Настройка выгрузки данных группы в управлении правами доступа

В этой статье описывается, как настроить обратную запись для групп в управлении правами доступа. Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в локальный экземпляр Active Directory с помощью Microsoft Entra Cloud Sync.

Настроить обратную запись группы в управлении полномочиями

Чтобы настроить обратную запись группы для групп Microsoft 365 в пакетах доступа, необходимо выполнить следующие предварительные условия:

• Настройте функцию обратной записи группы в Центре администрирования Microsoft Entra.
• Организационная единица (ОЕ), которая используется для настройки обратной записи групп в конфигурации синхронизации Microsoft Entra Cloud Sync.
• Выполните действия по включению репликации для Microsoft Entra Cloud Sync.

С помощью обратной записи групп теперь можно синхронизировать группы безопасности, которые являются частью пакетов доступа к локальной службе Active Directory. Чтобы синхронизировать группы, выполните действия.

1. Создайте группу безопасности Microsoft Entra.

2. Задайте группу для записи обратно в локальную службу Active Directory. Для получения инструкций см. раздел о записи групп в Центре администрирования Microsoft Entra.

3. Добавьте группу в качестве роли ресурса в пакет доступа. См. Создание нового пакета доступа для получения руководства.

4. Запустите Active Directory «Пользователи и компьютеры» и дождитесь создания новой группы AD в домене AD. Когда он присутствует, запишите удобочитаемое имя, домен, имя учетной записи и идентификатор безопасности новой группы Active Directory.

5. Настройте приложение для использования новой группы, обновив приложение или добавив группу в качестве члена существующей группы, как описано в разделе Управление локальными приложениями Active Directory (Kerberos) с помощью системы управления идентификаторами Майкрософт.

6. Назначьте пользователя пакету доступа. См. в разделе , как просматривать, добавлять и удалять задания для пакета доступа, а также инструкции по прямому назначению пользователей.

7. После назначения пользователю пакета доступа убедитесь, что пользователь теперь является членом локальной группы после завершения цикла синхронизации Microsoft Entra Cloud:

   1. Просмотрите свойство участника группы в локальном подразделении или в локальной организационной единице.
   2. Просмотрите свойство MemberOf в объекте пользователя.

   Заметка

   Расписание синхронизации по умолчанию microsoft Entra Cloud Sync составляет каждые 30 минут. Возможно, вам понадобится дождаться следующего цикла, чтобы увидеть результаты в локальной среде, или вы можете вручную запустить цикл синхронизации, чтобы увидеть результаты быстрее.

8. В мониторинге домена AD разрешите только учетной записи gMSA, которая запускает агент развертывания, иметь полномочия изменять членство в новой группе AD.

Дальнейшие действия

• Создавайте и управляйте каталогом ресурсов в управлении правами
• Делегирование управления правами доступа менеджерам пакетов в управлении доступом