Поделиться через


Настройка обратной записи группы в управлении правами

В этой статье показано, как настроить обратную запись группы в управлении правами. Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в экземпляр локальная служба Active Directory с помощью Microsoft Entra Cloud Sync.

Настройка обратной записи групп в управлении правами

Чтобы настроить обратную запись групп для групп Microsoft 365 в пакетах для доступа, необходимо выполнить следующие предварительные условия:

  • Настройка обратной записи группы в Центре администрирования Microsoft Entra.
  • Подразделение , которое используется для настройки обратной записи группы в конфигурации синхронизации Microsoft Entra Cloud Sync.
  • Выполните действия по включению обратной записи группы для Microsoft Entra Cloud Sync.

С помощью обратной записи групп теперь можно синхронизировать группы безопасности, которые являются частью пакетов доступа к локальная служба Active Directory. Чтобы синхронизировать группы, выполните действия.

  1. Создайте группу безопасности Microsoft Entra.

  2. Настройте группу для обратной записи в локальную службу Active Directory. Инструкции см. в разделе "Обратная запись группы" в Центре администрирования Microsoft Entra.

  3. Добавьте группу в пакет для доступа в качестве роли ресурса. Руководство см. в статье Создание пакета для доступа.

  4. Запустите Пользователи и компьютеры Active Directory и дождитесь создания результирующей новой группы AD в домене AD. Когда он присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

  5. Настройте приложение для использования новой группы, обновив приложение или добавив группу в качестве члена существующей группы, как описано в разделе "Управление локальная служба Active Directory приложениями на основе Kerberos" с помощью Управление идентификацией Microsoft Entra.

  6. Назначьте пользователя пакету для доступа. Инструкции по прямому назначению пользователя см. в статье Просмотр, добавление и удаление назначений для пакета для доступа.

  7. После назначения пользователю пакета доступа убедитесь, что пользователь теперь является членом локальной группы после завершения цикла синхронизации Microsoft Entra Cloud:

    1. просмотрите свойства участника группы в локальном подразделении или
    2. проверьте члена как объекта пользователя.

    Примечание.

    Расписание синхронизации по умолчанию microsoft Entra Cloud Sync составляет каждые 30 минут. Возможно, вам придется дождаться следующего цикла, чтобы увидеть результаты локально, или запустить цикл синхронизации вручную, чтобы увидеть результаты раньше.

  8. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, чтобы изменить членство в новой группе AD.

Следующие шаги