Tulis balik grup dengan Microsoft Entra Cloud Sync

Dengan rilis agen provisi 1.1.1370.0, sinkronisasi cloud sekarang memiliki kemampuan untuk melakukan penulisan balik grup. Fitur ini berarti bahwa sinkronisasi cloud dapat memprovisikan grup langsung ke lingkungan Active Directory lokal Anda. Sekarang Anda juga dapat menggunakan fitur tata kelola identitas untuk mengatur akses ke aplikasi berbasis AD, seperti dengan menyertakan grup dalam paket akses pengelolaan pemberian hak.

Penting

Pratinjau publik Group Writeback v2 di Microsoft Entra Koneksi Sync tidak akan lagi tersedia setelah 30 Juni 2024. Fitur ini akan dihentikan pada tanggal ini, dan Anda tidak akan lagi didukung di Koneksi Sync untuk memprovisikan grup keamanan cloud ke Direktori Aktif.

Kami menawarkan fungsionalitas serupa di Microsoft Entra Cloud Sync yang disebut Provisi Grup ke Direktori Aktif yang dapat Anda gunakan alih-alih Group Writeback v2 untuk menyediakan grup keamanan cloud ke Direktori Aktif. Kami sedang berupaya meningkatkan fungsionalitas ini di Cloud Sync bersama dengan fitur baru lainnya yang kami kembangkan di Cloud Sync.

Pelanggan yang menggunakan fitur pratinjau ini di Koneksi Sync harus mengalihkan konfigurasi mereka dari Koneksi Sync ke Cloud Sync. Anda dapat memilih untuk memindahkan semua sinkronisasi hibrid Anda ke Cloud Sync (jika mendukung kebutuhan Anda). Anda juga dapat menjalankan Cloud Sync secara berdampingan dan hanya memindahkan provisi grup keamanan cloud ke Direktori Aktif ke Cloud Sync.

Untuk pelanggan yang memprovisikan grup Microsoft 365 ke Direktori Aktif, Anda dapat terus menggunakan Group Writeback v1 untuk kemampuan ini.

Anda dapat mengevaluasi pemindahan secara eksklusif ke Cloud Sync dengan menggunakan wizard sinkronisasi pengguna.

Tonton video tulis balik grup

Untuk gambaran umum yang bagus tentang provisi grup sinkronisasi cloud ke Direktori aktif dan apa yang dapat dilakukannya untuk Anda, lihat video di bawah ini.

Memprovisikan ID Microsoft Entra ke Direktori Aktif - Prasyarat

Prasyarat berikut diperlukan untuk menerapkan grup provisi ke Direktori Aktif.

Persyaratan lisensi

Menggunakan fitur ini memerlukan lisensi Microsoft Entra ID P1. Untuk menemukan lisensi yang tepat untuk kebutuhan Anda, lihat Membandingkan fitur Microsoft Entra ID yang tersedia secara umum.

Persyaratan umum

• Akun Microsoft Entra dengan setidaknya peran Administrator Hibrid.
• Lingkungan Active Directory Domain Services lokal dengan sistem operasi Windows Server 2016 atau yang lebih baru.
  • Diperlukan untuk atribut Skema AD - msDS-ExternalDirectoryObjectId
• Agen provisi dengan build versi 1.1.1370.0 atau yang lebih baru.

Catatan

Izin ke akun layanan ditetapkan selama penginstalan bersih saja. Jika Anda memutakhirkan dari versi sebelumnya, maka izin perlu ditetapkan secara manual menggunakan cmdlet PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Jika izin diatur secara manual, Anda perlu memastikan bahwa Baca, Tulis, Buat, dan Hapus semua properti untuk semua objek Grup dan Pengguna turunan.

Izin ini tidak diterapkan ke objek AdminSDHolder secara default cmdlet Microsoft Entra provisioning agent gMSA PowerShell

• Agen provisi harus dapat berkomunikasi dengan satu atau beberapa pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (Katalog Global).
  • Diperlukan untuk pencarian katalog global untuk memfilter referensi keanggotaan yang tidak valid
• Microsoft Entra Koneksi dengan build versi 2.2.8.0 atau yang lebih baru
  • Diperlukan untuk mendukung keanggotaan pengguna lokal yang disinkronkan menggunakan Microsoft Entra Koneksi
  • Diperlukan untuk menyinkronkan AD:user:objectGUID ke AAD:user:onPremisesObjectIdentifier

Grup yang didukung

Hanya berikut ini yang didukung:

