使用 Microsoft Entra Cloud Sync 群組回寫
隨著布建代理程式 1.1.1370.0 的發行,雲端同步現在能夠執行群組回寫。 這項功能表示雲端同步可以直接將群組布建到您的 內部部署的 Active Directory 環境。 您現在也可以使用身分識別控管功能來管理 AD 型應用程式的存取權,例如在 權利管理存取套件中包含群組。
重要
在 2024 年 6 月 30 日 之後,Microsoft Entra Connect 同步中的群組回寫公開預覽版 v2 將不再提供。 這項功能將會在此日期中止,而且連線同步將不再支援您向 Active Directory 布建雲端安全性群組。 此功能將繼續在停產日期以外運作;不過,此日期之後將不再收到支援,而且隨時可能停止運作,而不通知。
我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為群組布建至 Active Directory,您可以加以使用,而不是使用 群組回寫 v2 將雲端安全組布建至 Active Directory。 我們正努力在雲端同步中增強這項功能,以及我們在雲端同步中開發的其他新功能。
在 [連線同步] 中使用此預覽功能的客戶應該 將設定從 [連線同步] 切換至 [雲端同步]。您可以選擇將所有混合式同步移至雲端同步 (如果支援您的需求)。 您也可以並排執行雲端同步,並只將布建至 Active Directory 的雲端安全組移至雲端同步。
對於將 Microsoft 365 群組布建至 Active Directory 的客戶,您可以繼續使用群組回寫 v1 來進行這項功能。
您可以使用使用者同步處理精靈,評估是否只移至雲端同步。
將Microsoft項目標識符布建至 Active Directory - 必要條件
若要將布建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
一般需求
- Microsoft至少具有混合式身分識別系統管理員角色的 Entra 帳戶。
- 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory 網域服務 環境。
- AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
- 使用組建 1.1.1370.0 版或更新版本布建代理程式。
注意
服務帳戶的許可權只會在全新安裝期間指派。 如果您要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派許可權:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
如果手動設定許可權,您必須確定所有子系群組和用戶對象的讀取、寫入、建立和刪除所有屬性。
根據預設 ,這些許可權不會套用至 AdminSDHolder 物件,Microsoft Entra 布建代理程式 gMSA PowerShell Cmdlet
- 布建代理程式必須能夠與通訊埠 TCP/389 (LDAP) 和 TCP/3268 (全域編錄) 上的一或多個域控制器通訊。
- 全域編錄查閱篩選出無效成員資格參考的必要專案
- Microsoft Entra Connect 與組建 2.2.8.0 版或更新版本
- 需要支援使用 Microsoft Entra Connect 同步處理的內部部署使用者成員資格
- 需要將 AD:user:objectGUID 同步處理至 AAD:user:onPremisesObjectIdentifier
支援的群組
只支援下列專案:
- 僅支援雲端建立的安全組
- 這些群組可以指派或動態成員資格。
- 這些群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
- 同步處理且屬於此雲端建立安全組成員的內部部署用戶帳戶,可以來自相同網域或跨網域,但全都必須來自相同的樹系。
- 這些群組會以通用的AD群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
- 不支援大於 50,000 個成員的群組。
- 每個直接子巢狀群組都會計算為參考群組中的一個成員
- 如果群組在 Active Directory 中手動更新,則不支援Microsoft Entra ID 與 Active Directory 之間的群組對帳。
其他資訊
以下是將群組布建至 Active Directory 的其他資訊。
- 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全群組。
- 所有這些使用者都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
- 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra 雲端同步 (1.1.1370.0) 或 Microsoft Entra Connect 同步 (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
- 如果您使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步處理使用者,而不是Microsoft Entra Cloud Sync,而且想要使用布建至 AD,它必須是 2.2.8.0 或更新版本。
- 僅支援從 Microsoft Entra ID 布建至 Active Directory 的一般Microsoft Entra ID 租使用者。 不支援 B2C 之類的租使用者。
- 群組布建工作會排定每 20 分鐘執行一次。
使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例
下列各節說明使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例。
- 將Microsoft Entra Connect Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync
- 使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 (Kerberos)
將Microsoft Entra Connect Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync
案例: 使用 Microsoft Entra Connect Sync 將群組回寫移轉至 Microsoft Entra Cloud Sync。此案例 僅適用於 目前使用 Microsoft Entra Connect 群組回寫 v2 的客戶。 本檔中概述的程式僅適用於以通用範圍寫回的雲端建立安全組。 不支援使用 Microsoft Entra Connect 群組回寫 V1 或 V2 來回寫的郵件群組和 DLL。
如需詳細資訊,請參閱 將Microsoft Entra Connect Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync。
使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 (Kerberos)
案例: 使用在雲端中布建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您完全控管 AD 中的應用程式指派,同時利用 Microsoft Entra ID 控管 功能來控制和補救任何存取相關要求。
如需詳細資訊,請參閱使用 Microsoft Entra ID 控管 管理 內部部署的 Active Directory 型應用程式 (Kerberos)。
下一步
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: