Gruppera tillbakaskrivning med Microsoft Entra Cloud Sync

Med lanseringen av etableringsagenten 1.1.1370.0 har molnsynkronisering nu möjlighet att utföra tillbakaskrivning av grupper. Den här funktionen innebär att molnsynkronisering kan etablera grupper direkt till din lokal Active Directory miljö. Nu kan du också använda funktioner för identitetsstyrning för att styra åtkomsten till AD-baserade program, till exempel genom att inkludera en grupp i ett åtkomstpaket för rättighetshantering.

Viktigt!

Den offentliga förhandsversionen av Group Writeback v2 i Microsoft Entra Anslut Sync är inte längre tillgänglig efter den 30 juni 2024. Den här funktionen upphör den här dagen och du kommer inte längre att stödjas i Anslut Sync för att etablera molnsäkerhetsgrupper i Active Directory.

Vi erbjuder liknande funktioner i Microsoft Entra Cloud Sync med namnet Gruppetablering till Active Directory som du kan använda i stället för Tillbakaskrivning av grupp v2 för etablering av molnsäkerhetsgrupper till Active Directory. Vi arbetar med att förbättra den här funktionen i Cloud Sync tillsammans med andra nya funktioner som vi utvecklar i Cloud Sync.

Kunder som använder den här förhandsgranskningsfunktionen i Anslut Sync bör byta konfiguration från Anslut Sync till Cloud Sync. Du kan välja att flytta all din hybridsynkronisering till Cloud Sync (om den stöder dina behov). Du kan också köra Cloud Sync sida vid sida och endast flytta etablering av molnsäkerhetsgrupper till Active Directory till Cloud Sync.

För kunder som etablerar Microsoft 365-grupper till Active Directory kan du fortsätta använda tillbakaskrivning av grupp v1 för den här funktionen.

Du kan utvärdera att flytta exklusivt till Cloud Sync med hjälp av användarsynkroniseringsguiden.

Titta på videon om tillbakaskrivning av grupp

En bra översikt över etablering av molnsynkroniseringsgrupper till Active Directory och vad den kan göra åt dig finns i videon nedan.

Etablera Microsoft Entra-ID till Active Directory – krav

Följande krav krävs för att implementera etableringsgrupper i Active Directory.

Licenskrav

För att använda den här funktionen krävs Microsoft Entra ID P1-licenser. Hitta rätt licens för dina behov i Jämför allmänt tillgängliga funktioner i Microsoft Entra ID.

Allmänna krav

• Microsoft Entra-konto med minst en hybridadministratörsroll .
• Lokal Active Directory-domän Services-miljö med Windows Server 2016-operativsystem eller senare.
  • Krävs för AD-schemaattribut – msDS-ExternalDirectoryObjectId
• Etableringsagent med version 1.1.1370.0 eller senare.

Kommentar

Behörigheterna till tjänstkontot tilldelas endast vid ren installation. Om du uppgraderar från den tidigare versionen måste behörigheter tilldelas manuellt med PowerShell-cmdlet:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Om behörigheterna anges manuellt måste du se till att läs-, skriv-, skapa- och ta bort alla egenskaper för alla underordnade grupper och användarobjekt.

Dessa behörigheter tillämpas inte på AdminSDHolder-objekt som standard Microsoft Entra-etableringsagent gMSA PowerShell-cmdletar

• Etableringsagenten måste kunna kommunicera med en eller flera domänkontrollanter på portarna TCP/389 (LDAP) och TCP/3268 (global katalog).
  • Krävs för global katalogsökning för att filtrera bort ogiltiga medlemskapsreferenser
• Microsoft Entra Anslut med version 2.2.8.0 eller senare
  • Krävs för att stödja lokalt användarmedlemskap som synkroniserats med Microsoft Entra Anslut
  • Krävs för att synkronisera AD:user:objectGUID till AAD:user:onPremisesObjectIdentifier

Grupper som stöds

Endast följande stöds:

• Endast molnskapade säkerhetsgrupper stöds
• Dessa grupper kan ha tilldelat eller dynamiskt medlemskap.
• Dessa grupper kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• De lokala användarkonton som synkroniseras och är medlemmar i den här molnskapade säkerhetsgruppen kan komma från samma domän eller korsdomän, men alla måste komma från samma skog.
• Dessa grupper skrivs tillbaka med OMfånget FÖR AD-grupper för universella grupper. Din lokala miljö måste ha stöd för det universella gruppomfånget.
• Grupper som är större än 50 000 medlemmar stöds inte.
• Varje direkt underordnad kapslad grupp räknas som en medlem i referensgruppen
• Avstämning av grupper mellan Microsoft Entra-ID och Active Directory stöds inte om gruppen uppdateras manuellt i Active Directory.

Ytterligare information

Följande är ytterligare information om etableringsgrupper till Active Directory.

• Grupper som har etablerats till AD med hjälp av molnsynkronisering kan bara innehålla lokala synkroniserade användare och/eller ytterligare molnskapade säkerhetsgrupper.
• Alla dessa användare måste ha attributet onPremisesObjectIdentifier inställt på sitt konto.
• OnPremisesObjectIdentifier måste matcha en motsvarande objectGUID i AD-målmiljön.
• Ett objectGUID-attribut för lokala användare till molnanvändare påPremisesObjectIdentifier-attribut kan synkroniseras med antingen Microsoft Entra Cloud Sync (1.1.1370.0) eller Microsoft Entra Anslut Sync (2.2.8.0)
• Om du använder Microsoft Entra Anslut Sync (2.2.8.0) för att synkronisera användare, i stället för Microsoft Entra Cloud Sync och vill använda Etablering till AD, måste det vara 2.2.8.0 eller senare.
• Endast vanliga Microsoft Entra ID-klienter stöds för etablering från Microsoft Entra-ID till Active Directory. Klienter som B2C stöds inte.
• Gruppetableringsjobbet är schemalagt att köras var 20:e minut.

Scenarier som stöds för tillbakaskrivning av grupper med Microsoft Entra Cloud Sync

I följande avsnitt beskrivs scenarier som stöds för tillbakaskrivning av grupper med Microsoft Entra Cloud Sync.

• Migrera tillbakaskrivning av Microsoft Entra-Anslut Sync-grupp V2 till Microsoft Entra Cloud Sync
• Styra lokal Active Directory baserade appar (Kerberos) med hjälp av Microsoft Entra ID-styrning

Migrera tillbakaskrivning av Microsoft Entra-Anslut Sync-grupp V2 till Microsoft Entra Cloud Sync

Scenario: Migrera tillbakaskrivning av grupper med Microsoft Entra Anslut Sync (tidigare Azure AD Anslut) till Microsoft Entra Cloud Sync. Det här scenariot är endast för kunder som för närvarande använder Microsoft Entra Anslut tillbakaskrivning av grupp v2. Processen som beskrivs i det här dokumentet gäller endast molnskapade säkerhetsgrupper som skrivs tillbaka med ett universellt omfång. E-postaktiverade grupper och DL:er som skrivits tillbaka med Microsoft Entra Anslut tillbakaskrivning av grupp V1 eller V2 stöds inte.

Mer information finns i Migrera Tillbakaskrivning av Microsoft Entra-Anslut Sync-grupp V2 till Microsoft Entra Cloud Sync.

Styra lokal Active Directory baserade appar (Kerberos) med hjälp av Microsoft Entra ID-styrning

Scenario: Hantera lokala program med Active Directory-grupper som etableras från och hanteras i molnet. Med Microsoft Entra Cloud Sync kan du helt styra programtilldelningar i AD samtidigt som du drar nytta av Microsoft Entra ID-styrningsfunktioner för att styra och åtgärda eventuella åtkomstrelaterade begäranden.

Mer information finns i Styra lokal Active Directory baserade appar (Kerberos) med hjälp av Microsoft Entra ID-styrning .

Nästa steg

• Etablera grupper till Active Directory med Microsoft Entra Cloud Sync
• Styra lokal Active Directory baserade appar (Kerberos) med hjälp av Microsoft Entra ID-styrning
• Migrera tillbakaskrivning av Microsoft Entra-Anslut Sync-grupp V2 till Microsoft Entra Cloud Sync