Terugschrijven van groepen met Microsoft Entra Cloud Sync

  • Artikel

Met de release van inrichtingsagent 1.1.1370.0 heeft cloudsynchronisatie nu de mogelijkheid om groeps terugschrijven uit te voeren. Deze functie betekent dat cloudsynchronisatie groepen rechtstreeks kan inrichten in uw on-premises Active Directory-omgeving. U kunt nu ook identiteitsbeheerfuncties gebruiken om de toegang tot op AD gebaseerde toepassingen te beheren, zoals door een groep op te geven in een toegangspakket voor rechtenbeheer.

Diagram van terugschrijven van groepen met cloudsynchronisatie.

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Verbinding maken Sync is na 30 juni 2024 niet meer beschikbaar. Deze functie wordt op deze datum stopgezet en u wordt niet meer ondersteund in Verbinding maken Synchronisatie om cloudbeveiligingsgroepen in te richten in Active Directory.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision to Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Cloud Sync.

Klanten die deze preview-functie in Verbinding maken Sync gebruiken, moeten hun configuratie wijzigen van Verbinding maken Synchroniseren naar Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt cloudsynchronisatie ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u groep terugschrijven v1 blijven gebruiken voor deze mogelijkheid.

U kunt het verplaatsen naar Cloud Sync evalueren met behulp van de wizard gebruikerssynchronisatie.

Bekijk de video over het terugschrijven van groepen

Bekijk de onderstaande video voor een goed overzicht van het inrichten van cloudsynchronisatiegroepen voor Active Directory en wat het voor u kan doen.

Microsoft Entra-id inrichten voor Active Directory - Vereisten

De volgende vereisten zijn vereist voor het implementeren van inrichtingsgroepen voor Active Directory.

Licentievereisten

Voor het gebruik van deze functie zijn Microsoft Entra ID P1-licenties vereist. Zie Algemeen beschikbare functies van Microsoft Entra ID vergelijken als u een licentie zoekt die bij uw vereisten past.

Algemene vereisten

  • Microsoft Entra-account met ten minste een hybride Beheer istratorrol.
  • On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
    • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
  • Inrichtingsagent met buildversie 1.1.1370.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet toegepast op Beheer SDHolder-objecten standaard microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

  • De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
    • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren
  • Microsoft Entra Verbinding maken met buildversie 2.2.8.0 of hoger
    • Vereist voor het ondersteunen van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Verbinding maken
    • Vereist om AD:user:objectGUID te synchroniseren met AAD:user:onPremisesObjectIdentifier

Ondersteunde groepen

Alleen het volgende wordt ondersteund:

  • Alleen cloudbeveiligingsgroepen worden ondersteund
  • Deze groepen kunnen een toegewezen of dynamisch lidmaatschap hebben.
  • Deze groepen kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • De on-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest.
  • Deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet ondersteuning bieden voor het universele groepsbereik.
  • Groepen die groter zijn dan 50.000 leden, worden niet ondersteund.
  • Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep
  • Afstemming van groepen tussen Microsoft Entra ID en Active Directory wordt niet ondersteund als de groep handmatig wordt bijgewerkt in Active Directory.

Aanvullende informatie

Hieronder vindt u aanvullende informatie over het inrichten van groepen voor Active Directory.

  • Groepen die zijn ingericht voor AD met behulp van cloudsynchronisatie, kunnen alleen on-premises gesynchroniseerde gebruikers en/of extra cloudbeveiligingsgroepen bevatten.
  • Al deze gebruikers moeten het kenmerk onPremisesObjectIdentifier hebben ingesteld voor hun account.
  • De onPremisesObjectIdentifier moet overeenkomen met een bijbehorende objectGUID in de doel-AD-omgeving.
  • Een on-premises gebruikersobjectGUID-kenmerk aan een cloudgebruikers kenmerk onPremisesObjectIdentifier kan worden gesynchroniseerd met Behulp van Microsoft Entra Cloud Sync (1.1.1370.0) of Microsoft Entra Verbinding maken Sync (2.2.8.0)
  • Als u Microsoft Entra Verbinding maken Sync (2.2.8.0) gebruikt om gebruikers te synchroniseren in plaats van Microsoft Entra Cloud Sync en inrichting voor AD wilt gebruiken, moet dit 2.2.8.0 of hoger zijn.
  • Alleen reguliere Microsoft Entra ID-tenants worden ondersteund voor inrichting van Microsoft Entra-id naar Active Directory. Tenants zoals B2C worden niet ondersteund.
  • De inrichtingstaak voor groepen wordt elke 20 minuten uitgevoerd.

Ondersteunde scenario's voor het terugschrijven van groepen met Microsoft Entra Cloud Sync

In de volgende secties worden de ondersteunde scenario's beschreven voor het terugschrijven van groepen met Microsoft Entra Cloud Sync.

Microsoft Entra Verbinding maken Writeback V2 migreren naar Microsoft Entra Cloud Sync

Scenario: Write-back van groepen migreren met Behulp van Microsoft Entra Verbinding maken Sync (voorheen Azure AD Verbinding maken) naar Microsoft Entra Cloud Sync. Dit scenario is alleen bedoeld voor klanten die momenteel Gebruikmaken van Microsoft Entra Verbinding maken terugschrijven van groepen v2. Het proces dat in dit document wordt beschreven, heeft alleen betrekking op beveiligingsgroepen die in de cloud zijn gemaakt en die met een universeel bereik worden teruggeschreven. Groepen met e-mail en DLs die zijn teruggeschreven met Microsoft Entra Verbinding maken terugschrijven van groepen V1 of V2 worden niet ondersteund.

Zie Microsoft Entra Verbinding maken Writeback V2 van Microsoft Entra Cloud Sync migreren naar Microsoft Entra Cloud Sync voor meer informatie.

On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance

Scenario: On-premises toepassingen beheren met Active Directory-groepen die vanuit en worden beheerd in de cloud. Met Microsoft Entra Cloud Sync kunt u toepassingstoewijzingen in AD volledig beheren terwijl u profiteert van Microsoft Entra ID-governance functies om eventuele toegangsaanvragen te beheren en te herstellen.

Zie On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance voor meer informatie.

Volgende stappen