Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync
Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz wykonywanie zapisywania zwrotnego grup. Ta funkcja oznacza, że synchronizacja w chmurze może aprowizować grupy bezpośrednio w środowisku lokalna usługa Active Directory. Teraz można również używać funkcji zarządzania tożsamościami, aby zarządzać dostępem do aplikacji opartych na usłudze AD, takich jak dołączenie grupy w pakiecie dostępu do zarządzania upoważnieniami.
Ważne
Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.
Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.
Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.
W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.
Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.
Obejrzyj wideo zapisywania zwrotnego grup
Aby zapoznać się z doskonałym omówieniem aprowizacji grup synchronizacji w chmurze z usługą Active Directory i jego możliwościami, zapoznaj się z poniższym filmem wideo.
Aprowizuj identyfikator Entra firmy Microsoft w usłudze Active Directory — wymagania wstępne
Do zaimplementowania grup aprowizacji w usłudze Active Directory wymagane są następujące wymagania wstępne.
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć licencję odpowiednią do wymagań, zobacz porównanie ogólnodostępnych funkcji usługi Microsoft Entra ID.
Wymagania ogólne
- Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
- Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
- Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
- Agent aprowizacji z kompilacją w wersji 1.1.1370.0 lub nowszej.
Uwaga
Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.
Te uprawnienia nie są stosowane do obiektów Administracja SDHolder domyślnie poleceń cmdlet programu PowerShell agenta aprowizacji microsoft Entra
- Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
- Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
- Microsoft Entra Połączenie z kompilacją w wersji 2.2.8.0 lub nowszej
- Wymagane do obsługi lokalnego członkostwa użytkowników zsynchronizowane przy użyciu usługi Microsoft Entra Połączenie
- Wymagane do zsynchronizowania elementu AD:user:objectGUID z usługą AAD:user:onPremisesObjectIdentifier
Obsługiwane grupy
Obsługiwane są tylko następujące elementy:
- Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
- Te grupy mogą mieć przypisane lub dynamiczne członkostwo.
- Te grupy mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
- Lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu.
- Te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej.
- Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
- Każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się
- Uzgadnianie grup między identyfikatorem Entra firmy Microsoft i usługą Active Directory nie jest obsługiwane, jeśli grupa została ręcznie zaktualizowana w usłudze Active Directory.
Dodatkowe informacje
Poniżej przedstawiono dodatkowe informacje na temat aprowizacji grup w usłudze Active Directory.
- Grupy aprowizowane w usłudze AD przy użyciu synchronizacji w chmurze mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub dodatkowych utworzonych grup zabezpieczeń w chmurze.
- Wszyscy ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
- Element onPremisesObjectIdentifier musi być zgodny z odpowiednim identyfikatorem objectGUID w docelowym środowisku usługi AD.
- Atrybut objectGUID użytkowników lokalnych dla użytkowników chmury onPremisesObjectIdentifier można zsynchronizować przy użyciu programu Microsoft Entra Cloud Sync (1.1.1370.0) lub Microsoft Entra Połączenie Sync (2.2.8.0)
- Jeśli używasz usługi Microsoft Entra Połączenie Sync (2.2.8.0) do synchronizowania użytkowników, a nie microsoft Entra Cloud Sync i chcesz używać aprowizacji w usłudze AD, musi to być wersja 2.2.8.0 lub nowsza.
- Tylko zwykłe dzierżawy identyfikatora Entra firmy Microsoft są obsługiwane do aprowizacji z identyfikatora Entra firmy Microsoft do usługi Active Directory. Dzierżawy, takie jak B2C, nie są obsługiwane.
- Zadanie aprowizacji grupy jest zaplanowane do uruchomienia co 20 minut.
Obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync
W poniższych sekcjach opisano obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync.
- Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync
- Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra
Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync
Scenariusz: Migrowanie zapisywania zwrotnego grup przy użyciu usługi Microsoft Entra Połączenie Sync (dawniej Azure AD Połączenie) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz Migrowanie usługi Microsoft Entra Połączenie Sync zapisywania zwrotnego grup w wersji 2 do usługi Microsoft Entra Cloud Sync.
Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra
Scenariusz: Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.
Aby uzyskać więcej informacji, zobacz Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra .
Następne kroki
- Aprowizuj grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync
- Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra
- Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync