在权利管理中设置组写回

本文展示了如何在权利管理中设置组写回。 借助组写回功能，可以使用 Microsoft Entra 云同步将云组写回到本地 Active Directory 实例。

在权利管理中设置组写回

若要在访问包中为 Microsoft 365 组设置组写回，必须满足以下先决条件：

• 在 Microsoft Entra 管理中心设置组回写。
• 用于在 Microsoft Entra 云同步配置中设置组写回的组织单位 (OU)。
• 完成 Microsoft Entra 云同步的组写回启用步骤。

使用组写回，现在可以将属于访问包的安全组同步到本地 Active Directory。 若要同步组，请遵循步骤：

1. 创建 Microsoft Entra 安全组。

2. 将组设置为写回本地 Active Directory。 有关说明，请参阅 Microsoft Entra 管理中心的组写回。

3. 将组作为资源角色添加到访问包。 有关指南，请参阅创建新的访问包。

4. 启动 Active Directory 用户和计算机，并等待在 AD 域中创建生成的新 AD 组。 记录新 AD 组的可分辨名称、域、帐户名称和 SID（如果有）。

5. 通过更新应用程序或将组添加为现有组的成员，将应用程序配置为使用新组，如使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos) 中所述。

6. 将用户分配到访问包。 有关直接分配用户的说明，请参阅查看、添加和删除访问包的分配。

7. 将用户分配到访问包后，在 Microsoft Entra 云同步周期完成后，确认该用户现在是本地组的成员：

   1. 在本地 OU OR 中查看组的成员属性
   2. 查看用户对象的成员。

   注意

   Microsoft Entra 云同步的默认同步周期计划是每 30 分钟一次。 可能需要等到下一个周期发生才能在本地查看结果，或者选择手动运行同步周期以便更快地查看结果。

8. 在 AD 域监视中，仅允许运行预配代理的 gMSA 帐户，以有权更改新 AD 组中的成员身份。

后续步骤

• 在权利管理中创建和管理资源目录
• 将访问治理委托给权利管理中的访问包管理者