Бөлісу құралы:

Обратная запись групп с помощью Microsoft Entra Cloud Sync

  • Мақала

С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность обратной записи группы. Эта функция означает, что облачная синхронизация может напрямую подготавливать группы в локальной среде Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.

Схема обратной записи группы с помощью облачной синхронизации.

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функциональность под названием Провизирование группы в Active Directory, которую можно использовать вместо Group Writeback v2 для провизирования облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести в него только развертывание облачных групп безопасности из Active Directory.

Для клиентов, которые развертывают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой функции.

Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.

Предоставление Microsoft Entra ID в Active Directory — предварительные требования

Для внедрения групп предоставления в Active Directory требуются следующие требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью Гибридного администратора идентификации.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с версией сборки 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете программу с предыдущей версии, разрешения назначаются вручную с помощью командлета PowerShell.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что для всех потомков объектов групп и пользователей разрешены действия чтения, записи, создания и удаления.

Эти разрешения по умолчанию не применяются к объектам AdminSDHolder, связанным с агентом предоставления Microsoft Entra gMSA PowerShell cmdlets.

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с версией сборки 2.2.8.0 или более поздней версией
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect Sync.
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут иметь назначенное или динамическое членство.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Учетные записи пользователей, находящиеся на локальных серверах, которые синхронизированы и являются членами облачной группы безопасности, которая была создана, могут быть из одного домена или из разных доменов, но все они должны быть из одного леса.
  • Эти группы записываются обратно в универсальную область групп AD. Ваша локальная среда должна поддерживать универсальную область действия групп.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерняя группа учитывается как один член в ссылающейся группе.
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя можно синхронизировать с атрибутом onPremisesObjectIdentifier облачного пользователя с помощью либо Microsoft Entra Cloud Sync (1.1.1370.0), либо Microsoft Entra Connect Sync (2.2.8.0).
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать провижнинг в AD, версия должна быть 2.2.8.0 или более поздняя.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Поддерживаемые сценарии для обратной записи групп с помощью Microsoft Entra Cloud Sync

В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.

Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync

Сценарий. Перенос обратной записи группы с помощью синхронизации Microsoft Entra Connect (прежнее название — Azure AD Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют обратную запись группы Microsoft Entra Connect версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются обратно с универсальной областью. Группы с поддержкой почты и списки рассылки, записанные обратно с использованием функции обратной записи групп в Microsoft Entra Connect версии 1 или версии 2, не поддерживаются.

Дополнительные сведения см. в статье "Миграция группы синхронизации Microsoft Entra Connect" версии 2 в Microsoft Entra Cloud Sync.

Управление приложениями на базе локальной службы каталогов Active Directory (Kerberos) с помощью Microsoft Entra ID Governance

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет вам полностью управлять назначениями приложений в AD, а также использовать функции управления идентификацией Microsoft Entra для контроля и устранения любых связанных с доступом запросов.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальной службы Active Directory (Kerberos) с помощью Microsoft Entra ID Governance".

Следующие шаги