使用 Microsoft Entra Cloud Sync 群組回寫

隨著布建代理程式 1.1.1370.0 的發行，雲端同步現在能夠執行群組回寫。 此功能表示雲端同步可以直接將群組布建到您的 內部部署的 Active Directory 環境。 您現在也可以使用身分識別控管功能來管理 AD 型應用程式的存取權，例如在 權利管理存取套件中包含群組。

重要

Microsoft Entra 連線 Sync 中群組回寫 v2 的公開預覽，在 2024 年 6 月 30 日之後將不再提供。 這項功能將會在此日期停止，而且您將不再支援 連線 Sync 將雲端安全組布建至 Active Directory。

我們在 Microsoft Entra Cloud Sync 中提供類似的功能，稱為 「群組布建至 Active Directory 」，您可以使用此功能，而不是將雲端安全組布建至 Active Directory 的群組回寫 v2。 我們正努力在 Cloud Sync 中增強這項功能，以及我們在 Cloud Sync 中開發的其他新功能。

在 連線 Sync 中使用此預覽功能的客戶，應將其設定從 連線 Sync 切換至 Cloud Sync。您可以選擇將所有混合式同步移至 Cloud Sync（如果支援您的需求）。 您也可以並存執行 Cloud Sync，並只將雲端安全組布建至 Active Directory 移至 Cloud Sync。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶，您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈，以獨佔方式評估移至 Cloud Sync。

觀看群組回寫影片

如需雲端同步群組布建至 Active Directory 的絕佳概觀及其功能，請參閱下列影片。

將 Microsoft Entra 識別符布建至 Active Directory - 必要條件

若要將布建群組實作至 Active Directory，需要下列必要條件。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

一般需求

• 至少具有混合式 管理員 istrator 角色的 Microsoft Entra 帳戶。
• 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory 網域服務 環境。
  • AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
• 使用組建 1.1.1370.0 版或更新版本布建代理程式。

注意

服務帳戶的許可權只會在全新安裝期間指派。 如果您要從舊版升級，則必須使用 PowerShell Cmdlet 手動指派許可權：

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

如果手動設定許可權，您必須確定所有子系群組和用戶對象的讀取、寫入、建立和刪除所有屬性。

根據預設，這些許可權不會套用至 管理員 SDHolder 物件 Microsoft Entra 布建代理程式 gMSA PowerShell Cmdlet

• 布建代理程式必須能夠與通訊埠 TCP/389 （LDAP） 和 TCP/3268 （全域編錄） 上的一或多個域控制器通訊。
  • 全域編錄查閱篩選出無效成員資格參考的必要專案
• 具有組建 2.2.8.0 版或更新版本的 Microsoft Entra 連線
  • 需要支援使用 Microsoft Entra 連線 同步處理的內部部署使用者成員資格
  • 需要將 AD：user：objectGUID 同步處理至 AAD：user：onPremisesObjectIdentifier

支援的群組

只支援下列專案：

• 僅支援雲端建立的安全組
• 這些群組可以指派或動態成員資格。
• 這些群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
• 同步處理且屬於此雲端建立安全組成員的內部部署用戶帳戶，可以來自相同網域或跨網域，但全都必須來自相同的樹系。
• 這些群組會以通用的AD群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
• 不支援大於 50,000 個成員的群組。
• 每個直接子巢狀群組都會計算為參考群組中的一個成員
• 如果在 Active Directory 中手動更新群組，則不支援 Microsoft Entra ID 與 Active Directory 之間的群組對帳。

其他資訊

以下是將群組布建至 Active Directory 的其他資訊。

• 使用雲端同步布建至AD的群組只能包含內部部署同步處理的使用者和/或其他雲端建立的安全組。
• 所有這些用戶都必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
• onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
• 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync （1.1.1370.0） 或 Microsoft Entra 連線 Sync （2.2.8.0） 同步處理雲端使用者 onPremisesObjectIdentifier 屬性進行同步處理
• 如果您使用 Microsoft Entra 連線 Sync （2.2.8.0） 來同步處理使用者，而不是 Microsoft Entra Cloud Sync，而且想要使用布建至 AD，它必須是 2.2.8.0 或更新版本。
• 僅支援從 Microsoft Entra ID 佈建到 Active Directory 的一般 Microsoft Entra ID 租使用者。 不支援 B2C 之類的租使用者。
• 群組布建工作會排定每 20 分鐘執行一次。

使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例

下列各節說明使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例。

• 將 Microsoft Entra 連線 Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync
• 使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 （Kerberos）

將 Microsoft Entra 連線 Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync

案例：使用 Microsoft Entra 連線 Sync（先前稱為 Azure AD 連線）將群組回寫移轉至 Microsoft Entra Cloud Sync。此案例僅適用於目前使用 Microsoft Entra 連線 群組回寫 v2 的客戶。 本檔中概述的程式僅適用於以通用範圍寫回的雲端建立安全組。 不支援使用 Microsoft Entra 連線 群組回寫 V1 或 V2 來回寫的郵件群組和 DLL。

如需詳細資訊，請參閱將 Microsoft Entra 連線 Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync。

使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 （Kerberos）

案例： 使用在雲端中布建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您完全控管 AD 中的應用程式指派，同時利用 Microsoft Entra ID 控管 功能來控制和補救任何存取相關要求。

如需詳細資訊，請參閱使用 Microsoft Entra ID 控管 管理以 內部部署的 Active Directory 為基礎的應用程式 （Kerberos）。

下一步

• 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory
• 使用 Microsoft Entra ID 控管 控制管以 內部部署的 Active Directory 為基礎的應用程式 （Kerberos）
• 將 Microsoft Entra 連線 Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync