使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 （Kerberos）

重要

Microsoft Entra 連線 Sync 中群組回寫 v2 的公開預覽，在 2024 年 6 月 30 日之後將不再提供。 這項功能將會在此日期終止，而且您將不再支援 連線 Sync 將雲端安全組布建至 Active Directory。

我們在 Microsoft Entra Cloud Sync 中提供類似的功能，稱為 「群組布建至 Active Directory 」，您可以使用此功能，而不是將雲端安全組布建至 Active Directory 的群組回寫 v2。 我們正努力在 Cloud Sync 中增強這項功能，以及我們在 Cloud Sync 中開發的其他新功能。

在 連線 Sync 中使用此預覽功能的客戶，應將其設定從 連線 Sync 切換至 Cloud Sync。您可以選擇將所有混合式同步移至 Cloud Sync（如果支援您的需求）。 您也可以並存執行 Cloud Sync，並只將雲端安全組布建至 Active Directory 移至 Cloud Sync。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶，您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈，以獨佔方式評估移至 Cloud Sync。

案例： 使用在雲端中布建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您完全控管 AD 中的應用程式指派，同時利用 Microsoft Entra ID 控管 功能來控制和補救任何存取相關要求。

隨著布建代理程式 1.1.1370.0 的發行，雲端同步現在能夠將群組直接布建到您的 內部部署的 Active Directory 環境。 您可以使用身分識別控管功能來管理 AD 型應用程式的存取權，例如在 權利管理存取套件中包含群組。

觀看群組回寫影片

如需雲端同步群組布建至 Active Directory 的絕佳概觀及其功能，請參閱下列影片。

必要條件

實作此案例需要下列必要條件。

• 至少具有混合式 管理員 istrator 角色的 Microsoft Entra 帳戶。
• 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory 網域服務 環境。
  • AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId。
• 使用組建 1.1.1367.0 版或更新版本布建代理程式。

注意

服務帳戶的許可權只會在全新安裝期間指派。 如果您要從舊版升級，則必須使用 PowerShell Cmdlet 手動指派許可權：

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

如果手動設定許可權，您必須確定所有子系群組和用戶對象的讀取、寫入、建立和刪除所有屬性。

這些許可權預設不會套用至 管理員 SDHolder 物件

Microsoft Entra 布建代理程序 gMSA PowerShell Cmdlet

• 布建代理程式必須能夠與通訊埠 TCP/389 （LDAP） 和 TCP/3268 （全域編錄） 上的一或多個域控制器通訊。
  • 全域編錄查閱必須篩選出無效的成員資格參考。
• Microsoft Entra 連線 組建 2.2.8.0 版或更新版本。
  • 需要支援使用 Microsoft Entra 連線 同步處理的內部部署使用者成員資格。
  • 需要將 AD：user：objectGUID 同步處理至 Microsoft Entra ID：user：onPremisesObjectIdentifier。

支援的群組

在此案例中，僅支援下列群組：

• 僅支援雲端建立的安全組
• 這些群組可以指派或動態成員資格
• 這些群組只能包含內部部署同步處理的使用者和/或雲端建立的安全組
• 同步處理且屬於此雲端建立安全組成員的內部部署用戶帳戶，可以來自相同網域或跨網域，但全部都必須來自相同的樹系
• 這些群組會以通用的AD群組範圍寫回。 您的內部部署環境必須支援通用群組範圍
• 不支援大於 50,000 個成員的群組
• 每個直接子巢狀群組都會計算為參考群組中的一個成員

支援的案例

下列各節將討論雲端同步群組布建所支援的案例。

設定支援的案例

如果您想要控制使用者是否能夠連線到使用 Windows 驗證 的 Active Directory 應用程式，您可以使用應用程式 Proxy 和 Microsoft Entra 安全組。 如果應用程式會透過 Kerberos 或 LDAP 檢查使用者的 AD 群組成員資格，則您可以使用雲端同步群組布建來確保 AD 使用者在存取應用程式之前具有這些群組成員資格。

下列各節將討論雲端同步群組布建支援的兩個案例選項。 案例選項旨在確保指派給應用程式的使用者在向應用程式進行驗證時具有群組成員資格。

• 建立新的群組並更新應用程式，如果應用程式已經存在，則為檢查新群組，或
• 建立新的群組並更新現有的群組，應用程式正在檢查，以將新群組納入為成員

開始之前，請確定您是安裝應用程式的網域中的網域系統管理員。 請確定您可以登入域控制器，或讓 Windows 電腦上安裝 Active Directory 網域服務 （AD DS） 管理的遠端伺服器 管理員 管理工具。

設定新的群組選項

在此案例選項中，您會更新應用程式，以檢查雲端同步群組布建所建立之新群組的 SID、名稱或辨別名稱。 此案例適用於：

• 第一次連線到AD DS之新應用程式的部署。
• 存取應用程式之使用者的新世代。
• 針對應用程式現代化，減少現有AD DS群組的相依性。 目前檢查群組成員資格 Domain Admins 的應用程式也必須更新，才能檢查新建立的AD群組。

使用下列步驟讓應用程式使用新的群組。

建立應用程式和群組

1. 使用 Microsoft Entra 系統管理中心，在代表 AD 型應用程式的 Microsoft Entra 識別符中建立應用程式，並將應用程式設定為需要使用者指派。
2. 如果您使用應用程式 Proxy 讓使用者連線到應用程式，請設定應用程式 Proxy。
3. 在 Microsoft Entra ID 中建立新的安全組。
4. 使用 群組布建至AD ，將此群組布建至AD。
5. 啟動 Active Directory 使用者和電腦，並等候在 AD 網域中建立產生的新 AD 群組。 當它存在時，請記錄新 AD 群組的辨別名稱、網域、帳戶名稱和 SID。

設定應用程式以使用新的群組

1. 如果應用程式透過LDAP使用AD，請使用新AD群組的辨別名稱來設定應用程式。 如果應用程式透過 Kerberos 使用 AD，請使用新 AD 群組的 SID 或網域和帳戶名稱來設定應用程式。
2. 建立 存取套件。 從 #1 將應用程式新增為存取套件中的資源，也就是來自 #3 的安全組。 在存取套件中設定直接指派原則。
3. 在 [權利管理] 中，將需要存取 AD 型應用程式的同步使用者指派給存取套件。
4. 等候新的AD群組更新為新的成員。 使用 Active Directory 使用者和電腦，確認正確的使用者會以群組的成員身分存在。
5. 在您的 AD 網域監視中，只允許執行 布建代理程式的 gMSA 帳戶 ， 授權以變更新 AD 群組中的成員資格 。

您現在可以透過這個新的存取套件控管 AD 應用程式的存取權。

設定現有的群組選項

在此案例選項中，您會將新的AD安全組新增為現有群組的巢狀群組成員。 此案例適用於具有特定組帳戶名稱、SID 或辨別名稱之硬式編碼相依性的應用程式部署。

將該群組巢狀化到現有的 AD 群組中，將允許：

• 由治理功能指派的 Microsoft Entra 使用者，然後存取應用程式，以取得適當的 Kerberos 票證。 此票證將包含現有的群組 SID。 AD 群組巢狀規則允許此巢狀結構。

如果應用程式使用LDAP並遵循巢狀群組成員資格，應用程式會看到 Microsoft Entra 使用者將現有的群組設為其中一個成員資格。

判斷現有群組的資格

1. 啟動 Active Directory 使用者和電腦，並記錄應用程式所用現有AD群組的辨別名稱、類型和範圍。
2. 如果現有的群組為 Domain Admins、Domain Guests、、Domain Users、Enterprise AdminsEnterprise Key AdminsGroup Policy Creation Owners、、、 Key AdminsProtected Users或 Schema Admins，則您必須將應用程式變更為使用新的群組，如上所述，因為這些群組無法供雲端同步使用。
3. 如果群組具有全域範圍，請將群組變更為具有通用範圍。 全域群組不能有通用群組做為成員。

建立應用程式和群組

1. 在 Microsoft Entra 系統管理中心中，在代表 AD 型應用程式的 Microsoft Entra 識別符中建立應用程式，並將應用程式設定為需要使用者指派。
2. 如果應用程式 Proxy 將用來讓使用者連線到應用程式，請設定應用程式 Proxy。
3. 在 Microsoft Entra ID 中建立新的安全組。
4. 使用 群組布建至AD ，將此群組布建至AD。
5. 啟動 Active Directory 使用者和電腦，並等候在AD網域中建立產生的新AD群組：當它存在時，請記錄新AD群組的辨別名稱、網域、帳戶名稱和SID。

設定應用程式以使用新的群組

1. 使用 Active Directory 使用者和電腦，將新的AD群組新增為現有AD群組的成員。
2. 建立 存取套件。 從 #1 將應用程式新增為存取套件中的資源，也就是來自 #3 的安全組。 在存取套件中設定直接指派原則。
3. 在 [權利管理] 中，將需要存取 AD 型應用程式的同步使用者指派給存取套件。 這包括現有 AD 群組的任何使用者成員，他們將會繼續需要存取權。
4. 等候新的AD群組更新為新的成員。 使用 Active Directory 使用者和電腦，確認正確的使用者會以群組的成員身分存在。
5. 使用 Active Directory 使用者和電腦，除了現有AD群組的新AD群組之外，移除現有的成員。
6. 在您的 AD 網域監視中，只允許執行 布建代理程式的 gMSA 帳戶 ， 授權以變更新 AD 群組中的成員資格 。

然後，您將能夠透過這個新的存取套件控管 AD 應用程式的存取權。

疑難排解

屬於新 AD 群組成員且位於已登入 AD 網域的 Windows 電腦上的使用者，可能有 AD 域控制器發出的現有票證，且不包含新的 AD 群組成員資格。 這是因為在雲端同步群組布建之前，可能會發出票證，並將它們新增至新的 AD 群組。 使用者無法呈現要存取應用程式的票證，因此必須等候票證到期，併發出新的票證，或清除其票證、註銷並重新登入網域。 如需詳細資訊， 請參閱 klist 命令。

現有的 Microsoft Entra 連線 群組回寫 v2 客戶

如果您使用 Microsoft Entra 連線 群組回寫 v2，您必須先移至雲端同步布建至 AD，才能利用雲端同步群組布建。 請參閱將 Microsoft Entra 連線 同步群組回寫 V2 遷移至 Microsoft Entra Cloud Sync

後續步驟

• 使用 Microsoft Entra Cloud Sync 群組回寫
• 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory
• Microsoft Entra 連線 Sync 群組回寫 V2 至 Microsoft Entra Cloud Sync 移轉