Udostępnij za pośrednictwem


Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana począwszy od tej daty i nie będzie już obsługiwana wConnect Sync, na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Funkcja będzie nadal działać poza datą wycofania; jednakże nie będzie już otrzymywać wsparcia po tej dacie i może przestać działać w dowolnym momencie bez powiadomienia.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory, których można użyć zamiast zapisywania zwrotnego grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w Connect Sync powinni przełączyć konfigurację z Connect Sync na Cloud Sync. Możesz przenieść całą synchronizację hybrydową do Cloud Sync (jeśli obsługuje Twoje potrzeby). Możesz również uruchamiać Cloud Sync obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do Active Directory w Cloud Sync.

W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkownika.

Scenariusz: Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz aprowizowanie grup bezpośrednio w środowisku lokalna usługa Active Directory. Za pomocą funkcji ładu tożsamości można zarządzać dostępem do aplikacji opartych na usłudze AD, takich jak dołączenie grupy w pakiecie dostępu do zarządzania upoważnieniami.

Koncepcyjny rysunek przedstawiający aprowizację grupową firmy Microsoft Entra Cloud Sync w usłudze AD.

Obejrzyj wideo zapisywania zwrotnego grup

Aby zapoznać się z doskonałym omówieniem aprowizacji grup synchronizacji w chmurze z usługą Active Directory i jego możliwościami, zapoznaj się z poniższym filmem wideo.

Wymagania wstępne

Do zaimplementowania tego scenariusza wymagane są następujące wymagania wstępne.

  • Konto Microsoft Entra z co najmniej rolą administratora tożsamości hybrydowej.
  • Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagany dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId.
  • Inicjowanie obsługi administracyjnej agenta przy użyciu kompilacji w wersji 1.1.1367.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są domyślnie stosowane do obiektów AdminSDHolder

Microsoft Entra provisioning agent gMSA poleceń cmdlet programu PowerShell

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa.
  • Microsoft Entra Connect z kompilacją w wersji 2.2.8.0 lub nowszej.
    • Wymagane do obsługi lokalnego członkostwa użytkowników zsynchronizowane przy użyciu programu Microsoft Entra Connect.
    • Wymagane do zsynchronizowania identyfikatora AD:user:objectGUID z identyfikatorem Entra:user:onPremisesObjectIdentifier.

Obsługiwane grupy

W tym scenariuszu obsługiwane są tylko następujące grupy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Przypisane lub dynamiczne grupy członkostwa
  • Zawierają tylko lokalnych synchronizowanych użytkowników i /lub utworzonych grup zabezpieczeń w chmurze
  • Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu
  • Zapisane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej
  • Nie większe niż 50 000 członków
  • Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się

Obsługiwane scenariusze

W poniższych sekcjach omówiono scenariusze obsługiwane przy użyciu aprowizacji grup synchronizacji w chmurze.

Konfigurowanie obsługiwanych scenariuszy

Jeśli chcesz kontrolować, czy użytkownik może nawiązać połączenie z aplikacją usługi Active Directory korzystającą z uwierzytelniania systemu Windows, możesz użyć serwera proxy aplikacji i grupy zabezpieczeń firmy Microsoft Entra. Jeśli aplikacja sprawdza członkostwo w grupach usługi AD użytkownika za pośrednictwem protokołu Kerberos lub LDAP, możesz użyć aprowizacji grupy synchronizacji w chmurze, aby upewnić się, że użytkownik usługi AD ma te członkostwa w grupach przed uzyskaniem dostępu do aplikacji przez użytkownika.

W poniższych sekcjach omówiono dwie opcje scenariuszy obsługiwane przez aprowizację grupy synchronizacji w chmurze. Opcje scenariusza są przeznaczone do zapewnienia, że użytkownicy przypisani do aplikacji mają członkostwo w grupach podczas uwierzytelniania w aplikacji.

