Konfigurowanie zapisywania zwrotnego grup w ramach zarządzania upoważnieniami

W tym artykule pokazano, jak skonfigurować zapisywanie zwrotne grup w zarządzaniu upoważnieniami. Zapisywanie zwrotne grup to funkcja umożliwiająca zapisywanie grup w chmurze z powrotem do wystąpienia lokalna usługa Active Directory przy użyciu usługi Microsoft Entra Cloud Sync.

Konfigurowanie zapisywania zwrotnego grup w zarządzaniu upoważnieniami

Aby skonfigurować zapisywanie zwrotne grup dla grup platformy Microsoft 365 w pakietach dostępu, należy spełnić następujące wymagania wstępne:

• Konfigurowanie zapisywania zwrotnego grup w centrum administracyjnym firmy Microsoft Entra.
• Jednostka organizacyjna (OU) używana do konfigurowania zapisywania zwrotnego grup w konfiguracji synchronizacji z chmurą firmy Microsoft.
• Wykonaj kroki włączania zapisywania zwrotnego grup dla usługi Microsoft Entra Cloud Sync.

Za pomocą zapisywania zwrotnego grup można teraz synchronizować grupy zabezpieczeń, które są częścią pakietów dostępu do lokalna usługa Active Directory. Aby zsynchronizować grupy, wykonaj następujące kroki:

1. Utwórz grupę zabezpieczeń Entra firmy Microsoft.

2. Ustaw grupę do zapisania z powrotem na lokalna usługa Active Directory. Aby uzyskać instrukcje, zobacz Zapisywanie zwrotne grup w centrum administracyjnym firmy Microsoft Entra.

3. Dodaj grupę do pakietu dostępu jako rolę zasobu. Aby uzyskać wskazówki, zobacz Tworzenie nowego pakietu dostępu.

4. Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD. Gdy jest obecny, zapisz nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID nowej grupy usługi AD.

5. Skonfiguruj aplikację tak, aby korzystała z nowej grupy, aktualizując aplikację lub dodając grupę jako członka istniejącej grupy zgodnie z opisem w temacie Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra.

6. Przypisz użytkownika do pakietu dostępu. Aby uzyskać instrukcje dotyczące bezpośredniego przypisywania użytkownika, zobacz Wyświetlanie, dodawanie i usuwanie przypisań dla pakietu dostępu.

7. Po przypisaniu użytkownika do pakietu dostępu upewnij się, że użytkownik jest teraz członkiem grupy lokalnej po zakończeniu cyklu synchronizacji z usługą Microsoft Entra Cloud Sync:

   1. Wyświetlanie właściwości składowej grupy w lokalnej jednostki organizacyjnej LUB
   2. Przejrzyj element członkowski Obiektu użytkownika.

   Uwaga

   Domyślny harmonogram cyklu synchronizacji synchronizacji usługi Microsoft Entra Cloud Sync jest co 30 minut. Może być konieczne poczekanie, aż nastąpi następny cykl, aby wyświetlić wyniki lokalnie lub ręcznie uruchomić cykl synchronizacji, aby zobaczyć wyniki wcześniej.

8. W monitorowaniu domeny usługi AD zezwól tylko na konto usługi gMSA, na które jest uruchomiony agent aprowizacji, aby mieć autoryzację w celu zmiany członkostwa w nowej grupie usługi AD.

Następne kroki

• Tworzenie katalogu zasobów i zarządzanie nim w zarządzaniu upoważnieniami
• Delegowanie ładu dostępu w celu uzyskania dostępu do menedżerów pakietów w zarządzaniu upoważnieniami