Обратная запись групп с помощью Microsoft Entra Cloud Sync

  • Статья

С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность обратной записи группы. Эта функция означает, что облачная синхронизация может подготавливать группы непосредственно в среде локальная служба Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.

Схема обратной записи группы с помощью облачной синхронизации.

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Подключение Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена на эту дату, и вы больше не будете поддерживаться в Подключение Синхронизации для подготовки групп безопасности облака в Active Directory.

Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию в Подключение Синхронизации, должны переключить конфигурацию с Подключение Sync на облачную синхронизацию. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.

Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.

Просмотр видео обратной записи группы

Дополнительные сведения о подготовке группы облачной синхронизации в Active Directory и о том, что это можно сделать, проверка видео ниже.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью гибридного Администратор istrator.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам Администратор SDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Microsoft Entra Подключение с сборкой версии 2.2.8.0 или более поздней
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Подключение
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы

Поддерживается только следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут назначить или динамическую членство.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью групп AD, область универсальных. Локальная среда должна поддерживать универсальную группу область.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Все эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Подключение Sync (2.2.8.0)
  • Если вы используете microsoft Entra Подключение Sync (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.2.8.0 или более поздней версии.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Поддерживаемые сценарии для обратной записи групп с помощью Microsoft Entra Cloud Sync

В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.

Перенос обратной записи группы синхронизации Microsoft Entra Подключение версии 2 в Microsoft Entra Cloud Sync

Сценарий. Перенос обратной записи группы с помощью Microsoft Entra Подключение Sync (прежнее название — Azure AD Подключение) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют Microsoft Entra Подключение групповую обратную запись версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются с помощью универсальной область. Группы с поддержкой почты и списки DLs, написанные обратно с помощью Microsoft Entra Подключение обратной записи группы версии 1 или версии 2, не поддерживаются.

Дополнительные сведения см. в статье "Миграция Microsoft Entra Подключение синхронизации группы синхронизации версии 2 в Microsoft Entra Cloud Sync".

Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальная служба Active Directory" (Kerberos) с помощью Управление идентификацией Microsoft Entra.

Следующие шаги