重要
Microsoft Entra Connect Sync 中的群組回寫 v2 預覽已過時,不再支援。
您可以使用 Microsoft Entra Cloud Sync 將雲端安全組布建至內部部署 Active Directory 網域服務 (AD DS)。
如果您在 Microsoft Entra Connect Sync 中使用群組回寫 v2,您應該將同步處理用戶端移至 Microsoft Entra Cloud Sync。若要檢查您是否有資格移至 Microsoft Entra Cloud Sync,請使用使用者同步處理精靈。
如果您無法如精靈程式建議使用 Microsoft Cloud Sync,您可以與 Microsoft Entra Connect Sync 同時執行 Microsoft Entra Cloud Sync。在此情況下,您可以執行 Microsoft Entra Cloud Sync,將雲端安全組布建至本地部署的 AD DS。
如果您將 Microsoft 365 群組佈建至 AD DS,您可以繼續使用群組回寫 v1。
本文概述針對與 Active Directory Domain Services (AD DS) 整合的內部部署應用程式使用Microsoft Entra ID Governance 的案例。
涵蓋案例: 使用在雲端中布建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您在 AD DS 中完全控管應用程式指派,同時利用Microsoft Entra ID 控管功能來控制及補救任何存取相關要求。
如需如何控管未與 AD DS 整合之應用程式的詳細資訊,請參閱 控管環境中應用程式的存取權。
支援的案例
如果您想要控制使用者是否可以連線到使用 Windows 驗證的 Active Directory 應用程式,您可以使用應用程式 Proxy 和 Microsoft Entra 安全組。 如果應用程式使用 Kerberos 或輕量型目錄存取通訊協定 (LDAP) 來檢查使用者的 AD DS 群組成員資格,您可以使用 Cloud Sync 群組布建來確保使用者在存取應用程式之前具有這些群組成員資格。
下列各節將討論雲端同步群組布建支援的三個選項。 案例選項旨在確保指派給應用程式的使用者,在向應用程式進行驗證時具有群組成員資格。
使用 Microsoft Entra Connect Sync 或 Microsoft Entra Cloud Sync,將在 AD DS 中與 Microsoft Entra ID 同步的群組的授權來源(SOA)進行轉換。
建立一個新的群組,並在應用程式已經存在時進行更新,以便檢查並支援該新群組。
建立新的群組,並更新現有的群組以確保應用程式將新群組納入成員之中。
開始之前,請確定您是安裝應用程式之網域中的網域系統管理員。 請確定您可以登入域控制器,或在您的 Windows 電腦上安裝 AD DS 管理的 遠端伺服器管理工具 。
Microsoft Entra ID 有一項應用程式 Proxy 服務,可讓使用者使用其 Microsoft Entra 帳戶登入來存取內部部署應用程式。 如需如何設定應用程式 Proxy 的詳細資訊,請參閱 在 Microsoft entra ID 中新增內部部署應用程式,以透過應用程式 Proxy 進行遠端訪問。
必要條件
實作此案例需要下列必要條件:
至少具有 混合式身分識別系統管理員 角色的 Microsoft Entra 帳戶。
具有 Windows Server 2016 作業系統或更新的版本的本機 Active Directory Domain Services(AD DS)環境。
- AD DS 架構屬性 - msDS-ExternalDirectoryObjectId 的必要項目。
使用組建版本 1.1.1367.0 或更新版本的佈建代理程式。
注意
服務帳戶的許可權只會在全新安裝期間指派。 如果您從舊版升級,請使用 PowerShell 手動指派許可權:
$credential = Get-Credential Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential請確定您允許所有子系群組和使用者的讀取、寫入、建立和刪除所有屬性。
這些許可權預設情況下不會由 Microsoft Entra 布建代理程式的 gMSA PowerShell Cmdlet 套用至 AdminSDHolder 物件。
布建代理程式必須能夠與通訊埠 TCP/389 上的一或多個域控制器通訊,以進行輕量型目錄存取通訊協定(LDAP)和 TCP/3268 全域編錄。
- 全域編錄查閱必須篩選出無效的成員資格參考。
Microsoft Entra Connect 版本 2.2.8.0 或更高版本。
- 需要支持使用 Microsoft Entra Connect 同步處理的本機使用者成員資格。
- 必須將
AD DS:user:objectGUID同步到Microsoft Entra ID:user:onPremisesObjectIdentifier。
如需詳細資訊,請參閱 雲端同步支援的群組和調整限制。
