Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync

  • Artykuł

Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz wykonywanie zapisywania zwrotnego grup. Ta funkcja oznacza, że synchronizacja w chmurze może aprowizować grupy bezpośrednio w środowisku lokalna usługa Active Directory. Teraz można również używać funkcji zarządzania tożsamościami, aby zarządzać dostępem do aplikacji opartych na usłudze AD, takich jak dołączenie grupy w pakiecie dostępu do zarządzania upoważnieniami.

Diagram zapisywania zwrotnego grup z synchronizacją w chmurze.

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.

W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.

Obejrzyj wideo zapisywania zwrotnego grup

Aby zapoznać się z doskonałym omówieniem aprowizacji grup synchronizacji w chmurze z usługą Active Directory i jego możliwościami, zapoznaj się z poniższym filmem wideo.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.

Wymagania ogólne

  • Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
  • Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
  • Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są stosowane do obiektów Administracja SDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji microsoft Entra

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
  • Microsoft Entra Połączenie z kompilacją w wersji 2.2.8.0 lub nowszej
    • Wymagane do obsługi lokalnego członkostwa użytkowników zsynchronizowane przy użyciu usługi Microsoft Entra Połączenie
    • Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy

Obsługiwane są tylko następujące elementy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Te grupy mogą mieć przypisane lub dynamiczne członkostwo.
  • Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
  • Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
  • Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Wszyscy ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
  • Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Połączenie Sync (2.2.8.0)
  • Jeśli używasz usługi Microsoft Entra Połączenie Sync (2.2.8.0) do synchronizowania użytkowników, a nie microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
  • Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
  • Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.

Obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync

W poniższych sekcjach opisano obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync.

Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync

Scenariusz: Migrowanie zapisywania zwrotnego grup przy użyciu usługi Microsoft Entra Połączenie Sync (dawniej Azure AD Połączenie) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.

Aby uzyskać więcej informacji, zobacz Migrowanie usługi Microsoft Entra Połączenie Sync zapisywania zwrotnego grup w wersji 2 do usługi Microsoft Entra Cloud Sync.

Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra

Scenariusz: Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra .

Następne kroki