Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Publiczna wersja zapoznawcza funkcji zapisywania grup wstecz w wersji 2 w programie Microsoft Entra Connect Sync nie jest już dostępna od 30 czerwca 2024 r.. Ta funkcja została wycofana z tą datą i nie jesteś już wspierany w usłudze Microsoft Entra Connect Sync do tworzenia grup zabezpieczeń w chmurze w usłudze Active Directory. Ta funkcja nadal działa poza datą zakończenia; nie otrzymuje już wsparcia i może przestać działać w dowolnym momencie bez powiadomienia.
Oferujemy podobną funkcjonalność w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory, której można użyć zamiast Group Writeback v2 do aprowizowania grup zabezpieczeń z chmury w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Microsoft Entra Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Microsoft Entra Cloud Sync.
Klienci korzystający z tej funkcji w wersji zapoznawczej w Microsoft Entra Connect Sync powinni przełączyć konfigurację z Microsoft Entra Connect Sync na usługę Microsoft Entra Cloud Sync. Możesz przenieść całą swoją synchronizację hybrydową do Microsoft Entra Cloud Sync (jeśli usługa obsługuje twoje potrzeby). Można również uruchomić Microsoft Entra Cloud Sync równocześnie i przenieść aprowizację grup zabezpieczeń w chmurze tylko do usługi Active Directory przy użyciu Microsoft Entra Cloud Sync.
W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.
Możesz rozważyć przeniesienie się wyłącznie do usługi Microsoft Entra Cloud Sync przy użyciu kreatora synchronizacji użytkowników .
Scenariusz: Zarządzanie lokalnymi aplikacjami na terenie firmy za pomocą grup usługi Active Directory, które są udostępniane z chmury i zarządzane w chmurze. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.
Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz aprowizację grup bezpośrednio w lokalnym środowisku Active Directory. Za pomocą funkcji zarządzania tożsamościami można zarządzać dostępem do aplikacji opartych na usłudze AD, na przykład poprzez dołączenie grupy do pakietu dostępu do zarządzania upoważnieniami.
Obejrzyj wideo dotyczącą działania grupy
Aby zapoznać się z doskonałym omówieniem tworzenia grup synchronizacji w chmurze z usługą Active Directory i jakie korzyści możesz z tego uzyskać, obejrzyj poniższy film.
Wymagania wstępne
Do zaimplementowania tego scenariusza wymagane są następujące wymagania wstępne.
- Konto Microsoft Entra z rolą co najmniej Administratora Tożsamości Hybrydowej.
- Lokalne środowisko usług domenowych Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
- Wymagany dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId.
- Konfigurowanie agenta z wersją kompilacji 1.1.1367.0 lub nowszą.
Uwaga
Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń zostały ustawione dla wszystkich obiektów grup podrzędnych i użytkowników.
Te uprawnienia nie są domyślnie stosowane do obiektów AdminSDHolder
Microsoft Entra provisioning agent gMSA cmdlet poleceń programu PowerShell
- Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
- Wymagane do wyszukiwania w globalnym katalogu w celu odfiltrowania nieprawidłowych odwołań do członkostwa.
- Microsoft Entra Connect z kompilacją w wersji 2.2.8.0 lub nowszej.
- Wymagane do wsparcia członkostwa użytkowników w środowisku lokalnym, synchronizowane za pomocą Microsoft Entra Connect.
- Wymagane jest zsynchronizowanie identyfikatora AD:user:objectGUID z identyfikatorem Entra:user:onPremisesObjectIdentifier.
Obsługiwane grupy
W tym scenariuszu obsługiwane są tylko następujące grupy:
- Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
- Te grupy muszą mieć przypisane lub dynamiczne członkostwo
- Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i /lub grup zabezpieczeń utworzonych w chmurze
- Lokalne konta użytkowników, które są synchronizowane i należą do tej utworzonej grupy zabezpieczeń w chmurze, mogą pochodzić z tej samej domeny lub z różnych domen, ale wszystkie muszą pochodzić z tego samego lasu.
- Te grupy są ponownie zapisywane z zakresem uniwersalnym grup Active Directory . Środowisko lokalne (on-premises) musi obsługiwać zakres grupy uniwersalnej
- Grupy, które są większe niż 50 000 członków, nie są obsługiwane
- Każda bezpośrednio podrzędna zagnieżdżona grupa liczy się jako jeden członek w grupie odwołującej się.
Obsługiwane scenariusze
W poniższych sekcjach omówiono scenariusze obsługiwane poprzez aprowizację grup synchronizacyjnych w chmurze.
