Udostępnij za pośrednictwem

Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync

  • Artykuł

Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz wykonywanie zapisywania zwrotnego grup. Ta funkcja oznacza, że synchronizacja w chmurze może aprowizować grupy bezpośrednio w środowisku lokalna usługa Active Directory. Teraz można również używać funkcji zarządzania tożsamościami, aby zarządzać dostępem do aplikacji opartych na usłudze AD, takich jak dołączenie grupy w pakiecie dostępu do zarządzania upoważnieniami.

Diagram zapisywania zwrotnego grup z synchronizacją w chmurze.

Ważny

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w temacie Connect Sync to provision cloud security groups to Active Directory (Łączenie z synchronizacją z usługą Active Directory). Funkcja będzie nadal działać poza datą zakończenia; nie będzie już otrzymywać wsparcia po tej dacie i może przestać działać w dowolnym momencie bez powiadomienia.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w programie Connect Sync powinni przełączyć konfigurację z programu Connect Sync do synchronizacji z chmurą. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.

W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania licencyjne

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.

Wymagania ogólne

  • Konto Microsoft Entra z co najmniej rolą administratora tożsamości hybrydowej.
  • Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
  • Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Nuta

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są stosowane do obiektów AdminSDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji firmy Microsoft Entra

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
  • Microsoft Entra Connect Sync z kompilacją w wersji 2.2.8.0 lub nowszej
    • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
    • Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy i limity skalowania

Obsługiwane są następujące elementy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Te grupy mogą mieć przypisane lub dynamiczne grupy członkostwa.
  • Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
  • Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Dzierżawy, które mają więcej niż 150 000 obiektów, nie są obsługiwane. Oznacza to, że jeśli dzierżawa ma dowolną kombinację użytkowników i grup, które przekraczają 150 000 obiektów, dzierżawa nie jest obsługiwana.
  • Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
  • Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

  • Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
  • Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Connect Sync (2.2.8.0)
  • Jeśli używasz usługi Microsoft Entra Connect Sync (2.2.8.0) do synchronizowania użytkowników, zamiast usługi Microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
  • Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
  • Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.

Obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync

W poniższych sekcjach opisano obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync.

Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync

Scenariusz: Migrowanie zapisywania zwrotnego grup przy użyciu programu Microsoft Entra Connect Sync (dawniej Azure AD Connect) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji 1 lub V2 nie są obsługiwane.

Aby uzyskać więcej informacji, zobacz Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2 do usługi Microsoft Entra Cloud Sync.

Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra

Scenariusz: Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra .

Następne kroki