Поделиться через

Обратная запись групп с помощью облачной синхронизации Microsoft Entra

С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь может выполнять обратную запись групп. Эта функция означает, что облачная синхронизация может предоставлять группы непосредственно в локальной среде Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.

Схема групповой обратной записи с облачной синхронизацией.

Внимание

Предварительная версия групповой записи версии 2 в Microsoft Entra Connect Sync устарела и больше не поддерживается.

Вы можете использовать Microsoft Entra Cloud Sync для переноса групп безопасности в облаке в локальные службы домена Active Directory (AD DS).

Если вы используете групповую обратную запись версии 2 в Microsoft Entra Connect Sync, необходимо переместить клиент синхронизации в Microsoft Entra Cloud Sync. Чтобы проверить, имеет ли вы право перейти на Microsoft Entra Cloud Sync, используйте мастер синхронизации пользователей.

Если вы не можете использовать Microsoft Cloud Sync, как рекомендуется мастером, вы можете запустить Microsoft Entra Cloud Sync параллельно с Microsoft Entra Connect Sync. В этом случае можно запустить Microsoft Entra Cloud Sync только для подготовки групп безопасности облака в локальных AD DS.

Если вы развертываете группы Microsoft 365 в AD DS, можно продолжать использовать Обратную запись групп v1.

Настройка Microsoft Entra ID для Active Directory Domain Services — предварительные требования

** Для реализации групп предоставления для Active Directory Domain Services (AD DS) требуются следующие предварительные условия.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы найти нужную лицензию для ваших требований, см. статью Сравнение общедоступных функций Microsoft Entra ID.

Общие требования

  • Учетная запись Microsoft Entra как минимум с ролью Hybrid Identity Administrator.
  • Локальная схема AD DS с атрибутом msDS-ExternalDirectoryObjectId, которая доступна в Windows Server 2016 и более поздних версиях.
  • Агент настройки с версией сборки 1.1.3730.0 или более поздней.

Примечание.

Разрешения для служебной учетной записи назначаются исключительно во время полной установки. Если вы обновляетесь с предыдущей версии, то разрешения необходимо назначить вручную с помощью PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо назначить доступ на чтение, запись, создание и удаление всех свойств для всех дочерних групп и объектов пользователей.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию. Дополнительные сведения см. в разделе командлеты gMSA PowerShell агента подготовки Microsoft Entra.

  • Агент подготовки должен быть установлен на сервере, на котором выполняется Windows Server 2022, Windows Server 2019 или Windows Server 2016.
  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация с Microsoft Entra Connect версия сборки 2.2.8.0
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью синхронизации Microsoft Entra Connect
    • Требуется для синхронизации AD DS:user:objectGUID с AAD DS:user:onPremisesObjectIdentifier

Ограничения масштабирования групп управления ресурсами для Active Directory

Функция подготовки групп для Active Directory влияет на производительность в зависимости от размера арендатора и количества групп и членств, находящихся в пределах области подготовки к Active Directory. В этом разделе описано, как определить, поддерживает ли GPAD требование масштабирования и как выбрать правильный режим охвата группы для ускорения начальных и разностных циклов синхронизации.

Что не поддерживается?

  • Группы, размер которых превышает 50K, не поддерживаются.
  • Использование области "Все группы безопасности" без применения фильтрации области атрибутов не поддерживается.

Ограничения масштабирования

Режим определения области Количество групп в рамках Количество членских ссылок (только прямые члены) Примечания.
Режим "Выбранные группы безопасности" До 10 тысяч групп. Панель CloudSync на портале Microsoft Entra позволяет выбирать до 999 групп, а также отображать до 999 групп. Если вам нужно добавить более 1000 групп в область, см. статью "Расширенный выбор группы с помощью API". До 250K участников в общей сложности во всех группах в рамках. Используйте этот режим ограничения области, если тенант превышает ЛЮБОЕ из этих ограничений
1. У клиента более 200 тысяч пользователей
2. Арендатор имеет более 40 тыс. групп
3. Арендатор имеет более 1 млн членств в группах.
Режим "Все группы безопасности" с по крайней мере одним фильтром области атрибутов. До 20 тыс. групп. До 500K всего членов во всех группах в области. Используйте этот режим охвата, если ваш арендатор удовлетворяет всем ограничениям, приведенным ниже:
1. Клиент имеет менее 200k пользователей
2. Арендатор имеет менее 40 тыс. групп
3. Клиент имеет менее 1 млн членств в группах.