Konfigurowanie obsługiwanych scenariuszy
Jeśli chcesz kontrolować, czy użytkownik może nawiązać połączenie z aplikacją usługi Active Directory korzystającą z uwierzytelniania systemu Windows, możesz użyć serwera proxy aplikacji i grupy zabezpieczeń firmy Microsoft Entra. Jeśli aplikacja weryfikuje członkostwo użytkownika w grupach Active Directory za pośrednictwem protokołu Kerberos lub LDAP, możesz użyć aprowizjonowania grupy w chmurze, aby upewnić się, że użytkownik Active Directory posiada te członkostwa, zanim uzyska dostęp do aplikacji.
W poniższych sekcjach omówiono dwa warianty scenariuszy obsługiwane przez udostępnianie grup synchronizacji w chmurze. Opcje scenariusza są przeznaczone do zapewnienia, że użytkownicy przypisani do aplikacji mają członkostwo w grupach podczas uwierzytelniania w aplikacji.
- Utwórz nową grupę i zaktualizuj aplikację, jeśli już istnieje, aby sprawdzić nową grupę lub
- Utwórz nową grupę i zaktualizuj istniejące grupy sprawdzane przez aplikację, aby uwzględnić nową grupę jako członka
Przed rozpoczęciem upewnij się, że jesteś administratorem domeny w domenie, w której zainstalowano aplikację. Upewnij się, że możesz zalogować się do kontrolera domeny lub mieć zainstalowane narzędzia administracji zdalnej serwera do administrowania usługami Active Directory Domain Services (AD DS) na komputerze z systemem Windows.
Konfigurowanie nowej opcji grup
W tym scenariuszu zaktualizujesz aplikację, aby sprawdzić SID, nazwę lub nazwę wyróżniającą nowych grup tworzonych w procesie synchronizacji z chmurą. Ten scenariusz ma zastosowanie do następujących elementów:
- Wdrożenia nowych aplikacji połączonych z usługami AD DS po raz pierwszy.
- Nowa kohorta użytkowników, którzy uzyskują dostęp do aplikacji.
- Modernizacja aplikacji w celu zmniejszenia zależności od istniejących grup usług AD DS.
Aplikacje, które obecnie sprawdzają członkostwo w grupie
Domain Admins, muszą zostać zaktualizowane, aby sprawdzać również nowo utworzoną grupę usługi AD.
Wykonaj następujące kroki, aby aplikacje korzystały z nowych grup.
Tworzenie aplikacji i grupy
- Korzystając z centrum administracyjnego firmy Microsoft Entra, utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
- Jeśli używasz serwera proxy aplikacji, aby umożliwić użytkownikom łączenie się z aplikacją, skonfiguruj serwer proxy aplikacji.
- Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
- Użyj Aprowizacji Grup do AD, aby skonfigurować tę grupę w AD.
- Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj, aż nowo utworzona grupa AD pojawi się w domenie AD. Jeśli nowa grupa AD jest obecna, zapisz nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID.
Konfigurowanie aplikacji do korzystania z nowej grupy
- Jeśli aplikacja używa usługi AD za pośrednictwem protokołu LDAP, skonfiguruj aplikację przy użyciu nazwy wyróżniającej nowej grupy usługi AD. Jeśli aplikacja używa usługi AD za pośrednictwem protokołu Kerberos, skonfiguruj aplikację przy użyciu identyfikatora SID lub nazwy domeny i konta nowej grupy usługi AD.
- Utwórz pakiet dostępu. Dodaj aplikację z kroku 1 i grupę zabezpieczeń z kroku 3 zgodnie z opisem w sekcji Tworzenie aplikacji i grupy powyżej jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
- W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu.
- Poczekaj na zaktualizowanie nowej grupy AD z nowymi członkami. Korzystając z narzędzia Użytkownicy i komputery usługi Active Directory, upewnij się, że prawidłowi użytkownicy są członkami grupy.
- W monitorowaniu domeny AD zezwól tylko na to, aby konto gMSA, które uruchamia agenta aprowizacji, miało autoryzację do zmiany członkostwa w nowej grupie AD.
Teraz możesz zarządzać dostępem do aplikacji usługi AD za pomocą tego nowego pakietu dostępu.
Konfigurowanie opcji istniejących grup
W tym scenariuszu należy dodać nową grupę zabezpieczeń AD jako zagnieżdżoną w istniejącej grupie. Ten scenariusz dotyczy wdrożeń aplikacji, które mają zakodowaną na stałe zależność od określonej nazwy konta grupy, identyfikatora SID lub nazwy wyróżniającej.
Zagnieżdżenie tej grupy w istniejącej grupie AD aplikacji umożliwi:
- Użytkownicy Microsoft Entra, którym przypisano funkcję zarządzania i którzy następnie uzyskują dostęp do aplikacji, aby uzyskać odpowiedni bilet protokołu Kerberos. Ten bilet zawiera identyfikator SID istniejącej grupy. Zagnieżdżanie jest dozwolone przez reguły zagnieżdżania grup AD.
Jeśli aplikacja używa protokołu LDAP i obsługuje zagnieżdżone członkostwo w grupach, aplikacja będzie widzieć użytkowników Microsoft Entra jako mających istniejącą grupę jako jedną z ich członkostw.
Określanie uprawnień istniejącej grupy
- Uruchom przystawkę Active Directory Użytkownicy i Komputery i zapisz nazwę wyróżniającą, typ i zakres istniejącej grupy Active Directory używanej przez aplikację.
- Jeśli istniejąca grupa to
Domain Admins,Domain Guests,Domain Users,Enterprise Admins,Enterprise Key Admins,Group Policy Creation Owners,Key Admins,Protected UserslubSchema Admins, należy zmienić aplikację tak, aby korzystała z nowej grupy, jak opisano powyżej, ponieważ te grupy nie mogą być używane przez synchronizację w chmurze. - Jeśli grupa ma zakres globalny, zmień grupę na zakres uniwersalny. Grupa globalna nie może mieć grup uniwersalnych jako członków.
Tworzenie aplikacji i grupy
- W centrum administracyjnym firmy Microsoft Entra utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
- Jeśli serwer proxy aplikacji jest używany do umożliwienia użytkownikom nawiązywania połączenia z aplikacją, skonfiguruj serwer proxy aplikacji.
- Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
- Użyj Aprowizacji Grup do AD, aby skonfigurować tę grupę w AD.
- Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj, aż nowo utworzona grupa AD pojawi się w domenie AD. Jeśli nowa grupa AD jest obecna, zapisz nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID.
Konfigurowanie aplikacji do korzystania z nowej grupy
- Korzystając z narzędzia Użytkownicy i komputery usługi Active Directory, dodaj nową grupę usługi Active Directory jako członka istniejącej grupy usługi Active Directory.
- Utwórz pakiet dostępu. Dodaj aplikację z kroku 1 i grupę zabezpieczeń z kroku 3 zgodnie z opisem w sekcji Tworzenie aplikacji i grupy powyżej jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
- W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu, w tym wszystkich użytkowników istniejącej grupy usługi AD, którzy nadal potrzebują dostępu.
- Poczekaj na zaktualizowanie nowej grupy AD z nowymi członkami. Korzystając z narzędzia Użytkownicy i komputery usługi Active Directory, upewnij się, że prawidłowi użytkownicy są członkami grupy.
- Korzystając z Active Directory Users and Computers, usuń istniejących członków z istniejącej grupy AD, oprócz nowej grupy AD.
- W monitorowaniu domeny AD zezwól tylko na to, aby konto gMSA, które uruchamia agenta aprowizacji, miało autoryzację do zmiany członkostwa w nowej grupie AD.
Następnie będzie można zarządzać dostępem do aplikacji usługi AD za pośrednictwem tego nowego pakietu dostępu.
Rozwiązywanie problemów
Użytkownik, który jest członkiem nowej grupy usługi AD i znajduje się na komputerze z systemem Windows już zalogowanym w domenie usługi AD, może mieć istniejący bilet wystawiony przez kontroler domeny usługi AD, który nie zawiera nowego członkostwa w grupie usługi AD. Dzieje się tak, ponieważ zgłoszenie mogło zostać wystawione przed ustanowieniem grupy synchronizacji w chmurze, dodając je do nowej grupy w usłudze AD. Użytkownik nie będzie mógł przedstawić biletu dostępu do aplikacji, dlatego musi poczekać na wygaśnięcie biletu i na wystawienie nowego biletu lub musi przeczyścić swoje bilety, wylogować się, a następnie zalogować się z powrotem do domeny. Aby uzyskać więcej informacji, zobacz polecenie klist.
Istniejący klienci programu Microsoft Entra Connect korzystający z zapisywania zwrotnego grup w wersji 2
Jeśli używasz funkcji zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2, musisz przejść do aprovisionowania synchronizacji z chmury do AD, zanim będzie można korzystać z zapewnienia synchronizacji grup w chmurze. Zobacz Migrowanie funkcji zapisu zwrotnego grup w wersji V2 programu Microsoft Entra Connect Sync do usługi Microsoft Entra Cloud Sync