Управляйте приложениями на основе локального Active Directory (Kerberos) с помощью Microsoft Entra ID Governance.

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, воспользовавшись преимуществами функций управления доступом и идентификацией Microsoft Entra для контроля и исправления всех связанных запросов на доступ.

В выпуске агента подготовки 1.1.1370.0 облачная синхронизация теперь может подготавливать группы непосредственно в локальной среде Active Directory. Функции управления удостоверениями можно использовать для управления доступом к приложениям на основе AD, например, включая группу в пакет управления доступом с правами.

Просмотр видео обратной записи группы

Чтобы получить отличное представление о настройке групп облачной синхронизации в Active Directory и о том, что это может сделать для вас, посмотрите видео ниже.

Предварительные условия

Для реализации этого сценария необходимы следующие предварительные требования.

• Учетная запись Microsoft Entra с ролью администратора по гибридным удостоверениям.
• Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
  • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId.
• Агент подготовки с версией сборки 1.1.1367.0 или более поздней.

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Командлеты PowerShell для агента подготовки Microsoft Entra gMSA

• Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
  • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.
• Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней.
  • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect.
  • Требуется для синхронизации AD:user:objectGUID с Microsoft Entra ID:user:onPremisesObjectIdentifier.

Поддерживаемые группы

Для этого сценария поддерживаются только следующие группы:

• Поддерживаются только созданные облаком группы безопасности
• Эти группы должны иметь статичное или динамическое членство
• Эти группы могут содержать только локальных синхронизированных пользователей и /или облачных созданных групп безопасности.
• Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной службой безопасности, могут быть из одного домена или из различных доменов, но все они должны быть из одного и того же леса.
• Эти группы записываются обратно в универсальную область групп AD. Ваша локальная среда должна поддерживать универсальную область действия группы.
• Группы, размер которых превышает 50 000 членов, не поддерживаются
• Каждая прямая дочерняя вложенная группа считается одним членом в ссылающейся группе.

Поддерживаемые сценарии

В следующих разделах рассматриваются сценарии, которые поддерживаются при создании группы синхронизации данных в облаке.

Настройка поддерживаемых сценариев

Если вы хотите управлять возможностью подключения пользователя к приложению Active Directory, использующему аутентификацию Windows, можно использовать прокси приложения и группу безопасности Microsoft Entra. Если приложение проверяет членство пользователей в группах AD через Kerberos или LDAP, вы можете использовать подготовку групп с помощью облачной синхронизации, чтобы убедиться, что пользователь AD имеет эти группы, прежде чем пользователь обращается к приложениям.

В следующих разделах рассматриваются два варианта, которые поддерживаются при настройке группы облачной синхронизации. Параметры сценария предназначены для того, чтобы пользователи, назначенные приложению, имели членство в группах при аутентификации с приложением.

• Создайте новую группу и обновите приложение, если оно уже существует, чтобы проверить наличие новой группы или
• Создайте новую группу и обновите существующие группы, для которых приложение проверяло включение новой группы в качестве члена.

Прежде чем начать, убедитесь, что вы являетесь администратором домена в домене, где установлено приложение. Убедитесь, что вы можете войти в контроллер домена или использовать средства удаленного администрирования сервера для администрирования доменных служб Active Directory (AD DS) на компьютере с Windows.

Настройка нового параметра групп

В этом сценарии вы обновляете приложение, чтобы проверить идентификатор безопасности (SID), имя или уникальное имя новых групп, созданных при помощи облачной синхронизации. Этот сценарий применим к следующему:

• Развертывания новых приложений, подключающихся к AD DS в первый раз.
• Новые когорты пользователей, обращаюющихся к приложению.
• Для модернизации приложений необходимо уменьшить зависимость от существующих групп AD DS. Приложения, которые в настоящее время проверяют членство в группе Domain Admins, необходимо обновить, чтобы также проверить наличие только что созданной группы AD.

Выполните следующие действия, чтобы приложения использовали новые группы.

Создание приложения и группы

1. С помощью Центра администрирования Microsoft Entra создайте приложение в Идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
2. Если вы используете прокси приложения, чтобы разрешить пользователям подключаться к приложению, настройте прокси приложения.
3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
4. Используйте групповое предоставление в AD для предоставления доступа этой группы в AD.
5. Откройте приложение «Пользователи и компьютеры Active Directory» и дождитесь, пока новая группа AD не будет создана в домене AD. Когда он присутствует, зафиксируйте удостоверяющее имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

1. Если приложение использует AD через LDAP, настройте приложение с уникальным именем новой группы AD. Если приложение использует AD через Kerberos, настройте приложение с идентификатором безопасности или доменом и именем учетной записи новой группы AD.
2. Создайте пакет доступа. Добавьте приложение из шага 1 и группы безопасности из шага 3, как описано в разделе Создание приложения и группы выше в качестве ресурсов в пакете доступа. Настройте политику прямой привязки в пакете доступа.
3. В Управлении правами доступа назначьте синхронизированных пользователей, которым требуется доступ к AD-приложению, в пакет доступа.
4. Дождитесь обновления новой группы AD новыми участниками. С помощью окна "Пользователи и компьютеры Active Directory" убедитесь в том, что правильные пользователи присутствуют в качестве членов группы.
5. В мониторинге домена AD разрешите только учетной записи gMSA, которая запускает агент подготовки, авторизацию на изменение членства в новой группе AD.

Теперь вы можете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Настройка существующего параметра групп

В этом сценарии вы добавляете новую группу безопасности AD в качестве вложенного члена существующей группы. Этот сценарий применим к развертываниям для приложений, имеющих жестко закодированную зависимость от определенного имени учетной записи группы, идентификатора безопасности или различающегося имени.

Вложение этой группы в существующую группу AD приложения позволит:

• Пользователи Microsoft Entra, которым предоставлен доступ с помощью механизма управления, затем получают доступ к приложению, чтобы получить соответствующий билет Kerberos. Этот тикет содержит идентификатор безопасности существующей группы. Вложение допускается правилами вложения групп AD.

Если приложение использует LDAP и поддерживает вложенные группы, то оно будет видеть пользователей Microsoft Entra как состоящих в имеющейся группе.

Определение права на участие существующей группы

1. Запустите пользователей и компьютеры Active Directory и запишите различающееся имя, тип и область существующей группы AD, используемой приложением.
2. Если существующая группа — это Domain Admins, Domain Guests, Domain Users, Enterprise Admins, Enterprise Key Admins, Group Policy Creation Owners, Key Admins, Protected Usersили Schema Admins, необходимо изменить приложение, чтобы использовать новую группу, как указано выше, поскольку эти группы нельзя использовать для облачной синхронизации.
3. Если группа имеет глобальную область, измените группу на универсальную область. Глобальная группа не может иметь универсальные группы в качестве членов.

Создание приложения и группы

1. В Центре администрирования Microsoft Entra создайте приложение в идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
2. Если прокси приложения используется для включения подключения пользователей к приложению, настройте прокси приложения.
3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
4. Используйте групповое предоставление в AD, чтобы передать эту группу в AD.
5. Откройте приложение «Пользователи и компьютеры Active Directory» и дождитесь, пока новая группа AD не будет создана в домене AD. Когда он присутствует, зафиксируйте удостоверяющее имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

1. Используя оснастку "Пользователи и компьютеры Active Directory", добавьте новую группу AD в состав существующей группы AD.
2. Создайте пакет доступа. Добавьте приложение из шага 1 и группы безопасности из шага 3, как описано в разделе Создание приложения и группы выше в качестве ресурсов в пакете доступа. Настройте политику прямой привязки в пакете доступа.
3. В Управление доступомдобавьте синхронизированных пользователей, которым требуется доступ к приложению, основанному на AD, в пакет доступа, включая всех пользователей из существующей группы AD, которым по-прежнему необходим доступ.
4. Дождитесь обновления новой группы AD новыми участниками. С помощью окна "Пользователи и компьютеры Active Directory" убедитесь в том, что правильные пользователи присутствуют в качестве членов группы.
5. Используя Active Directory Users and Computers, удалите существующих членов, кроме новой группы AD, из существующей группы AD.
6. В мониторинге домена AD разрешите авторизацию для изменения членства в новой группе AD только той учетной записи gMSA, которая используется для запуска агента подготовки.

Затем вы сможете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Устранение неполадок

Пользователь, который является членом новой группы AD и находится на компьютере с Windows, уже вошедшим в домен AD, может иметь существующий билет, выданный контроллером домена AD, который не включает новое членство в группах AD. Это связано с тем, что тикет, возможно, был выдан до того, как подготовка группы облачной синхронизации добавила их в новую группу AD. Пользователь не сможет представить билет для доступа к приложению, и поэтому должен ждать истечения срока действия билета и для выдачи нового билета, или должен очистить свои билеты, выйти из системы, а затем войти в домен. Дополнительные сведения см. в команде klist .

Существующие клиенты Microsoft Entra Connect с функцией обратной записи групп версии 2

Если вы используете обратную запись группы Microsoft Entra Connect версии 2, необходимо перейти к подготовке облачной синхронизации в AD, прежде чем воспользоваться преимуществами подготовки группы облачной синхронизации. См. Миграция функции обратной записи группы синхронизации Microsoft Entra Connect V2 в Microsoft Entra Cloud Sync

Следующие шаги

• Обратная запись групп с помощью Microsoft Entra Cloud Sync
• Предоставление групп в Active Directory с помощью Microsoft Entra Cloud Sync
• Миграция функции обратной записи группы Microsoft Entra Connect Sync V2 в Microsoft Entra Cloud Sync