使用 Microsoft Entra Cloud Sync 進行群組回寫

隨著佈建代理程式 1.1.1370.0 的發行，雲端同步現在能夠執行群組回寫。 這項功能表示雲端同步可以直接將群組佈建到您的內部部署 Active Directory 環境。 您現在也可以使用身分識別控管功能來管理 AD 型應用程式的存取權，例如在權利管理存取套件中包含群組。

重要

在 2024 年 6 月 30 日之後，Microsoft Entra Connect 同步將不再提供群組回寫 v2 的公開預覽版。 這項功能將會在此日期中止，而且 Connect 同步也不再支援將雲端安全性群組佈建至 Active Directory。 該功能將在終止日期之後繼續運作；不過，在此日期之後它將不再獲得支援，而且可能隨時停止運作，恕不另行通知。

我們會在 Microsoft Entra 雲端同步中提供類似的功能，稱為將群組佈建至 Active Directory，您可以利用此功能來取代使用群組回寫 v2 將雲端安全性群組佈建至 Active Directory。 我們正努力在雲端同步中增強這項功能，以及我們在雲端同步中開發的其他新功能。

在 Connect 同步中使用此預覽功能的客戶，應該將其設定從 Connect 同步切換至雲端同步。您可以選擇將所有混合式同步移至雲端同步 (如果其支援您的需求)。 也可以並排執行雲端同步，並只將佈建至 Active Directory 的雲端安全性群組移至雲端同步。

對於將 Microsoft 365 群組佈建至 Active Directory 的客戶，可以繼續使用群組回寫 v1 來執行這項功能。

您可以使用使用者同步處理精靈，評估是否只移至雲端同步。

將 Microsoft Entra ID 佈建至 Active Directory：必要條件

若要將佈建群組實作至 Active Directory，需要下列必要條件。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

一般需求

• 至少具有 [混合式身分識別系統管理員] 角色的 Microsoft Entra 帳戶。
• 具有 Windows Server 2016 操作系統或更新版本的內部部署 Active Directory Domain Services 環境。
  • AD 結構描述的必要屬性：msDS-ExternalDirectoryObjectId
• 組建版本 1.1.1370.0 或更新版本的佈建代理程式。

注意

僅在全新安裝期間指派服務帳戶的權限。 若要從舊版升級，則必須使用 PowerShell Cmdlet 手動指派權限：

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

若要手動設定權限，您必須確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。

根據預設，這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet

• 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
  • 需要進行通用類別目錄查詢，篩選掉無效成員資格參考
• 組建版本 2.2.8.0 或更新版本的 Microsoft Entra Connect Sync
  • 需要支援使用 Microsoft Entra Connect Sync 同步的內部部署使用者成員資格
  • 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier

支援的群組和調整限制

支援下列功能：

• 僅支援雲端建立的安全性群組
• 這些群組可以獲指派或具備組動態成員資格。
• 這些群組只能包含內部部署同步的使用者及/或其他雲端建立的安全性群組。
• 已同步並且是此雲端建立的安全性群組的成員的內部部署使用者帳戶，可來自同一網域或跨網域，但必須全部來自相同樹系。
• 這些群組會以通用 AD 群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
• 不支援擁有超過 50,000 位成員的群組。
• 不支援擁有超過 150,000 個物件的租用戶。 這表示，如果租用戶的任何使用者和群組組合具有超過 150,000 個物件，則不支援租用戶。
• 每個直接子巢狀群組都會計算為參考群組中的一位成員
• 如果群組在 Active Directory 中手動更新，則不支援 Microsoft Entra ID 與 Active Directory 之間的群組核對。

其他資訊

以下是將群組佈建至 Active Directory 的其他資訊。

• 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
• 這些使用者必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
• onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
• 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
• 若使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者，而不是 Microsoft Entra Cloud Sync，並且想要使用佈建至 AD，就必須使用 2.2.8.0 或更新版本。
• 只有一般 Microsoft Entra ID 租用戶支援從 Microsoft Entra ID 佈建至 Active Directory。 不支援 B2C 等租用戶。
• 群組佈建作業排程為每 20 分鐘執行一次。

使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例

下列各節說明使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例。

• 將 Microsoft Entra Connect Sync Group Writeback V2 移轉至 Microsoft Entra Cloud Sync
• 使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)

將 Microsoft Entra Connect Group Writeback V2 移轉至 Microsoft Entra Cloud Sync

案例：使用 Microsoft Entra Connect Sync (先前稱為 Azure AD Connect) 將群組回寫移轉至 Microsoft Entra Cloud Sync。此案例僅適用於目前使用 Microsoft Entra Connect Group Writeback v2 的客戶。 本文件中概述的程序僅適用於以通用範圍寫回的雲端建立安全性群組。 不支援使用 Microsoft Entra Connect Group Writeback V1 或 V2 來回寫啟用郵件功能的群組和 DL。

如需詳細資訊，請參閱將 Microsoft Entra Connect 群組回寫 V2 移轉至 Microsoft Entra Cloud Sync。

使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)

案例：使用在雲端中佈建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您完全控管 AD 中的應用程式指派，同時利用 Microsoft Entra ID Governance 功能來控制和補救任何存取相關要求。

如需詳細資訊，請參閱使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)。

下一步

• 使用 Microsoft Entra Cloud Sync 將群組佈建至 Active Directory
• 使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)
• 將 Microsoft Entra Connect Sync 群組回寫 V2 移轉至 Microsoft Entra 雲端同步