Csoportos visszaírás a Microsoft Entra Cloud Sync használatával

  • Cikk

Az 1.1.1370.0-s kiépítési ügynök kiadásával a felhőszinkronizálás mostantól képes csoportvisszaírót végezni. Ez a funkció azt jelenti, hogy a felhőszinkronizálás közvetlenül kiépítheti a csoportokat a helyi Active Directory környezetbe. Mostantól identitásszabályozási funkciókkal is szabályozhatja az AD-alapú alkalmazásokhoz való hozzáférést, például úgy, hogy belevesz egy csoportot egy jogosultságkezelési hozzáférési csomagba.

A csoportvisszaírás diagramja felhőszinkronizálással.

Fontos

A Microsoft Entra Csatlakozás Sync csoportvisszaíró v2 nyilvános előzetes verziója 2024. június 30-a után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a továbbiakban nem támogatott a Csatlakozás Szinkronizálás a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Csatlakozás Sync szolgáltatásban, át kell váltaniuk a konfigurációjukat Csatlakozás Szinkronizálásról Felhőszinkronizálásra. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

A csoportvisszaíró videó megtekintése

Az Active Directoryhoz való felhőszinkronizálási csoportok kiépítésének és az Ön számára elvégezhető műveleteknek a nagyszerű áttekintéséért tekintse meg az alábbi videót.

Microsoft Entra-azonosító kiépítése az Active Directoryhoz – Előfeltételek

A kiépítési csoportok Active Directoryba való implementálásához a következő előfeltételek szükségesek.

Licenckövetelmények

A funkció használatához Microsoft Entra ID P1-licencek szükségesek. Az Ön igényeinek megfelelő licenc megtalálásához lásd: A Microsoft Entra ID általánosan elérhető funkcióinak összehasonlítása.

Általános követelmények

  • Legalább hibrid Rendszergazda istrator szerepkörrel rendelkező Microsoft Entra-fiók.
  • Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
    • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
  • Kiépítési ügynök az 1.1.1370.0-s vagy újabb buildtel.

Feljegyzés

A szolgáltatásfiók engedélyei csak a tiszta telepítés során vannak hozzárendelve. Ha az előző verzióról frissít, az engedélyeket manuálisan kell hozzárendelni a PowerShell-parancsmaggal:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Ha az engedélyek manuálisan vannak beállítva, győződjön meg arról, hogy az összes leszármazott csoport és felhasználói objektum összes tulajdonsága olvasása, írása, létrehozása és törlése.

Ezek az engedélyek alapértelmezés szerint nem vonatkoznak Rendszergazda SDHolder-objektumokra a Microsoft Entra kiépítési ügynök gMSA PowerShell-parancsmagjai

  • A kiépítési ügynöknek képesnek kell lennie kommunikálni egy vagy több tartományvezérlővel a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton.
    • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
  • Microsoft Entra Csatlakozás a 2.2.8.0-s vagy újabb buildtel
    • A Microsoft Entra Csatlakozás használatával szinkronizált helyszíni felhasználói tagság támogatásához szükséges
    • Az AD:user:objectGUID szinkronizálásához szükséges az AAD:user:onPremisesObjectIdentifier

Támogatott csoportok

Csak a következők támogatottak:

  • Csak a felhőben létrehozott biztonsági csoportok támogatottak
  • Ezek a csoportok hozzárendelt vagy dinamikus tagsággal rendelkezhetnek.
  • Ezek a csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőbeli biztonsági csoportokat tartalmazhatnak.
  • A szinkronizált és a felhőben létrehozott biztonsági csoport tagjaiként szinkronizált helyszíni felhasználói fiókok ugyanabból a tartományból vagy tartományköziből származhatnak, de mindegyiknek ugyanabból az erdőből kell származnia.
  • Ezek a csoportok az univerzális AD-csoportok hatókörével vannak visszaírva. A helyszíni környezetnek támogatnia kell az univerzális csoport hatókörét.
  • Az 50 000 tagnál nagyobb csoportok nem támogatottak.
  • Minden közvetlen beágyazott gyermekcsoport egy tagnak számít a hivatkozási csoportban
  • A Microsoft Entra-azonosító és az Active Directory közötti csoportok egyeztetése nem támogatott, ha a csoport manuálisan frissül az Active Directoryban.

További információk

Az alábbiakban további információt talál a csoportok Active Directoryba való kiépítéséről.

  • Az AD-nek felhőszinkronizálással kiépített csoportok csak helyszíni szinkronizált felhasználókat és/vagy további felhőben létrehozott biztonsági csoportokat tartalmazhatnak.
  • Mindegyik felhasználónak rendelkeznie kell az onPremisesObjectIdentifier attribútummal a fiókjában.
  • Az onPremisesObjectIdentifiernek meg kell egyeznie a cél AD-környezetben található megfelelő objectGUID-vel.
  • AzPremisesObjectIdentifier attribútumon lévő felhőfelhasználók helyszíni felhasználói objectGUID attribútuma szinkronizálható a Microsoft Entra Cloud Sync (1.1.1370.0) vagy a Microsoft Entra Csatlakozás Sync (2.2.8.0) használatával
  • Ha a Microsoft Entra Csatlakozás Syncet (2.2.8.0) használja a felhasználók szinkronizálásához a Microsoft Entra Cloud Sync helyett, és a kiépítést az AD-re szeretné használni, annak 2.2.8.0-s vagy újabb verziónak kell lennie.
  • Csak a normál Microsoft Entra ID-bérlők támogatottak a Microsoft Entra ID-ből az Active Directoryba való kiépítéshez. A B2C-hez hasonló bérlők nem támogatottak.
  • A csoportkiépítési feladat az ütemezés szerint 20 percenként fut.

A Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyvei

A következő szakaszok a Microsoft Entra Cloud Synctel való csoportos visszaírás támogatott forgatókönyveit ismertetik.

Microsoft Entra Csatlakozás Szinkronizálási csoport visszaírási V2 migrálása a Microsoft Entra Cloud Syncbe

Forgatókönyv: Csoportvisszaíró migrálása a Microsoft Entra Csatlakozás Sync (korábban Azure AD Csatlakozás) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Csatlakozás csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Csatlakozás csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.

További információ: Microsoft Entra Csatlakozás Szinkronizálási csoport visszaírási V2 migrálása a Microsoft Entra Cloud Syncbe.

Helyi Active Directory-alapú alkalmazások (Kerberos) szabályozása Microsoft Entra ID-kezelés

Forgatókönyv: Helyszíni alkalmazások kezelése a felhőben kiépített és felügyelt Active Directory-csoportokkal. A Microsoft Entra Cloud Sync lehetővé teszi az alkalmazás-hozzárendelések teljes körű szabályozását az AD-ben, miközben kihasználja Microsoft Entra ID-kezelés funkciókat a hozzáféréssel kapcsolatos kérések szabályozásához és szervizeléséhez.

További információ: Helyi Active Directory-alapú alkalmazások szabályozása (Kerberos) Microsoft Entra ID-kezelés használatával.

Következő lépések