Sdílet prostřednictvím

Zpětný zápis skupin pomocí Microsoft Entra Cloud Sync

  • Článek

S vydáním agenta pro zřizování ve verzi 1.1.1370.0 nyní cloudová synchronizace umožňuje zpětný zápis skupin. Tato funkce znamená, že cloudová synchronizace může nasazovat skupiny přímo do vašeho místního prostředí Active Directory. Pomocí funkcí zásad správného řízení identit teď můžete řídit přístup k aplikacím založeným na AD, například zahrnutím skupiny do přístupového balíčku pro správu nároků.

Schéma zpětného zápisu skupiny při synchronizaci s cloudem

Důležité

Veřejná ukázka funkce zpětného zápisu skupin ve verzi 2 v Microsoft Entra Connect Sync již není k dispozici od 30. června 2024. Tato funkce byla ukončena k tomuto datu a v Microsoft Entra Connect Sync už nejste podporováni, abyste mohli zřídit skupiny zabezpečení cloudu pro Službu Active Directory. Funkce nadále funguje mimo datum ukončení; však již neobdrží podporu a může přestat fungovat kdykoli bez předchozího upozornění.

Ve službě Microsoft Entra Cloud Sync nabízíme podobnou funkcionalitu nazvanou Zřizování skupin pro Active Directory, kterou můžete použít místo zpětného zápisu skupin v2 k zřizování cloudových bezpečnostních skupin do Active Directory. Pracujeme na vylepšení této funkce v Microsoft Entra Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme v Microsoft Entra Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview v Nástroji Microsoft Entra Connect Sync, by měli přepnout konfiguraci ze služby Microsoft Entra Connect Sync na Microsoft Entra Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do Služby Microsoft Entra Cloud Sync (pokud podporuje vaše potřeby). Microsoft Entra Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory na Microsoft Entra Cloud Sync.

Pro zákazníky, kteří zřizují skupiny Microsoft 365 do Active Directory, mohou nadále používat Group Writeback v1 pro tuto funkci.

Přesunutí výhradně na Synchronizaci cloudu Microsoft Entra můžete vyhodnotit pomocí průvodce synchronizací uživatelů .

Zřízení ID Microsoft Entra pro Active Directory – požadavky

K implementaci skupin zřizování do služby Active Directory se vyžadují následující požadavky.

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

Obecné požadavky

  • Účet Microsoft Entra s alespoň rolí správce Hybrid Identity Administrator
  • Místní prostředí služeb Active Directory doménové struktury s operačním systémem Windows Server 2016 nebo novějším.
    • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
  • Agent pro zřizování s verzí buildu 1.1.1370.0 nebo novější.

Poznámka:

Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Pokud jsou oprávnění nastavena ručně, musíte zajistit, aby všechny vlastnosti pro čtení, zápis, vytvoření a odstranění byly nastaveny pro všechny potomky skupin a objektů uživatelů.

Tato oprávnění nejsou ve výchozím nastavení použita pro objekty AdminSDHolder Microsoft Entra Provisioning Agent gMSA PowerShell

  • Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
    • Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
  • Microsoft Entra Connect Sync s buildem verze 2.2.8.0 nebo novějším
    • Je vyžadováno pro podporu členství uživatele v místním prostředí, synchronizovaného pomocí synchronizace Microsoft Entra Connect.
    • Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier

Podporované skupiny a omezení škálování

Podporuje se následující:

  • Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
  • Tyto skupiny mohou mít přiřazené nebo dynamické skupiny členství.
  • Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
  • Uživatelské účty na místní síti, které jsou synchronizovány a jsou členy této v cloudu vytvořené bezpečnostní skupiny, mohou být ze stejné domény nebo z různých domén, ale všechny musí patřit do stejné doménové struktury.
  • Tyto skupiny se zapisují zpět s rozsahem skupin AD typu univerzální. Vaše místní prostředí musí podporovat univerzální rozsah skupiny.
  • Skupiny, které jsou větší než 50 000 členů, se nepodporují.
  • Tenanti, kteří mají více než 150 000 objektů, nejsou podporováni. To znamená, že pokud má tenant jakoukoli kombinaci uživatelů a skupin, které překračují 150 tisíc objektů, tenant se nepodporuje.
  • Každá přímá podřízená vnořená skupina se počítá jako jeden člen v referenční skupině.
  • Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.

Další informace

Následuje další informace o zřizování skupin ve službě Active Directory.

  • Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
  • Tito uživatelé musí mít atribut onPremisesObjectIdentifier nastavený na svém účtu.
  • OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
  • Atribut objectGUID uživatelů v místním prostředí k atributu onPremisesObjectIdentifier uživatelů v cloudu lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0)
  • Pokud k synchronizaci uživatelů používáte Microsoft Entra Connect Sync (2.2.8.0) místo Microsoft Entra Cloud Sync a chcete používat zřizování do AD, musí to být verze 2.2.8.0 nebo novější.
  • Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Nájemníci, jako B2C, nejsou podporováni.
  • Úloha zřizování skupin se má spouštět každých dvacet minut.

Podporované scénáře zpětného zápisu pro skupiny pomocí Microsoft Entra Cloud Sync

Následující části popisují podporované scénáře zpětného zápisu skupin pomocí Microsoft Entra Cloud Sync.

Migrace zpětného zápisu skupiny z Microsoft Entra Connect Sync v2 do Microsoft Entra Cloud Sync

Scénář: Migrace zpětného zápisu skupiny pomocí nástroje Microsoft Entra Connect Sync (dříve Azure AD Connect) do Microsoft Entra Cloud Sync Tento scénář je určený pouze pro zákazníky, kteří aktuálně používají zpětný zápis skupiny Microsoft Entra Connect v2. Proces popsaný v tomto dokumentu se týká pouze skupin zabezpečení vytvořených v cloudu, které se zapisují zpět s univerzálním oborem. Skupiny s podporou pošty a distribuční seznamy zapsané zpět pomocí zpětného zápisu skupiny Microsoft Entra Connect v1 nebo v2 nejsou podporovány.

Další informace naleznete v tématu Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync V2 do Microsoft Entra Cloud Sync.

Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID

Scénář: Správa místních aplikací pomocí skupin Active Directory, které jsou zřízené a spravované v cloudu Microsoft Entra Cloud Sync umožňuje plně řídit přiřazení aplikací v AD a současně využívat funkce zásad správného řízení Microsoft Entra ID k řízení a nápravě všech žádostí souvisejících s přístupem.

Další informace naleznete v tématu Správa aplikací založených na místní Active Directory (Kerberos) pomocí Microsoft Entra ID Governance.

Další kroky