Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
Внимание
Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Подключение Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена на эту дату, и вы больше не будете поддерживаться в Подключение Синхронизации для подготовки групп безопасности облака в Active Directory.
Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.
Клиенты, использующие эту предварительную версию в Подключение Синхронизации, должны переключить конфигурацию с Подключение Sync на облачную синхронизацию. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.
Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.
Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.
Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.
В выпуске агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность подготавливать группы непосредственно в среде локальная служба Active Directory. Функции управления удостоверениями можно использовать для управления доступом к приложениям на основе AD, таким как включение группы в пакет доступа управления правами.
Просмотр видео обратной записи группы
Дополнительные сведения о подготовке группы облачной синхронизации в Active Directory и о том, что это можно сделать, проверка видео ниже.
Необходимые компоненты
Для реализации этого сценария необходимы следующие предварительные требования.
- Учетная запись Microsoft Entra с ролью гибридного Администратор istrator.
- Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
- Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId.
- Агент подготовки с версией сборки 1.1.1367.0 или более поздней.
Примечание.
Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential
Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.
Эти разрешения не применяются к объектам Администратор SDHolder по умолчанию
Командлеты Microsoft Entra provisioning agent gMSA PowerShell
- Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
- Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.
- Microsoft Entra Подключение со сборкой версии 2.2.8.0 или более поздней.
- Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Подключение.
- Требуется для синхронизации AD:user:objectGUID с Microsoft Entra ID:user:onPremisesObjectIdentifier.
Поддерживаемые группы
Для этого сценария поддерживаются только следующие группы:
- Поддерживаются только облачные группы безопасности
- Эти группы могут иметь назначение или динамическое членство
- Эти группы могут содержать только локальных синхронизированных пользователей и /или облачных созданных групп безопасности.
- Локальные учетные записи пользователей, которые синхронизируются и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
- эти группы записываются обратно с помощью групп AD, область универсальных. Локальная среда должна поддерживать универсальную группу область
- Группы, превышающие 50 000 членов, не поддерживаются
- каждая прямая дочерние вложенные группы учитывается как один член в группе ссылок
Поддерживаемые сценарии
В следующих разделах рассматриваются сценарии, которые поддерживаются при подготовке группы синхронизации облака.
Настройка поддерживаемых сценариев
Если вы хотите контролировать возможность подключения пользователя к приложению Active Directory, использующего проверка подлинности Windows, можно использовать прокси приложения и группу безопасности Microsoft Entra. Если приложение проверка членство в группах AD пользователя с помощью Kerberos или LDAP, вы можете использовать подготовку группы облачной синхронизации, чтобы убедиться, что пользователь AD имеет эти членства в группах перед доступом к приложениям.
В следующих разделах рассматриваются два варианта сценария, которые поддерживаются при подготовке группы облачной синхронизации. Параметры сценария предназначены для обеспечения того, чтобы пользователи, назначенные приложению, имели членство в группах при проверке подлинности в приложении.
- Создайте новую группу и обновите приложение, если оно уже существует, чтобы проверка для новой группы или
- Создайте новую группу и обновите существующие группы, приложение проверка для включения новой группы в качестве члена
Прежде чем начать, убедитесь, что вы являетесь администратором домена в домене, где установлено приложение. Убедитесь, что вы можете войти в контроллер домена или использовать средства удаленного сервера Администратор istration для администрирования служб домен Active Directory (AD DS), установленных на компьютере с Windows.
Настройка нового параметра групп
В этом сценарии приложение обновляется до проверка идентификатора безопасности, имени или различающегося имени новых групп, созданных при подготовке группы облачной синхронизации. Этот сценарий применим к следующему:
- развертывания для новых приложений, подключенных к AD DS в первый раз.
- новые когорты пользователей, обращаюющихся к приложению.
- для модернизации приложений, чтобы уменьшить зависимость от существующих групп AD DS.
Приложения, которые в настоящее время проверка для членства
Domain Admins
в группе, необходимо обновить, чтобы также проверка для созданной группы AD.
Выполните следующие действия, чтобы приложения использовали новые группы.
Создание приложения и группы
- С помощью Центра администрирования Microsoft Entra создайте приложение в Идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
- Если вы используете прокси приложения, чтобы разрешить пользователям подключаться к приложению, настройте прокси приложения.
- Создайте новую группу безопасности в идентификаторе Microsoft Entra.
- Используйте групповую подготовку в AD для подготовки этой группы в AD.
- Запустите Пользователи и компьютеры Active Directory и дождитесь создания результирующей новой группы AD в домене AD. Когда он присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.
Настройка приложения для использования новой группы
- Если приложение использует AD через LDAP, настройте приложение с различающееся имя новой группы AD. Если приложение использует AD через Kerberos, настройте приложение с идентификатором безопасности или доменом и именем учетной записи новой группы AD.
- Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
- В службе управления правами назначьте синхронизированных пользователей, которым требуется доступ к приложению на основе AD, пакету доступа.
- Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
- В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.
Теперь вы можете управлять доступом к приложению AD с помощью этого нового пакета доступа.
Настройка существующего параметра групп
В этом сценарии вы добавите новую группу безопасности AD в качестве вложенного члена группы существующей группы. Этот сценарий применим к развертываниям для приложений, имеющих жестко закодированную зависимость от определенного имени учетной записи группы, идентификатора безопасности или различающегося имени.
Вложение этой группы в существующие группы AD приложений позволит:
- Пользователи Microsoft Entra, назначенные функцией управления, а затем получают доступ к приложению, чтобы получить соответствующий билет Kerberos. Этот билет будет содержать существующий идентификатор безопасности групп. Это вложение разрешено правилами вложения группы AD.
Если приложение использует LDAP и следует за членством в вложенных группах, приложение увидит пользователей Microsoft Entra как имеющуюся группу как одну из своих членов.
Определение право на наличие существующей группы
- Запустите Пользователи и компьютеры Active Directory и запишите различающееся имя, тип и область существующей группы AD, используемой приложением.
- Если существующая группа
Domain Admins
имеет значение ,Domain Users
Domain Guests
,Enterprise Admins
Key Admins
Protected Users
Enterprise Key Admins
Group Policy Creation Owners
илиSchema Admins
, необходимо изменить приложение для использования новой группы, как описано выше, так как эти группы не могут использоваться облачной синхронизацией. - Если группа имеет глобальные область, измените группу на универсальную область. Глобальная группа не может иметь универсальные группы в качестве членов.
Создание приложения и группы
- В Центре администрирования Microsoft Entra создайте приложение в идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
- Если прокси приложения будет использоваться для включения подключения пользователей к приложению, настройте прокси приложения.
- Создайте новую группу безопасности в идентификаторе Microsoft Entra.
- Используйте групповую подготовку в AD для подготовки этой группы в AD.
- Запустите Пользователи и компьютеры Active Directory и дождитесь создания новой группы AD в домене AD, когда она присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.
Настройка приложения для использования новой группы
- С помощью Пользователи и компьютеры Active Directory добавьте новую группу AD в качестве члена существующей группы AD.
- Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
- В службе управления правами назначьте синхронизированных пользователей, которым требуется доступ к приложению на основе AD, пакету доступа. Сюда входят все пользователи существующей группы AD, которые будут продолжать нуждаться в доступе.
- Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
- Используя Пользователи и компьютеры Active Directory, удалите существующие члены, кроме новой группы AD, существующей группы AD.
- В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.
Затем вы сможете управлять доступом к приложению AD с помощью этого нового пакета доступа.
Устранение неполадок
Пользователь, который является членом новой группы AD и находится на компьютере с Windows, уже вошедшим в домен AD, может иметь существующий билет, выданный контроллером домена AD, который не включает новое членство в группе AD. Это связано с тем, что запрос, возможно, был выдан до подготовки группы облачной синхронизации, добавив их в новую группу AD. Пользователь не сможет представить билет для доступа к приложению, и поэтому должен ждать истечения срока действия билета и нового билета, выданного, или очистить свои билеты, выйти и войти обратно в домен. Дополнительные сведения см. в команде klist .
Существующие клиенты microsoft Entra Подключение group writeback версии 2
Если вы используете Microsoft Entra Подключение групповую обратную запись версии 2, необходимо перейти к подготовке облачной синхронизации в AD, прежде чем воспользоваться преимуществами подготовки группы синхронизации облака. См. статью "Миграция Microsoft Entra Подключение синхронизации группы записи версии 2 в Microsoft Entra Cloud Sync"