Delen via


Terugschrijven van groepen met Microsoft Entra Cloud Sync

Met de release van inrichtingsagent 1.1.1370.0 heeft cloudsynchronisatie nu de mogelijkheid om groeps terugschrijven uit te voeren. Deze functie betekent dat cloudsynchronisatie groepen rechtstreeks kan inrichten in uw on-premises Active Directory-omgeving. U kunt nu ook identiteitsbeheerfuncties gebruiken om de toegang tot op AD gebaseerde toepassingen te beheren, zoals door een groep op te geven in een toegangspakket voor rechtenbeheer.

Diagram van terugschrijven van groepen met cloudsynchronisatie.

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Connect Sync is na 30 juni 2024 niet meer beschikbaar. Deze functie wordt op deze datum stopgezet en u wordt niet meer ondersteund in Connect Sync om cloudbeveiligingsgroepen in te richten op Active Directory. De functie blijft actief na de beëindigingsdatum; het zal echter na deze datum geen ondersteuning meer ontvangen en kan op elk moment zonder kennisgeving niet meer functioneren.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision to Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Cloud Sync.

Klanten die deze preview-functie in Connect Sync gebruiken, moeten hun configuratie wijzigen van Connect Sync naar Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt cloudsynchronisatie ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u groep terugschrijven v1 blijven gebruiken voor deze mogelijkheid.

U kunt het verplaatsen naar Cloud Sync evalueren met behulp van de wizard gebruikerssynchronisatie.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken om de juiste licentie voor uw vereisten te vinden.

Algemene vereisten

  • Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
  • On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
    • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
  • Inrichtingsagent met buildversie 1.1.1370.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet toegepast op AdminSDHolder-objecten standaard microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

  • De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
    • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
  • Microsoft Entra Connect Sync met buildversie 2.2.8.0 of hoger
    • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect Sync
    • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen en schaallimieten

Het volgende wordt ondersteund:

  • Alleen cloudbeveiligingsgroepen worden ondersteund
  • Deze groepen kunnen toegewezen of dynamische lidmaatschapsgroepen hebben.
  • Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
  • Deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
  • Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
  • Tenants met meer dan 150.000 objecten worden niet ondersteund. Wat betekent dat als een tenant een combinatie van gebruikers en groepen heeft die groter zijn dan 150.000 objecten, de tenant niet wordt ondersteund.
  • Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
  • Afstemming van groepen tussen Microsoft Entra-id en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

  • Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • Deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
  • De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
  • Een on-premises gebruikersobjectGUID-kenmerk aan een onPremisesObjectIdentifier-kenmerk kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Connect Sync (2.2.8.0)
  • Als u Microsoft Entra Connect Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en inrichting voor AD wilt gebruiken, moet dit 2.2.8.0 of hoger zijn.
  • Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor inrichting van Microsoft Entra-id naar Active Directory. Tenants zoals B2C worden niet ondersteund.
  • De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.

Ondersteunde scenario's voor het terugschrijven van groepen met Microsoft Entra Cloud Sync

In de volgende secties worden de ondersteunde scenario's beschreven voor het terugschrijven van groepen met Microsoft Entra Cloud Sync.

Microsoft Entra Connect Sync-groep writeback V2 migreren naar Microsoft Entra Cloud Sync

Scenario: Write-back van groepen migreren met Behulp van Microsoft Entra Connect Sync (voorheen Azure AD Connect) naar Microsoft Entra Cloud Sync. Dit scenario is alleen bedoeld voor klanten die momenteel microsoft Entra Connect-groeps terugschrijven v2 gebruiken. Het proces dat in dit document wordt beschreven, heeft alleen betrekking op beveiligingsgroepen die in de cloud zijn gemaakt en die met een universeel bereik worden teruggeschreven. Groepen met e-mail en DLs die zijn teruggeschreven met Microsoft Entra Connect-groep write-back V1 of V2, worden niet ondersteund.

Zie Writeback V2 van Microsoft Entra Connect-groep migreren naar Microsoft Entra Cloud Sync voor meer informatie.

On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance

Scenario: On-premises toepassingen beheren met Active Directory-groepen die vanuit en worden beheerd in de cloud. Met Microsoft Entra Cloud Sync kunt u toepassingstoewijzingen in AD volledig beheren terwijl u profiteert van Microsoft Entra ID-governance functies om eventuele toegangsaanvragen te beheren en te herstellen.

Zie On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance voor meer informatie.

Volgende stappen