Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.

W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.

Scenariusz: Zarządzanie aplikacjami lokalnymi przy użyciu grup usługi Active Directory, które są aprowidowane z chmury i zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.

Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz aprowizowanie grup bezpośrednio w środowisku lokalna usługa Active Directory. Za pomocą funkcji ładu tożsamości można zarządzać dostępem do aplikacji opartych na usłudze AD, takich jak dołączenie grupy w pakiecie dostępu do zarządzania upoważnieniami.

Obejrzyj wideo zapisywania zwrotnego grup

Aby zapoznać się z doskonałym omówieniem aprowizacji grup synchronizacji w chmurze z usługą Active Directory i jego możliwościami, zapoznaj się z poniższym filmem wideo.

Wymagania wstępne

Do zaimplementowania tego scenariusza wymagane są następujące wymagania wstępne.

• Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
• Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
  • Wymagany dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId.
• Inicjowanie obsługi administracyjnej agenta przy użyciu kompilacji w wersji 1.1.1367.0 lub nowszej.

Uwaga

Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. W przypadku uaktualniania z poprzedniej wersji uprawnienia należy przypisać ręcznie przy użyciu polecenia cmdlet programu PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Jeśli uprawnienia są ustawiane ręcznie, należy upewnić się, że wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuń dla wszystkich obiektów grup malejących i użytkowników.

Te uprawnienia nie są domyślnie stosowane do obiektów Administracja SDHolder

Microsoft Entra provisioning agent gMSA poleceń cmdlet programu PowerShell

• Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
  • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa.
• Microsoft Entra Połączenie z kompilacją w wersji 2.2.8.0 lub nowszej.
  • Wymagane do obsługi lokalnego członkostwa użytkowników zsynchronizowane przy użyciu Połączenie firmy Microsoft.
  • Wymagane do zsynchronizowania identyfikatora AD:user:objectGUID z identyfikatorem Entra:user:onPremisesObjectIdentifier.

Obsługiwane grupy

W tym scenariuszu obsługiwane są tylko następujące grupy:

• Obsługiwane są tylko grupy zabezpieczeń utworzone w chmurze
• te grupy mogą mieć przypisane lub dynamiczne członkostwo
• grupy te mogą zawierać tylko lokalnych synchronizowanych użytkowników i/lub grup zabezpieczeń utworzonych w chmurze
• lokalne konta użytkowników, które są synchronizowane i są członkami tej grupy zabezpieczeń utworzonej w chmurze, mogą pochodzić z tej samej domeny lub między domenami, ale wszystkie muszą pochodzić z tego samego lasu
• te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych. Środowisko lokalne musi obsługiwać zakres grupy uniwersalnej
• grupy, które są większe niż 50 000 członków, nie są obsługiwane
• każda bezpośrednia grupa zagnieżdżona podrzędna liczy się jako jeden element członkowski w grupie odwołującej się

Obsługiwane scenariusze

W poniższych sekcjach omówiono scenariusze obsługiwane przy użyciu aprowizacji grup synchronizacji w chmurze.

Konfigurowanie obsługiwanych scenariuszy

Jeśli chcesz kontrolować, czy użytkownik może nawiązać połączenie z aplikacją usługi Active Directory korzystającą z uwierzytelniania systemu Windows, możesz użyć serwera proxy aplikacji i grupy zabezpieczeń firmy Microsoft Entra. Jeśli aplikacja sprawdza członkostwo w grupach usługi AD użytkownika za pośrednictwem protokołu Kerberos lub LDAP, możesz użyć aprowizacji grupy synchronizacji w chmurze, aby upewnić się, że użytkownik usługi AD ma te członkostwa w grupach przed uzyskaniem dostępu do aplikacji przez użytkownika.

W poniższych sekcjach omówiono dwie opcje scenariuszy obsługiwane przez aprowizację grupy synchronizacji w chmurze. Opcje scenariusza są przeznaczone do zapewnienia, że użytkownicy przypisani do aplikacji mają członkostwo w grupach podczas uwierzytelniania w aplikacji.

• Utwórz nową grupę i zaktualizuj aplikację, jeśli już istnieje, aby sprawdzić nową grupę lub
• Utwórz nową grupę i zaktualizuj istniejące grupy, aplikacja sprawdzała, aby uwzględnić nową grupę jako członka

Przed rozpoczęciem upewnij się, że jesteś administratorem domeny w domenie, w której zainstalowano aplikację. Upewnij się, że możesz zalogować się do kontrolera domeny lub mieć narzędzia Administracja istration serwera zdalnego dla administracji usług domena usługi Active Directory (AD DS) zainstalowane na komputerze z systemem Windows.

Konfigurowanie nowej opcji grup

W tym scenariuszu zaktualizujesz aplikację, aby sprawdzić identyfikator SID, nazwę lub nazwę wyróżniającą nowych grup utworzonych przez aprowizację grup synchronizacji w chmurze. Ten scenariusz ma zastosowanie do następujących elementów:

• wdrożenia nowych aplikacji połączonych z usługami AD DS po raz pierwszy.
• nowa kohorta użytkowników, którzy uzyskują dostęp do aplikacji.
• w celu modernizacji aplikacji w celu zmniejszenia zależności od istniejących grup usług AD DS. Aplikacje, które obecnie sprawdzają członkostwo Domain Admins w grupie, należy zaktualizować, aby również sprawdzić nowo utworzoną grupę usługi AD.

Wykonaj następujące kroki, aby aplikacje korzystały z nowych grup.

Tworzenie aplikacji i grupy

1. Korzystając z centrum administracyjnego firmy Microsoft Entra, utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
2. Jeśli używasz serwera proxy aplikacji, aby umożliwić użytkownikom łączenie się z aplikacją, skonfiguruj serwer proxy aplikacji.
3. Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
4. Użyj aprowizacji grup do usługi AD, aby aprowizować tę grupę w usłudze AD .
5. Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD. Gdy jest obecny, zapisz nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID nowej grupy usługi AD.

Konfigurowanie aplikacji do korzystania z nowej grupy

1. Jeśli aplikacja używa usługi AD za pośrednictwem protokołu LDAP, skonfiguruj aplikację przy użyciu nazwy wyróżniającej nowej grupy usługi AD. Jeśli aplikacja używa usługi AD za pośrednictwem protokołu Kerberos, skonfiguruj aplikację przy użyciu identyfikatora SID lub nazwy domeny i konta nowej grupy usługi AD.
2. Utwórz pakiet dostępu. Dodaj aplikację z pliku #1, grupę zabezpieczeń z pliku #3 jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
3. W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu.
4. Poczekaj na zaktualizowanie nowej grupy usługi AD przy użyciu nowych członków. Korzystając z Użytkownicy i komputery usługi Active Directory, upewnij się, że poprawni użytkownicy są obecni jako członkowie grupy.
5. W monitorowaniu domeny usługi AD zezwól tylko na konto usługi gMSA, na które jest uruchomiony agent aprowizacji, autoryzacja umożliwiająca zmianę członkostwa w nowej grupie usługi AD.

Teraz możesz zarządzać dostępem do aplikacji usługi AD za pomocą tego nowego pakietu dostępu.

Konfigurowanie opcji istniejących grup

W tym scenariuszu należy dodać nową grupę zabezpieczeń usługi AD jako zagnieżdżonego członka grupy istniejącej grupy. Ten scenariusz dotyczy wdrożeń aplikacji, które mają zakodowaną na stałe zależność od określonej nazwy konta grupy, identyfikatora SID lub nazwy wyróżniającej.

Zagnieżdżanie tej grupy do istniejących aplikacji usługi AD umożliwi:

• Użytkownicy firmy Microsoft Entra, którym przypisano funkcję ładu, a następnie uzyskują dostęp do aplikacji, aby mieć odpowiedni bilet protokołu Kerberos. Ten bilet będzie zawierać istniejący identyfikator SID grup. To zagnieżdżanie jest dozwolone przez reguły zagnieżdżania grup usługi AD.

Jeśli aplikacja używa protokołu LDAP i następuje po zagnieżdżonym członkostwie w grupie, aplikacja będzie widzieć użytkowników firmy Microsoft Entra jako istniejącą grupę jako jedną z ich członkostw.

Określanie uprawnień istniejącej grupy

1. Uruchom Użytkownicy i komputery usługi Active Directory i zarejestruj nazwę wyróżniającą, typ i zakres istniejącej grupy usługi AD używanej przez aplikację.
2. Jeśli istniejąca grupa to Domain Admins, , Domain UsersGroup Policy Creation OwnersDomain GuestsEnterprise Key AdminsKey AdminsEnterprise AdminsProtected Userslub Schema Admins, należy zmienić aplikację tak, aby korzystała z nowej grupy, zgodnie z powyższym opisem, ponieważ te grupy nie mogą być używane przez synchronizację w chmurze.
3. Jeśli grupa ma zakres globalny, zmień grupę na zakres uniwersalny. Grupa globalna nie może mieć grup uniwersalnych jako członków.