  • Utwórz nową grupę i zaktualizuj aplikację, jeśli już istnieje, aby sprawdzić nową grupę lub
  • Utwórz nową grupę i zaktualizuj istniejące grupy, aplikacja sprawdzała, aby uwzględnić nową grupę jako członka

Przed rozpoczęciem upewnij się, że jesteś administratorem domeny w domenie, w której zainstalowano aplikację. Upewnij się, że możesz zalogować się do kontrolera domeny lub mieć narzędzia administracji zdalnej serwera dla administracji usługami domena usługi Active Directory (AD DS) zainstalowane na komputerze z systemem Windows.

Konfigurowanie nowej opcji grup

W tym scenariuszu zaktualizujesz aplikację, aby sprawdzić identyfikator SID, nazwę lub nazwę wyróżniającą nowych grup utworzonych przez aprowizację grup synchronizacji w chmurze. Ten scenariusz ma zastosowanie do następujących elementów:

  • Wdrożenia nowych aplikacji połączonych z usługami AD DS po raz pierwszy.
  • Nowa kohorta użytkowników, którzy uzyskują dostęp do aplikacji.
  • Modernizacja aplikacji w celu zmniejszenia zależności od istniejących grup usług AD DS. Aplikacje, które obecnie sprawdzają członkostwo w Domain Admins grupie, muszą zostać zaktualizowane, aby również sprawdzić nowo utworzoną grupę usługi AD.

Wykonaj następujące kroki, aby aplikacje korzystały z nowych grup.

Tworzenie aplikacji i grupy

  1. Korzystając z centrum administracyjnego firmy Microsoft Entra, utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
  2. Jeśli używasz serwera proxy aplikacji, aby umożliwić użytkownikom łączenie się z aplikacją, skonfiguruj serwer proxy aplikacji.
  3. Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
  4. Użyj aprowizacji grup do usługi AD, aby aprowizować tę grupę w usłudze AD .
  5. Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD. Gdy jest obecny, zapisz nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID nowej grupy usługi AD.

Konfigurowanie aplikacji do korzystania z nowej grupy

  1. Jeśli aplikacja używa usługi AD za pośrednictwem protokołu LDAP, skonfiguruj aplikację przy użyciu nazwy wyróżniającej nowej grupy usługi AD. Jeśli aplikacja używa usługi AD za pośrednictwem protokołu Kerberos, skonfiguruj aplikację przy użyciu identyfikatora SID lub nazwy domeny i konta nowej grupy usługi AD.
  2. Utwórz pakiet dostępu. Dodaj aplikację z pliku #1, grupę zabezpieczeń z pliku #3 jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
  3. W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu.
  4. Poczekaj na zaktualizowanie nowej grupy usługi AD przy użyciu nowych członków. Korzystając z Użytkownicy i komputery usługi Active Directory, upewnij się, że poprawni użytkownicy są obecni jako członkowie grupy.
  5. W monitorowaniu domeny usługi AD zezwól tylko na konto usługi gMSA, na które jest uruchomiony agent aprowizacji, autoryzacja umożliwiająca zmianę członkostwa w nowej grupie usługi AD.

Teraz możesz zarządzać dostępem do aplikacji usługi AD za pomocą tego nowego pakietu dostępu.

Konfigurowanie opcji istniejących grup

W tym scenariuszu należy dodać nową grupę zabezpieczeń usługi AD jako zagnieżdżonego członka grupy istniejącej grupy. Ten scenariusz dotyczy wdrożeń aplikacji, które mają zakodowaną na stałe zależność od określonej nazwy konta grupy, identyfikatora SID lub nazwy wyróżniającej.

Zagnieżdżanie tej grupy do istniejących aplikacji usługi AD umożliwi:

  • Użytkownicy firmy Microsoft Entra, którym przypisano funkcję ładu, a następnie uzyskują dostęp do aplikacji, aby mieć odpowiedni bilet protokołu Kerberos. Ten bilet zawiera istniejący identyfikator SID grup. Zagnieżdżanie jest dozwolone przez reguły zagnieżdżania grup usługi AD.

