Udostępnij za pośrednictwem

Zwrotne zapisywanie grup przy użyciu Microsoft Entra Cloud Sync

Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz wykonywanie zapisywania zwrotnego grup. Ta funkcja oznacza, że synchronizacja w chmurze może udostępniać grupy bezpośrednio do lokalnego środowiska Active Directory. Teraz można również używać funkcji zarządzania tożsamościami, aby zarządzać dostępem do aplikacji opartych na usłudze AD, na przykład poprzez dołączenie grupy do pakietu zarządzania uprawnieniami dostępu.

Diagram grupowego zapisu zwrotnego z synchronizacją w chmurze.

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie jest już dostępna od 30 czerwca 2024 r. Ta funkcja została wycofana z tą datą i nie jesteś już wspierany w usłudze Microsoft Entra Connect Sync do tworzenia grup zabezpieczeń w chmurze w usłudze Active Directory. Ta funkcja nadal działa poza datą zakończenia; nie otrzymuje już wsparcia i może przestać działać w dowolnym momencie bez powiadomienia.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Microsoft Entra Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Microsoft Entra Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w programie Microsoft Entra Connect Sync powinni przełączyć konfigurację z programu Microsoft Entra Connect Sync do usługi Microsoft Entra Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Microsoft Entra Cloud Sync (jeśli jest ona obsługiwana). Można również uruchomić Microsoft Entra Cloud Sync równocześnie i przenieść aprowizację grup zabezpieczeń w chmurze tylko do usługi Active Directory przy użyciu Microsoft Entra Cloud Sync.

W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.

Możesz rozważyć przeniesienie się wyłącznie do usługi Microsoft Entra Cloud Sync przy użyciu kreatora synchronizacji użytkowników .

Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne

Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.

Wymagania dotyczące licencji

Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.

Wymagania ogólne

  • Konto Microsoft Entra z przynajmniej rolą Administratora Tożsamości Hybrydowej.
  • Lokalne środowisko usług Active Directory Domain Services z systemem operacyjnym Windows Server 2016 lub nowszym.
    • Wymagane dla atrybutu schematu Active Directory – msDS-ExternalDirectoryObjectId
  • Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że uprawnienia do odczytu, zapisu, tworzenia i usuwania są ustawione dla wszystkich właściwości wszystkich podrzędnych obiektów grup i użytkowników.

Domyślnie te uprawnienia nie są stosowane do obiektów AdminSDHolder cmdletów PowerShell agenta aprowizacji Microsoft Entra.

  • Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
    • Wymagane do przeszukiwania katalogu globalnego w celu odfiltrowania nieprawidłowych odniesień do członkostwa
  • Microsoft Entra Connect Sync z kompilacją w wersji 2.2.8.0 lub nowszej
    • Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
    • Wymagane do zsynchronizowania atrybutu AD:user:objectGUID z atrybutem AAD:user:onPremisesObjectIdentifier

Obsługiwane grupy i limity skalowania

Obsługiwane są następujące elementy:

  • Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
  • Te grupy mogą mieć przypisane lub dynamiczne grupy członkostwa.
  • Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
  • Konta użytkowników na miejscu, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub być międzydomenowe, ale wszystkie muszą pochodzić z tego samego lasu.
  • Te grupy są ponownie zapisywane z uniwersalnym zakresem grup AD. Środowisko lokalne na miejscu musi obsługiwać uniwersalny zakres grup.
  • Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
  • Najemcy, którzy posiadają więcej niż 150 000 obiektów, nie są obsługiwani. Jeżeli dzierżawca ma kombinację użytkowników i grup, która przekracza 150 000 obiektów, dzierżawca nie jest obsługiwany.
  • Każda bezpośrednio zagnieżdżona grupa podrzędna liczy się jako jeden członek w grupie odwołującej się.
  • Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.

Dodatkowe informacje

Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.

  • Grupy udostępnione w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać wyłącznie lokalnych, synchronizowanych użytkowników oraz/lub dodatkowe grupy zabezpieczeń utworzone w chmurze.
  • Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
  • Identyfikator onPremisesObjectIdentifier musi być zgodny z odpowiednim objectGUID w docelowym środowisku AD.
  • Atrybut objectGUID użytkowników lokalnych można zsynchronizować z atrybutem onPremisesObjectIdentifier użytkowników chmury przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Connect Sync (2.2.8.0)
  • Jeśli używasz Microsoft Entra Connect Sync (2.2.8.0) do synchronizowania użytkowników, zamiast Microsoft Entra Cloud Sync, i chcesz używać prowizjonowania w usłudze Active Directory, musi to być wersja 2.2.8.0 lub nowsza.
  • Tylko zwykli dzierżawcy Microsoft Entra ID są obsługiwani do aprowizacji z Microsoft Entra ID do Active Directory. Najemcy, tacy jak B2C, nie są obsługiwani.
  • Zadanie konfigurowania grupy jest zaplanowane do uruchamiania co 20 minut.

Obsługiwane scenariusze zwrotnego zapisu grup za pomocą usługi Microsoft Entra Cloud Sync

W poniższych sekcjach opisano obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync.

Migracja przywracania grup z Microsoft Entra Connect Sync wersja 2 do Microsoft Entra Cloud Sync

Scenariusz: Migrowanie zapisywania zwrotnego grup przy użyciu programu Microsoft Entra Connect Sync (dawniej Azure AD Connect) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy dystrybucyjne (DL) zapisywane z powrotem przy użyciu funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji V1 lub V2 nie są obsługiwane.

Aby uzyskać więcej informacji, zobacz Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2 do usługi Microsoft Entra Cloud Sync.

Zarządzaj aplikacjami opartymi na lokalnej usłudze Active Directory (Kerberos) przy użyciu zarządzania tożsamościami Entra ID

Scenariusz: Zarządzanie aplikacjami lokalnymi za pomocą grup usługi Active Directory, które są aprowizowane z chmury i w niej zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Aby uzyskać więcej informacji, zobacz Zarządzanie lokalnymi aplikacjami opartymi na usłudze Active Directory (Kerberos) przy użyciu usługi Microsoft Entra ID Governance.

Następne kroki