• Hanya grup Keamanan yang dibuat cloud yang didukung
• Grup-grup ini dapat memiliki keanggotaan yang ditetapkan atau dinamis.
• Grup ini hanya dapat berisi pengguna lokal yang disinkronkan dan /atau grup keamanan yang dibuat cloud tambahan.
• Akun pengguna lokal yang disinkronkan dan merupakan anggota grup keamanan yang dibuat cloud ini, dapat berasal dari domain atau lintas domain yang sama, tetapi semuanya harus berasal dari forest yang sama.
• Grup-grup ini ditulis kembali dengan cakupan grup AD universal. Lingkungan lokal Anda harus mendukung cakupan grup universal.
• Grup yang lebih besar dari 50.000 anggota tidak didukung.
• Setiap grup berlapis anak langsung dihitung sebagai satu anggota dalam grup referensi
• Rekonsiliasi grup antara MICROSOFT Entra ID dan Active Directory tidak didukung jika grup diperbarui secara manual di Direktori Aktif.

Informasi Tambahan

Berikut ini adalah informasi tambahan tentang provisi grup ke Direktori Aktif.

• Grup yang disediakan untuk AD menggunakan sinkronisasi cloud hanya dapat berisi pengguna lokal yang disinkronkan dan/atau grup keamanan yang dibuat cloud tambahan.
• Semua pengguna ini harus memiliki atribut onPremisesObjectIdentifier yang diatur di akun mereka.
• OnPremisesObjectIdentifier harus cocok dengan objectGUID yang sesuai di lingkungan AD target.
• Atribut objectGUID pengguna lokal ke atribut pengguna cloud onPremisesObjectIdentifier dapat disinkronkan menggunakan Microsoft Entra Cloud Sync (1.1.1370.0) atau Microsoft Entra Koneksi Sync (2.2.8.0)
• Jika Anda menggunakan Microsoft Entra Koneksi Sync (2.2.8.0) untuk menyinkronkan pengguna, alih-alih Microsoft Entra Cloud Sync, dan ingin menggunakan Provisi ke AD, itu harus 2.2.8.0 atau yang lebih baru.
• Hanya penyewa MICROSOFT Entra ID reguler yang didukung untuk provisi dari ID Microsoft Entra ke Direktori Aktif. Penyewa seperti B2C tidak didukung.
• Pekerjaan provisi grup dijadwalkan untuk berjalan setiap 20 menit.

Skenario yang didukung untuk tulis balik grup dengan Microsoft Entra Cloud Sync

Bagian berikut menjelaskan skenario yang didukung untuk tulis balik grup dengan Microsoft Entra Cloud Sync.

• Memigrasikan microsoft Entra Koneksi Sync group writeback V2 ke Microsoft Entra Cloud Sync
• Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra

Memigrasikan microsoft Entra Koneksi Sync group writeback V2 ke Microsoft Entra Cloud Sync

Skenario: Memigrasikan penulisan balik grup menggunakan Microsoft Entra Koneksi Sync (sebelumnya Azure AD Koneksi) ke Microsoft Entra Cloud Sync. Skenario ini hanya untuk pelanggan yang saat ini menggunakan Microsoft Entra Koneksi writeback grup v2. Proses yang diuraikan dalam dokumen ini hanya berkaitan dengan kelompok keamanan yang dibuat cloud yang ditulis kembali dengan cakupan universal. Grup dan DLL yang diaktifkan email yang ditulis kembali menggunakan Microsoft Entra Koneksi writeback grup V1 atau V2 tidak didukung.

Untuk informasi selengkapnya, lihat Memigrasikan microsoft Entra Koneksi Sync group writeback V2 ke Microsoft Entra Cloud Sync.

Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra

Skenario: Mengelola aplikasi lokal dengan grup Direktori Aktif yang disediakan dari dan dikelola di cloud. Microsoft Entra Cloud Sync memungkinkan Anda untuk sepenuhnya mengatur penetapan aplikasi di AD sambil memanfaatkan fitur Tata Kelola ID Microsoft Entra untuk mengontrol dan memulihkan permintaan terkait akses apa pun.

Untuk informasi selengkapnya, lihat Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra .

Langkah berikutnya

• Memprovisikan grup ke Direktori Aktif menggunakan Microsoft Entra Cloud Sync
• Mengatur aplikasi berbasis Active Directory lokal (Kerberos) menggunakan Tata Kelola ID Microsoft Entra
• Memigrasikan microsoft Entra Koneksi Sync group writeback V2 ke Microsoft Entra Cloud Sync