Tworzenie aplikacji i grupy

1. W centrum administracyjnym firmy Microsoft Entra utwórz aplikację w usłudze Microsoft Entra ID reprezentującą aplikację opartą na usłudze AD i skonfiguruj aplikację tak, aby wymagała przypisania użytkownika.
2. Jeśli serwer proxy aplikacji będzie używany do umożliwienia użytkownikom nawiązywania połączenia z aplikacją, skonfiguruj serwer proxy aplikacji.
3. Utwórz nową grupę zabezpieczeń w identyfikatorze Entra firmy Microsoft.
4. Użyj aprowizacji grup do usługi AD, aby aprowizować tę grupę w usłudze AD .
5. Uruchom Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD, gdy jest obecna, zarejestruj nazwę wyróżniającą, domenę, nazwę konta i identyfikator SID nowej grupy usługi AD.

Konfigurowanie aplikacji do korzystania z nowej grupy

1. Przy użyciu Użytkownicy i komputery usługi Active Directory dodaj nową grupę usługi AD jako członka istniejącej grupy usługi AD.
2. Utwórz pakiet dostępu. Dodaj aplikację z pliku #1, grupę zabezpieczeń z pliku #3 jako zasoby w pakiecie programu Access. Skonfiguruj zasady przypisania bezpośredniego w pakiecie dostępu.
3. W obszarze Zarządzanie upoważnieniami przypisz zsynchronizowanych użytkowników, którzy potrzebują dostępu do aplikacji opartej na usłudze AD do pakietu dostępu. Obejmuje to wszystkich użytkowników istniejącej grupy usługi AD, którzy będą nadal potrzebować dostępu.
4. Poczekaj na zaktualizowanie nowej grupy usługi AD przy użyciu nowych członków. Korzystając z Użytkownicy i komputery usługi Active Directory, upewnij się, że poprawni użytkownicy są obecni jako członkowie grupy.
5. Przy użyciu Użytkownicy i komputery usługi Active Directory usuń istniejące elementy członkowskie oprócz nowej grupy usługi AD istniejącej grupy usługi AD.
6. W monitorowaniu domeny usługi AD zezwól tylko na konto usługi gMSA, na które jest uruchomiony agent aprowizacji, autoryzacja umożliwiająca zmianę członkostwa w nowej grupie usługi AD.

Następnie będzie można zarządzać dostępem do aplikacji usługi AD za pośrednictwem tego nowego pakietu dostępu.

Rozwiązywanie problemów

Użytkownik, który jest członkiem nowej grupy usługi AD i znajduje się na komputerze z systemem Windows już zalogowanym do domeny usługi AD, może mieć istniejący bilet wystawiony przez kontroler domeny usługi AD, który nie zawiera nowego członkostwa w grupie usługi AD. Dzieje się tak, ponieważ bilet mógł zostać wystawiony przed aprowizowaniem grupy synchronizacji w chmurze, dodając go do nowej grupy usługi AD. Użytkownik nie będzie mógł przedstawić biletu dostępu do aplikacji, dlatego musi poczekać na wygaśnięcie biletu, a nowy bilet wystawiony lub przeczyścić swoje bilety, wylogować się i zalogować się z powrotem do domeny. Aby uzyskać więcej informacji, zobacz polecenie klist.

Istniejący klienci zapisywania zwrotnego grup Połączenie firmy Microsoft w wersji 2

Jeśli używasz usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2, musisz przejść do aprowizacji synchronizacji w chmurze z usługą AD, zanim będzie można korzystać z aprowizacji grup synchronizacji w chmurze. Zobacz Migrowanie usługi Microsoft Entra Połączenie Sync zapisywania zwrotnego grup w wersji 2 do usługi Microsoft Entra Cloud Sync

Następne kroki

• Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync
• Aprowizowanie grup w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync
• Microsoft Entra Połączenie Sync zapisywania zwrotnego grup w wersji 2 do migracji synchronizacji z chmurą firmy Microsoft