunt profiteren van het inrichten van cloudsynchronisatiegroepen. Zie hoe u de synchronisatiegroep van Microsoft Entra Connect writeback V2 migreert naar Microsoft Entra Cloud Sync

Volgende stappen