Jeśli aplikacja używa protokołu LDAP i następuje po zagnieżdżonym członkostwie w grupie, aplikacja będzie widzieć użytkowników firmy Microsoft Entra jako istniejącą grupę jako jedną z ich członkostw.

Określanie uprawnień istniejącej grupy

  1. Uruchom Użytkownicy i komputery usługi Active Directory i zarejestruj nazwę wyróżniającą, typ i zakres istniejącej grupy usługi AD używanej przez aplikację.
  2. Jeśli istniejąca grupa to Domain Admins, , Domain UsersGroup Policy Creation OwnersDomain GuestsEnterprise Key AdminsKey AdminsEnterprise AdminsProtected Userslub Schema Admins, należy zmienić aplikację tak, aby korzystała z nowej grupy, zgodnie z powyższym opisem, ponieważ te grupy nie mogą być używane przez synchronizację w chmurze.
  3. Jeśli grupa ma zakres globalny, zmień grupę na zakres uniwersalny. Grupa globalna nie może mieć grup uniwersalnych jako członków.

Tworzenie aplikacji i grupy

  1. W centrum administracyjnym firmy Microsoft Entra utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
  2. Jeśli serwer proxy aplikacji jest używany do umożliwienia użytkownikom nawiązywania połączenia z aplikacją, skonfiguruj serwer proxy aplikacji.
  3. Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
  4. Użyj aprowizacji grup do usługi AD, aby aprowizować tę grupę w usłudze AD .
  5. Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD, gdy jest obecna, zarejestruj nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID nowej grupy usługi AD.

Konfigurowanie aplikacji do korzystania z nowej grupy

  1. Przy użyciu Użytkownicy i komputery usługi Active Directory dodaj nową grupę usługi AD jako członka istniejącej grupy usługi AD.
  2. Utwórz pakiet dostępu. Dodaj aplikację z pliku #1, grupę zabezpieczeń z pliku #3 jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
  3. W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu, w tym wszystkich użytkowników istniejącej grupy usługi AD, którzy nadal potrzebują dostępu.
  4. Poczekaj na zaktualizowanie nowej grupy usługi AD przy użyciu nowych członków. Korzystając z Użytkownicy i komputery usługi Active Directory, upewnij się, że poprawni użytkownicy są obecni jako członkowie grupy.
  5. Przy użyciu Użytkownicy i komputery usługi Active Directory usuń istniejące elementy członkowskie oprócz nowej grupy usługi AD istniejącej grupy usługi AD.
  6. W monitorowaniu domeny usługi AD zezwól tylko na konto usługi gMSA, na które jest uruchomiony agent aprowizacji, autoryzacja umożliwiająca zmianę członkostwa w nowej grupie usługi AD.

Następnie będzie można zarządzać dostępem do aplikacji usługi AD za pośrednictwem tego nowego pakietu dostępu.

Rozwiązywanie problemów

Użytkownik, który jest członkiem nowej grupy usługi AD i znajduje się na komputerze z systemem Windows już zalogowanym do domeny usługi AD, może mieć istniejący bilet wystawiony przez kontroler domeny usługi AD, który nie zawiera nowego członkostwa w grupie usługi AD. Dzieje się tak, ponieważ bilet mógł zostać wystawiony przed aprowizowaniem grupy synchronizacji w chmurze, dodając go do nowej grupy usługi AD. Użytkownik nie będzie mógł przedstawić biletu dostępu do aplikacji, dlatego musi poczekać na wygaśnięcie biletu, a nowy bilet wystawiony lub przeczyścić swoje bilety, wylogować się i zalogować się z powrotem do domeny. Aby uzyskać więcej informacji, zobacz polecenie klist.

Istniejący klienci zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2

Jeśli używasz funkcji zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2, musisz przejść do aprowizacji synchronizacji w chmurze z usługą AD, zanim będzie można korzystać z aprowizacji grup synchronizacji w chmurze. Zobacz Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync

Następne kroki