支援的群組
在此案例中,僅支援下列群組:
- 僅支援由雲端建立或經由授權來源轉換的安全群組。
- 指派或動態會員群組。
- 包含本機部署同步的使用者或由雲端建立的安全群組。
- 屬於由雲端建立的安全群組的內部部署同步使用者,可以來自相同網域或相同樹系中的其他網域。
- 樹系必須支援通用群組,因為雲端建立的安全群組會寫回至具有通用群組範圍的 AD DS
- 不超過 50,000 個成員
- 每個直接子巢狀群組都會計算為參考群組中的一位成員
將群組布建回 AD DS 時的考慮事項
如果在將群組 SOA 轉換後需要將群組重新布建回 AD DS,請將它布建回其原始組織單位(OU)。 這種做法可確保Microsoft Entra Cloud Sync 會將已轉換的群組辨識為 AD DS 中的相同群組。
雲端同步會辨識已轉換的群組,因為兩個群組共用相同的安全性標識碼 (SID)。 如果您將群組布建至不同的 OU,它會維護相同的 SID,Microsoft Entra Cloud Sync 會更新現有的群組,但您可能會遇到訪問控制清單的問題。 許可權不一定能順利在容器之間轉移,且只有群組布建的明確許可權會被啟用。 從原始 OU 繼承的許可權或套用至 OU 的群組原則物件的許可權不會與群組一起佈建。
轉換 SOA 之前,請考慮下列建議步驟:
- 請盡量將您計劃為SOA轉換的群組移動到特定的組織單位。 如果您無法移動群組,請先將每個群組的 OU 路徑設定為原始 OU 路徑,再轉換群組的 SOA。 如需如何設定原始 OU 路徑的詳細資訊,請參閱 保留和使用原始 OU 進行群組布建。
- 進行SOA變更。
- 將群組布建至 AD DS 時,請設定屬性對應,如 保留並使用原始 OU 進行群組布建中所述。
- 先執行隨選布建,再啟用其餘群組的布建。
如需如何為布建至 AD DS 的群組設定目標位置的詳細資訊,請參閱 範圍篩選目標容器。
使用群組 SOA 控管內部部署 AD DS 型應用程式
在此案例中,當應用程式使用AD DS網域中的群組時,您可以將群組的SOA轉換為 Microsoft Entra。 然後,您可以使用 Microsoft Entra Cloud Sync,將原本在 Microsoft Entra 中進行的群組成員資格變更,例如通過權限管理或存取權檢閱,布建回 AD DS。在此模型中,您不需要更改應用程式或建立新的群組。
使用下列步驟讓應用程式使用群組SOA選項。
建立應用程式並轉換SOA
- 使用 Microsoft Entra 系統管理中心,在代表 AD DS 型應用程式的 Microsoft Entra 識別符中建立應用程式,並將應用程式設定為要求使用者指派。
- 請確保您打算轉換的 AD DS 群組已同步至 Microsoft Entra,且 AD DS 群組的成員僅限於使用者,以及選擇性地包含其他也同步至 Microsoft Entra 的群組。 如果群組或任何群組的成員未在 Microsoft Entra 中表示,則您無法轉換群組的 SOA。
- 將 SOA 轉換為您現有的同步雲端群組。
- 將 SOA 轉換後,請使用 群組配置至 AD DS,將後續變更配置回至 AD DS。 啟用群組布建之後,Microsoft Entra Cloud Sync 會辨識已轉換的群組與 AD DS 中已轉換的群組相同,因為兩個群組都有相同的安全性標識符 (SID)。 將已轉換的雲端群組布建至 AD DS,然後更新現有的 AD DS 群組,而不是建立新的群組。
設定Microsoft Entra 功能來管理SOA轉換群組的成員資格
- 建立存取套件。 將先前步驟中的應用程式和安全組新增為存取套件中的資源。 在存取套件中設定直接指派原則。
- 在 [權利管理] 中,將需要存取 AD DS 型應用程式的同步使用者指派給存取套件。
- 等候Microsoft Entra Cloud Sync 完成其下一次同步處理。 使用 Active Directory 使用者與電腦,確認正確的使用者是否為群組的成員。
- 在您的 AD DS 網域監視中,只允許執行布建代理程式的 gMSA 帳戶 , 授權以變更 新 AD DS 群組中的成員資格。
如需詳細資訊,請參閱 採用雲端優先狀態:將授權單位群組來源轉換為雲端 (預覽) 。
使用新布建的雲端安全組控管內部部署AD DS
在此案例中,您會更新應用程式,以檢查 Cloud Sync 群組布建所建立之新群組的 SID、名稱或辨別名稱。 此案例適用於:
- 第一次連線到AD DS網域之新應用程式的部署。
- 存取該應用程式的新世代使用者。
- 用於應用程式現代化,減少對現有 AD DS 群組的相依性。
目前需要檢查 Domain Admins 群組成員資格的應用程式必須更新,以便同時檢查新增的 AD DS 群組。
請遵循後續各節中的步驟,將應用程式設定為使用新的群組。
建立應用程式和群組
- 使用 Microsoft Entra 系統管理中心,在代表 AD DS 型應用程式的 Microsoft Entra 識別符中建立應用程式,並將應用程式設定為要求使用者指派。
- 在 Microsoft Entra ID 中建立新的安全性群組。
- 使用 群組布建至 AD DS ,將此群組布建至 AD DS。
