On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Verbinding maken Sync is na 30 juni 2024 niet meer beschikbaar. Deze functie wordt op deze datum stopgezet en u wordt niet meer ondersteund in Verbinding maken Synchronisatie om cloudbeveiligingsgroepen in te richten in Active Directory.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision to Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Cloud Sync.

Klanten die deze preview-functie in Verbinding maken Sync gebruiken, moeten hun configuratie wijzigen van Verbinding maken Synchroniseren naar Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt cloudsynchronisatie ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u groep terugschrijven v1 blijven gebruiken voor deze mogelijkheid.

U kunt het verplaatsen naar Cloud Sync evalueren met behulp van de wizard gebruikerssynchronisatie.

Scenario: On-premises toepassingen beheren met Active Directory-groepen die vanuit en worden beheerd in de cloud. Met Microsoft Entra Cloud Sync kunt u toepassingstoewijzingen in AD volledig beheren terwijl u profiteert van Microsoft Entra ID-governance functies om eventuele toegangsaanvragen te beheren en te herstellen.

Met de release van inrichtingsagent 1.1.1370.0 heeft cloudsynchronisatie nu de mogelijkheid om groepen rechtstreeks in te richten in uw on-premises Active Directory-omgeving. U kunt identiteitsbeheerfuncties gebruiken om de toegang tot op AD gebaseerde toepassingen te beheren, zoals door een groep op te geven in een toegangspakket voor rechtenbeheer.

Bekijk de video over het terugschrijven van groepen

Bekijk de onderstaande video voor een goed overzicht van het inrichten van cloudsynchronisatiegroepen voor Active Directory en wat het voor u kan doen.

Vereisten

De volgende vereisten zijn vereist om dit scenario te implementeren.

• Microsoft Entra-account met ten minste een hybride Beheer istratorrol.
• On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
  • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId.
• Inrichtingsagent met buildversie 1.1.1367.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet standaard toegepast op Beheer SDHolder-objecten

Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen uit te filteren.
• Microsoft Entra Verbinding maken met buildversie 2.2.8.0 of hoger.
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Verbinding maken.
  • Vereist om AD:user:objectGUID te synchroniseren met Microsoft Entra ID:user:onPremisesObjectIdentifier.

Ondersteunde groepen

Voor dit scenario worden alleen de volgende groepen ondersteund:

• alleen cloudbeveiligingsgroepen worden ondersteund
• deze groepen kunnen een toegewezen of dynamisch lidmaatschap hebben
• deze groepen mogen alleen on-premises gesynchroniseerde gebruikers en/of cloudbeveiligingsgroepen bevatten
• de on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest
• deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet het universele groepsbereik ondersteunen
• groepen die groter zijn dan 50.000 leden, worden niet ondersteund
• elke direct onderliggende geneste groep telt als één lid in de verwijzende groep

Ondersteunde scenario's

In de volgende secties worden de scenario's besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen.

Ondersteunde scenario's configureren

Als u wilt bepalen of een gebruiker verbinding kan maken met een Active Directory-toepassing die gebruikmaakt van Windows-verificatie, kunt u de toepassingsproxy en een Microsoft Entra-beveiligingsgroep gebruiken. Als een toepassing de AD-groepslidmaatschappen van een gebruiker controleert via Kerberos of LDAP, kunt u de inrichting van cloudsynchronisatiegroepen gebruiken om ervoor te zorgen dat een AD-gebruiker deze groepslidmaatschappen heeft voordat de gebruiker toegang heeft tot de toepassingen.

In de volgende secties worden twee scenarioopties besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen. De scenarioopties zijn bedoeld om ervoor te zorgen dat gebruikers die zijn toegewezen aan de toepassing groepslidmaatschappen hebben wanneer ze zich verifiëren bij de toepassing.

• Maak een nieuwe groep en werk de toepassing bij, als deze al bestaat, om te controleren op de nieuwe groep of
• Een nieuwe groep maken en de bestaande groepen bijwerken, de toepassing controleerde op, om de nieuwe groep op te nemen als lid

Voordat u begint, moet u ervoor zorgen dat u een domeinbeheerder bent in het domein waarop de toepassing is geïnstalleerd. Zorg ervoor dat u zich kunt aanmelden bij een domeincontroller of dat de Remote Server Beheer istration tools for Active Directory-domein Services (AD DS) administration is geïnstalleerd op uw Windows-pc.

De optie nieuwe groepen configureren

In dit scenario werkt u de toepassing bij om te controleren op de SID, de naam of de DN-naam van nieuwe groepen die zijn gemaakt door het inrichten van cloudsynchronisatiegroepen. Dit scenario is van toepassing op:

• implementaties voor nieuwe toepassingen die voor het eerst zijn verbonden met AD DS.
• nieuwe cohorten van gebruikers die toegang hebben tot de toepassing.
• voor modernisering van toepassingen om de afhankelijkheid van bestaande AD DS-groepen te verminderen. Toepassingen die momenteel controleren op lidmaatschap van de Domain Admins groep, moeten worden bijgewerkt om ook te controleren op een zojuist gemaakte AD-groep.

Gebruik de volgende stappen voor toepassingen om nieuwe groepen te gebruiken.

Toepassing en groep maken

1. Maak met behulp van het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
2. Als u een toepassingsproxy gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
5. Start Active Directory en wacht tot de resulterende nieuwe AD-groep is gemaakt in het AD-domein. Wanneer deze aanwezig is, registreert u de DN-naam, het domein, de accountnaam en de SID van de nieuwe AD-groep.

Toepassing configureren voor het gebruik van een nieuwe groep

1. Als de toepassing AD via LDAP gebruikt, configureert u de toepassing met de DN-naam van de nieuwe AD-groep. Als de toepassing AD via Kerberos gebruikt, configureert u de toepassing met de SID of de domein- en accountnaam van de nieuwe AD-groep.
2. Maak een toegangspakket. Voeg de toepassing toe vanuit #1, de beveiligingsgroep van #3, als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket.
4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Controleer met Active Directory of de juiste gebruikers aanwezig zijn als leden van de groep.
5. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de inrichtingsagent wordt uitgevoerd, autorisatie om het lidmaatschap van de nieuwe AD-groep te wijzigen.

U kunt nu de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

De bestaande groepsoptie configureren

In dit scenario kunt u een nieuwe AD-beveiligingsgroep toevoegen als een geneste groepslid van een bestaande groep. Dit scenario is van toepassing op implementaties voor toepassingen die een in code vastgelegde afhankelijkheid hebben van een bepaalde groepsaccountnaam, SID of DN-naam.

Het nesten van die groep in de toepassingen die bestaande AD-groep bevat, staat het volgende toe:

• Microsoft Entra-gebruikers, die zijn toegewezen door een governancefunctie en vervolgens toegang krijgen tot de app, om een geschikt Kerberos-ticket te hebben. Dit ticket bevat de bestaande groeps-SID. Deze nesting is toegestaan door nestregels voor AD-groepen.

Als de app LDAP gebruikt en het geneste groepslidmaatschap volgt, zien de Microsoft Entra-gebruikers de bestaande groep als een van hun lidmaatschappen.

Geschiktheid van bestaande groep bepalen

1. Start Active Directory en noteer de DN-naam, het type en het bereik van de bestaande AD-groep die door de toepassing wordt gebruikt.
2. Als de bestaande groep Domain Adminsis, Domain Guests, , Domain Users, Enterprise Key AdminsEnterprise Admins, Group Policy Creation Owners, , , Key Adminsof Schema AdminsProtected Users, moet u de toepassing wijzigen om een nieuwe groep te gebruiken, zoals hierboven beschreven, omdat deze groepen niet kunnen worden gebruikt door cloudsynchronisatie.
3. Als de groep een globaal bereik heeft, wijzigt u het bereik van de groep in Universal. Een globale groep kan geen universele groepen hebben als leden.

Toepassing en groep maken

1. Maak in het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
2. Als de toepassingsproxy wordt gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
5. Start Active Directory en wacht tot de resulterende nieuwe AD-groep in het AD-domein is gemaakt. Noteer de DN-naam, het domein, de accountnaam en de SID van de nieuwe AD-groep wanneer deze aanwezig is.

Toepassing configureren voor het gebruik van een nieuwe groep

1. Voeg met behulp van Active Directory de nieuwe AD-groep toe als lid van de bestaande AD-groep.
2. Maak een toegangspakket. Voeg de toepassing toe vanuit #1, de beveiligingsgroep van #3, als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket. Dit omvat alle gebruikersleden van de bestaande AD-groep die nog steeds toegang nodig hebben.
4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Controleer met Active Directory of de juiste gebruikers aanwezig zijn als leden van de groep.
5. Verwijder met Active Directory de bestaande leden, afgezien van de nieuwe AD-groep, van de bestaande AD-groep.
6. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de inrichtingsagent wordt uitgevoerd, autorisatie om het lidmaatschap van de nieuwe AD-groep te wijzigen.

Vervolgens kunt u de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

Probleemoplossing

Een gebruiker die lid is van de nieuwe AD-groep en zich op een Windows-pc al heeft aangemeld bij een AD-domein, kan een bestaand ticket hebben uitgegeven door een AD-domeincontroller die niet het nieuwe AD-groepslidmaatschap bevat. Dit komt doordat het ticket mogelijk is uitgegeven voordat de inrichting van de cloudsynchronisatiegroep deze toevoegt aan de nieuwe AD-groep. De gebruiker kan het ticket niet presenteren voor toegang tot de toepassing en moet dus wachten tot het ticket is verlopen en een nieuw ticket is uitgegeven, of hun tickets leegmaken, zich afmelden en weer aanmelden bij het domein. Zie de klist-opdracht voor meer informatie.

Bestaande Microsoft Entra Verbinding maken-klanten voor het terugschrijven van groepen v2

Als u Microsoft Entra Verbinding maken terugschrijven van groepen v2 gebruikt, moet u overstappen op inrichting van cloudsynchronisatie naar AD voordat u kunt profiteren van inrichting van cloudsynchronisatiegroepen. Zie Microsoft Entra Verbinding maken Terugschrijven van synchronisatiegroep V2 naar Microsoft Entra Cloud Sync

Volgende stappen

• Terugschrijven van groepen met Microsoft Entra Cloud Sync
• Groepsinrichting voor Active Directory met behulp van Microsoft Entra Cloud Sync
• Microsoft Entra Verbinding maken Synchronisatiegroep write-back V2 naar Microsoft Entra Cloud Sync-migratie