Что делать, если вы превысили лимиты

Превышение рекомендуемых ограничений приведет к замедлению начальной и разностной синхронизации, что может привести к ошибкам синхронизации. Если это произойдет, выполните следующие действия.

Слишком много групп или членов групп в режиме выбора «Выбранные группы безопасности»:

Уменьшите количество групп в охвате (сосредоточьтесь на группах с более высоким приоритетом), или разделите процесс обеспечения на несколько самостоятельных заданий с отдельными областями.

Слишком много групп или участников групп в режиме охвата "Все группы безопасности".

Используйте рекомендуемый режим области выбранных групп безопасности .

Некоторые группы превышают 50K членов:

Разделение членства между несколькими группами или принятие промежуточных групп (например, по регионам или бизнес-подразделениям), чтобы сохранить каждую группу под ограничением.

Расширенный выбор группы с помощью API

Если вам нужно выбрать более 999 групп, необходимо использовать параметр Grant an appRoleAssignment для вызова API субъекта-службы .

Пример вызовов API выглядит следующим образом:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: идентификатор объекта Group.
  • resourceId: идентификатор субъекта-службы задания.
  • appRoleId: идентификатор роли приложения, предоставляемой субъектом-службой ресурсов.

В следующей таблице приведен список идентификаторов ролей приложений для облаков:

Облако appRoleId (идентификатор роли приложения)
Публика 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Дополнительные сведения

Ниже приведены дополнительные моменты, которые следует учитывать при подготовке групп в AD DS.

  • Группы, подготовленные в AD DS с помощью Облачной синхронизации, могут содержать только локальных синхронизированных пользователей или других созданных в облаке групп безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • onPremisesObjectIdentifier должен соответствовать соответствующему objectGUID в целевой среде AD DS.
  • Атрибут objectGUID локального пользователя можно синхронизировать с атрибутом cloud user onPremisesObjectIdentifier с помощью любого клиента синхронизации.
  • Только глобальные арендаторы Microsoft Entra ID могут настраивать интеграцию из Microsoft Entra ID с AD DS. Арендаторы, такие как B2C, не поддерживаются.
  • Задание по обслуживанию группы планируется выполнять каждые 20 минут.

Поддерживаемые сценарии для обратной записи групп с помощью облачной синхронизации Microsoft Entra

В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.

Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Облачная синхронизация

Сценарий: Миграция функции обратной записи группы с Microsoft Entra Connect Sync (ранее Azure AD Connect) на Microsoft Entra Cloud Sync. Этот сценарий только для клиентов, которые в настоящее время используют функцию обратной записи группы в Microsoft Entra Connect версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются обратно с универсальной областью. Группы с поддержкой почты и списки рассылки, записанные обратно с помощью Microsoft Entra Connect функции обратной записи групп версии 1 или версии 2, не поддерживаются.

Для получения дополнительной информации см. Перенос Microsoft Entra Connect Sync group writeback V2 на Microsoft Entra Cloud Sync.

Управление приложениями на основе локального Active Directory (Kerberos) с помощью Microsoft Entra ID Governance

Scenario: Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества функций Microsoft Entra ID Governance для контроля и устранения любых связанных с доступом запросов.

Дополнительные сведения см. в разделе Управление локальными приложениями Active Directory с Kerberos с использованием Microsoft Entra ID Governance.

Следующие шаги

  • Last updated on