- 啟動 Active Directory 使用者和電腦,並等候在 AD DS 網域中建立產生的新 AD DS 群組。 出現時,請記錄新 AD DS 群組的辨別名稱、網域、帳戶名稱和 SID。
設定應用程式以使用新的群組
- 如果應用程式透過LDAP使用AD DS,請使用新AD DS群組的辨別名稱來設定應用程式。 如果應用程式透過 Kerberos 使用 AD DS,請使用 SID 或新 AD DS 群組的網域和帳戶名稱來設定應用程式。
- 建立存取套件。 將先前步驟中的應用程式和安全組新增為存取套件中的資源。 在存取套件中設定直接指派原則。
- 在 [權利管理] 中,將需要存取 AD DS 型應用程式的同步使用者指派給存取套件。
- 等候新的 AD DS 群組更新成包含新成員。 使用 Active Directory 使用者與電腦,確認正確的使用者是否為群組的成員。
- 在您的 AD DS 網域監視中,只允許執行布建代理程式授權的 gMSA 帳戶,以變更新 AD DS 群組中的成員資格。
您現在可以透過這個新的存取套件來管理 AD DS 應用程式的存取權。
設定現有的群組選項
在此案例選項中,您會將新的 AD DS 安全組新增為現有群組的巢狀群組成員。 此案例適用於具有特定組帳戶名稱、SID 或辨別名稱之硬式編碼相依性的應用程式部署。
將該群組嵌入應用程式現有的 AD DS 群組,可實現:
- 受到治理功能指派的 Microsoft Entra 使用者會存取應用程式以取得適當的 Kerberos 票證。 此票證包含現有群組的 SID。 允許巢狀結構的 AD DS 群組巢狀規則。
如果應用程式使用LDAP並遵循巢狀群組成員資格,應用程式會看到 Microsoft Entra 使用者將現有的群組視為其中一個成員資格。
判斷現有群組的資格
- 啟動 Active Directory 使用者和電腦,並記錄應用程式所用現有 AD DS 群組的辨別名稱、類型和範圍。
- 如果現有的群組為
Domain Admins、Domain Guests、Domain UsersEnterprise AdminsEnterprise Key AdminsGroup Policy Creation Owners、Key AdminsProtected Users或Schema Admins,則您必須將應用程式變更為使用如上所述的新群組,因為這些群組無法供雲端同步使用。 - 如果群組具有全域範圍,請將群組變更為具有通用範圍。 全域群組不能將通用群組作為成員。
建立應用程式和群組
- 在 Microsoft Entra 系統管理中心中,在代表 AD DS 型應用程式的 Microsoft Entra 識別符中建立應用程式,並將應用程式設定為要求使用者指派。
- 在 Microsoft Entra ID 中建立新的安全性群組。
- 使用 群組布建至 AD DS ,將此群組布建至 AD DS。
- 啟動 Active Directory 使用者和電腦,並等候在 AD DS 網域中建立產生的新 AD DS 群組。 出現時,請記錄新 AD DS 群組的辨別名稱、網域、帳戶名稱和 SID。
設定應用程式以使用新的群組
- 使用 Active Directory 使用者和電腦,將新的 AD DS 群組新增為現有 AD DS 群組的成員。
- 建立存取套件。 新增步驟 #1 中的應用程式,以及步驟 #3 中的安全組,如上 建立應用程式和群組 一節所述,作為存取套件中的資源。 在存取套件中設定直接指派原則。
- 在 [權利管理] 中,將需要存取 AD DS 應用程式之同步的使用者指派給存取套件,包括現有 AD DS 群組中仍需要存取權的任何用戶成員。
- 等候新的 AD DS 群組更新成包含新成員。 使用 Active Directory 使用者與電腦,確認正確的使用者是否為群組的成員。
- 使用 Active Directory 使用者和電腦,從現有的 AD DS 群組中移除現有的成員,新的 AD DS 群組除外。
- 在您的 AD DS 網域監視中,只允許執行布建代理程式授權的 gMSA 帳戶,以變更新 AD DS 群組中的成員資格。
然後,您可以使用新的存取套件來管理 AD DS 應用程式的存取權。
對應用程式存取進行故障排除
登入已加入網域之裝置之新 AD DS 群組中的使用者,可能會有來自未包含新 AD DS 群組成員資格之域控制器的票證。 在 Cloud Sync 將使用者布建到新的 AD DS 群組之前,可能會發出票證。 用戶無法使用票證來存取應用程式。 他們必須等待票證到期,併發出新的票證。 或者,他們必須清除其票證、註銷,然後重新登入網域。 如需詳細資訊,請參閱 klist。
現有的 Microsoft Entra Connect 群組回寫 v2 的客戶
如果您使用 Microsoft Entra Connect 群組回寫 v2,您必須先轉換至雲端同步群組布建至 AD DS,然後才能使用 Cloud Sync 群組布建。 如需詳細資訊,請參閱 將 Microsoft Entra Connect Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync。