Share via

Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra

  • Статья

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Подключение Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена на эту дату, и вы больше не будете поддерживаться в Подключение Синхронизации для подготовки групп безопасности облака в Active Directory.

Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию в Подключение Синхронизации, должны переключить конфигурацию с Подключение Sync на облачную синхронизацию. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.

Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.

В выпуске агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность подготавливать группы непосредственно в среде локальная служба Active Directory. Функции управления удостоверениями можно использовать для управления доступом к приложениям на основе AD, таким как включение группы в пакет доступа управления правами.

Концептуальный документ подготовки группы Microsoft Entra Cloud Sync в AD.

Просмотр видео обратной записи группы

Дополнительные сведения о подготовке группы облачной синхронизации в Active Directory и о том, что это можно сделать, проверка видео ниже.

Необходимые компоненты

Для реализации этого сценария необходимы следующие предварительные требования.

  • Учетная запись Microsoft Entra с ролью гибридного Администратор istrator.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId.
  • Агент подготовки с версией сборки 1.1.1367.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам Администратор SDHolder по умолчанию

Командлеты Microsoft Entra provisioning agent gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.
  • Microsoft Entra Подключение со сборкой версии 2.2.8.0 или более поздней.
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Подключение.
    • Требуется для синхронизации AD:user:objectGUID с Microsoft Entra ID:user:onPremisesObjectIdentifier.

Поддерживаемые группы

Для этого сценария поддерживаются только следующие группы:

  • Поддерживаются только облачные группы безопасности
  • Эти группы могут иметь назначение или динамическое членство
  • Эти группы могут содержать только локальных синхронизированных пользователей и /или облачных созданных групп безопасности.
  • Локальные учетные записи пользователей, которые синхронизируются и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • эти группы записываются обратно с помощью групп AD, область универсальных. Локальная среда должна поддерживать универсальную группу область
  • Группы, превышающие 50 000 членов, не поддерживаются
  • каждая прямая дочерние вложенные группы учитывается как один член в группе ссылок

Поддерживаемые сценарии

В следующих разделах рассматриваются сценарии, которые поддерживаются при подготовке группы синхронизации облака.

Настройка поддерживаемых сценариев

Если вы хотите контролировать возможность подключения пользователя к приложению Active Directory, использующего проверка подлинности Windows, можно использовать прокси приложения и группу безопасности Microsoft Entra. Если приложение проверка членство в группах AD пользователя с помощью Kerberos или LDAP, вы можете использовать подготовку группы облачной синхронизации, чтобы убедиться, что пользователь AD имеет эти членства в группах перед доступом к приложениям.

В следующих разделах рассматриваются два варианта сценария, которые поддерживаются при подготовке группы облачной синхронизации. Параметры сценария предназначены для обеспечения того, чтобы пользователи, назначенные приложению, имели членство в группах при проверке подлинности в приложении.

  • Создайте новую группу и обновите приложение, если оно уже существует, чтобы проверка для новой группы или
  • Создайте новую группу и обновите существующие группы, приложение проверка для включения новой группы в качестве члена

Прежде чем начать, убедитесь, что вы являетесь администратором домена в домене, где установлено приложение. Убедитесь, что вы можете войти в контроллер домена или использовать средства удаленного сервера Администратор istration для администрирования служб домен Active Directory (AD DS), установленных на компьютере с Windows.

Настройка нового параметра групп

В этом сценарии приложение обновляется до проверка идентификатора безопасности, имени или различающегося имени новых групп, созданных при подготовке группы облачной синхронизации. Этот сценарий применим к следующему:

  • развертывания для новых приложений, подключенных к AD DS в первый раз.
  • новые когорты пользователей, обращаюющихся к приложению.
  • для модернизации приложений, чтобы уменьшить зависимость от существующих групп AD DS. Приложения, которые в настоящее время проверка для членства Domain Admins в группе, необходимо обновить, чтобы также проверка для созданной группы AD.

Выполните следующие действия, чтобы приложения использовали новые группы.

Создание приложения и группы

  1. С помощью Центра администрирования Microsoft Entra создайте приложение в Идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если вы используете прокси приложения, чтобы разрешить пользователям подключаться к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите Пользователи и компьютеры Active Directory и дождитесь создания результирующей новой группы AD в домене AD. Когда он присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. Если приложение использует AD через LDAP, настройте приложение с различающееся имя новой группы AD. Если приложение использует AD через Kerberos, настройте приложение с идентификатором безопасности или доменом и именем учетной записи новой группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В службе управления правами назначьте синхронизированных пользователей, которым требуется доступ к приложению на основе AD, пакету доступа.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
  5. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Теперь вы можете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Настройка существующего параметра групп

В этом сценарии вы добавите новую группу безопасности AD в качестве вложенного члена группы существующей группы. Этот сценарий применим к развертываниям для приложений, имеющих жестко закодированную зависимость от определенного имени учетной записи группы, идентификатора безопасности или различающегося имени.

Вложение этой группы в существующие группы AD приложений позволит:

  • Пользователи Microsoft Entra, назначенные функцией управления, а затем получают доступ к приложению, чтобы получить соответствующий билет Kerberos. Этот билет будет содержать существующий идентификатор безопасности групп. Это вложение разрешено правилами вложения группы AD.

Если приложение использует LDAP и следует за членством в вложенных группах, приложение увидит пользователей Microsoft Entra как имеющуюся группу как одну из своих членов.

Определение право на наличие существующей группы

  1. Запустите Пользователи и компьютеры Active Directory и запишите различающееся имя, тип и область существующей группы AD, используемой приложением.
  2. Если существующая группа Domain Adminsимеет значение , Domain UsersDomain Guests, Enterprise AdminsKey AdminsProtected UsersEnterprise Key AdminsGroup Policy Creation Ownersили Schema Admins, необходимо изменить приложение для использования новой группы, как описано выше, так как эти группы не могут использоваться облачной синхронизацией.
  3. Если группа имеет глобальные область, измените группу на универсальную область. Глобальная группа не может иметь универсальные группы в качестве членов.

Создание приложения и группы

  1. В Центре администрирования Microsoft Entra создайте приложение в идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если прокси приложения будет использоваться для включения подключения пользователей к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите Пользователи и компьютеры Active Directory и дождитесь создания новой группы AD в домене AD, когда она присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. С помощью Пользователи и компьютеры Active Directory добавьте новую группу AD в качестве члена существующей группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В службе управления правами назначьте синхронизированных пользователей, которым требуется доступ к приложению на основе AD, пакету доступа. Сюда входят все пользователи существующей группы AD, которые будут продолжать нуждаться в доступе.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
  5. Используя Пользователи и компьютеры Active Directory, удалите существующие члены, кроме новой группы AD, существующей группы AD.
  6. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Затем вы сможете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Устранение неполадок

Пользователь, который является членом новой группы AD и находится на компьютере с Windows, уже вошедшим в домен AD, может иметь существующий билет, выданный контроллером домена AD, который не включает новое членство в группе AD. Это связано с тем, что запрос, возможно, был выдан до подготовки группы облачной синхронизации, добавив их в новую группу AD. Пользователь не сможет представить билет для доступа к приложению, и поэтому должен ждать истечения срока действия билета и нового билета, выданного, или очистить свои билеты, выйти и войти обратно в домен. Дополнительные сведения см. в команде klist .

Существующие клиенты microsoft Entra Подключение group writeback версии 2

Если вы используете Microsoft Entra Подключение групповую обратную запись версии 2, необходимо перейти к подготовке облачной синхронизации в AD, прежде чем воспользоваться преимуществами подготовки группы синхронизации облака. См. статью "Миграция Microsoft Entra Подключение синхронизации группы записи версии 2 в Microsoft Entra Cloud Sync"

Next Steps