Поделиться через

Обратная запись групповых данных с помощью Microsoft Entra Cloud Sync

  • Статья

С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь может выполнять обратную запись групп. Эта функция означает, что облачная синхронизация может напрямую подготавливать группы в локальной среде Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.

Схема обратной записи группы с помощью облачной синхронизации.

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Connect Sync больше не доступна по состоянию на 30 июня 2024 г.. Эта функция была прекращена с указанной даты, и Microsoft Entra Connect Sync больше не поддерживает настройку групп безопасности в облаке для Active Directory. Функция продолжает работать за пределами даты прекращения работы; однако она больше не получает поддержку и может прекратить работу в любое время без уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функциональность под названием Провизирование группы в Active Directory, которую можно использовать вместо Group Writeback v2 для провизирования облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Microsoft Entra Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Microsoft Entra Cloud Sync.

Клиенты, использующие эту предварительную функцию в Microsoft Entra Connect Sync, должны переключить конфигурацию с Microsoft Entra Connect Sync на Microsoft Entra Cloud Sync. Вы можете перевести всю вашу гибридную синхронизацию на Microsoft Entra Cloud Sync, если это соответствует вашим потребностям. Вы также можете использовать Microsoft Entra Cloud Sync параллельно и перемещать задачи развертывания только облачных групп безопасности в Active Directory в Microsoft Entra Cloud Sync.

Для клиентов, которые развертывают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой функции.

Вы можете оценить возможность перехода исключительно на Microsoft Entra Cloud Sync, используя мастер синхронизации пользователей .

Предоставление Microsoft Entra ID в Active Directory — предварительные требования

Для внедрения групп предоставления в Active Directory требуются следующие требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью Гибридного администратора идентификации.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — "msDS-ExternalDirectoryObjectId"
  • Агент подготовки с версией сборки 1.1.1370.0 или более поздней.

Примечание.

Разрешения для служебной учетной записи назначаются исключительно во время полной установки. Если вы обновляете программу с предыдущей версии, разрешения назначаются вручную с помощью командлета PowerShell.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что для всех потомков объектов групп и пользователей разрешены действия чтения, записи, создания и удаления.

Эти разрешения по умолчанию не применяются к объектам AdminSDHolder, связанным с агентом предоставления Microsoft Entra gMSA PowerShell cmdlets.

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с версией сборки 2.2.8.0 или более поздней версией
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect Sync.
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут иметь назначенное или динамическое членство.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Учетные записи пользователей, находящиеся на локальных серверах, которые синхронизированы и являются членами облачной группы безопасности, которая была создана, могут быть из одного домена или из разных доменов, но все они должны быть из одного леса.
  • Эти группы записываются обратно в универсальную область групп AD. Ваша локальная среда должна поддерживать универсальную область действия групп.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Арендаторы, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерняя группа учитывается как один член в ссылающейся группе.
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • onPremisesObjectIdentifier должен соответствовать соответствующему объекту objectGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя можно синхронизировать с атрибутом onPremisesObjectIdentifier облачного пользователя с помощью либо Microsoft Entra Cloud Sync (1.1.1370.0), либо Microsoft Entra Connect Sync (2.2.8.0).
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать провижнинг в AD, версия должна быть 2.2.8.0 или более поздняя.
  • Поддерживаются только обычные арендаторы Microsoft Entra ID для настройки из Microsoft Entra ID в Active Directory. Арендаторы, такие как B2C, не поддерживаются.
  • Задание по обслуживанию группы планируется выполнять каждые 20 минут.

Поддерживаемые сценарии для обратной записи групп с помощью Microsoft Entra Cloud Sync

В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.

Перевод Microsoft Entra Connect Sync Group Writeback V2 на Microsoft Entra Cloud Sync

Сценарий. Перенос обратной записи группы с помощью синхронизации Microsoft Entra Connect (прежнее название — Azure AD Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют обратную запись группы Microsoft Entra Connect версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются обратно с универсальной областью. Группы с поддержкой почты и списки рассылки, записанные обратно с использованием функции обратной записи групп в Microsoft Entra Connect версии 1 или версии 2, не поддерживаются.

Дополнительные сведения см. в статье "Перенос функции обратной записи группы V2 из Microsoft Entra Connect Sync в Microsoft Entra Cloud Sync".

Управление приложениями на базе локальной службы каталогов Active Directory (Kerberos) с помощью Microsoft Entra ID Governance

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет вам полностью управлять назначениями приложений в AD, а также использовать функции управления идентификацией Microsoft Entra для контроля и устранения любых связанных с доступом запросов.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальной службы Active Directory (Kerberos) с помощью Microsoft Entra ID Governance".

Следующие шаги