Megosztás a következőn keresztül:

Csoportos visszaírás a Microsoft Entra Cloud Sync használatával

  • Cikk

Az 1.1.1370.0 verziójú provisioning agent kiadásával a felhőszinkronizálás mostantól képes csoportvisszaírásra. Ez a funkció azt jelenti, hogy a felhőszinkronizálás közvetlenül kiépítheti a csoportokat a helyi Active Directory környezetbe. Mostantól identitásszabályozási funkciókkal is szabályozhatja az AD-alapú alkalmazásokhoz való hozzáférést, például úgy, hogy belevesz egy csoportot egy jogosultságkezelési hozzáférési csomagba.

A csoportvisszaírás diagramja felhőszinkronizálással.

Fontos

A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azon ügyfelek esetében, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek

A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Általános követelmények

  • Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
  • Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
    • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
  • Telepítési ügynök az 1.1.1370.0 vagy újabb verzióval.

Megjegyzés

A szolgáltatásfiók engedélyeit csak a tiszta telepítés során rendelik hozzá. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyeket manuálisan állítja be, akkor gondoskodnia kell arról, hogy az összes leszármazott csoport és felhasználói objektum számára az összes tulajdonság olvasásához, írásához, létrehozásához és törléséhez megadja a megfelelő engedélyeket.

Ezeket az engedélyeket alapértelmezés szerint a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai nem alkalmazzák az AdminSDHolder-objektumokra

  • A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
    • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
  • Microsoft Entra Connect Sync 2.2.8.0 vagy újabb verziójával
    • A Microsoft Entra Connect Sync használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
    • Az AD:user:objectGUID szinkronizálása szükséges az AAD:user:onPremisesObjectIdentifier-rel

Támogatott csoportok és méretezési korlátok

A következők támogatottak:

  • Csak a felhőben létrehozott biztonsági csoportok támogatottak
  • Ezek a csoportok hozzárendelt vagy dinamikus tagsági csoportokkal rendelkezhetnek.
  • Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
  • A helyszíni felhasználói fiókok, amelyek szinkronizálva vannak, és a felhőben létesített biztonsági csoport tagjai, származhatnak ugyanabból a tartományból vagy más tartományból is, de mindegyiknek ugyanabból az erdőből kell származnia.
  • Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
  • Az 50 000 tagnál nagyobb csoportok nem támogatottak.
  • A 150 000-nél több objektummal rendelkező bérlők nem támogatottak. Ez azt jelenti, hogy ha egy bérlői környezetben a felhasználók és csoportok összesített száma meghaladja a 150 000 objektumot, akkor a bérlői környezet nem támogatott.
  • Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
  • A Microsoft Entra ID és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.

További információk

Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.

  • Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
  • Ezeknek a felhasználóknak rendelkezniük kell az onPremisesObjectIdentifier attribútummal a fiókjukban.
  • Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
  • A helyszíni felhasználók objectGUID attribútuma szinkronizálható egy felhőbeli felhasználó onPremisesObjectIdentifier attribútumával a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Connect Sync (2.2.8.0) használatával.
  • Ha a Microsoft Entra Connect Sync-et (2.2.8.0-s verzió) használja a felhasználók szinkronizálására a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné alkalmazni, akkor annak 2.2.8.0-s vagy újabb verziónak kell lennie.
  • Csak a szokásos Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba történő provisioning során. A B2C típusú bérlők nem támogatottak.
  • A csoportellátási feladat ütemezés szerint futtatott és 20 percenként indul.

A Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyvei

A következő szakaszok a Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyveit ismertetik.

A Microsoft Entra Connect Sync V2 csoport visszaírásának migrálása a Microsoft Entra Cloud Syncbe.

Forgatókönyv: Csoportvisszaíró migrálása a Microsoft Entra Connect Sync (korábbi nevén Azure AD Connect) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Connect csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.

További információ: Microsoft Entra Connect Sync csoportvisszaíró V2 migrálása a Microsoft Entra Cloud Syncbe.

Helyi Active Directory-alapú alkalmazások (Kerberos) irányítása Microsoft Entra ID felügyelettel

Forgatókönyv: Helyszíni alkalmazások kezelése a felhőben kiépített és felügyelt Active Directory-csoportokkal. A Microsoft Entra Cloud Sync lehetővé teszi az alkalmazás-hozzárendelések teljes körű szabályozását az AD-ben, miközben kihasználja Microsoft Entra ID-kezelés funkciókat a hozzáféréssel kapcsolatos kérések szabályozásához és szervizeléséhez.

További információ: Helyi Active Directory-alapú alkalmazások szabályozása (Kerberos) Microsoft Entra ID-kezelés használatával.

Következő lépések