Sdílet prostřednictvím


Zpětný zápis skupin pomocí Microsoft Entra Cloud Sync

Díky vydání agenta zřizování 1.1.1370.0 teď může cloudová synchronizace provádět zpětný zápis skupiny. Tato funkce znamená, že cloudová synchronizace může zřizovat skupiny přímo do vašeho místní Active Directory prostředí. Pomocí funkcí zásad správného řízení identit teď můžete řídit přístup k aplikacím založeným na AD, například zahrnutím skupiny do přístupového balíčku pro správu nároků.

Diagram zpětného zápisu skupiny se synchronizací cloudu

Důležité

Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v aplikaci Connect Sync již nebude podporováno poskytování cloudových skupin zabezpečení do služby Active Directory. Funkce bude fungovat i po datu ukončení; po tomto datu však již nebude podporována a může přestat fungovat kdykoli bez předchozího upozornění.

Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory, které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce ve službě Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z Connect Sync na Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do služby Cloud Sync (pokud podporuje vaše potřeby). Službu Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do Cloud Sync.

Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro službu Active Directory: pro tuto funkci můžete nadále používat zpětný zápis skupiny v1.

K vyhodnocení přesunu výhradně do služby Cloud Sync můžete použít průvodce synchronizací uživatelů.

Zřízení ID Microsoft Entra pro Active Directory – požadavky

K implementaci skupin zřizování do služby Active Directory se vyžadují následující požadavky.

Požadavky na licenci

Použití této funkce vyžaduje licence Microsoft Entra ID P1. Pokud chcete najít správnou licenci pro vaše požadavky, projděte si porovnání obecně dostupných funkcí Microsoft Entra ID.

Obecné požadavky

  • Účet Microsoft Entra s alespoň rolí správce hybridní identity
  • Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
    • Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
  • Zřizování agenta s buildem verze 1.1.1370.0 nebo novější

Poznámka:

Oprávnění k účtu služby se přiřazují pouze během čisté instalace. Pokud upgradujete z předchozí verze, musíte oprávnění přiřadit ručně pomocí rutiny PowerShellu:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Pokud jsou oprávnění nastavená ručně, musíte zajistit, aby pro všechny sestupné skupiny a objekty uživatele byly všechny vlastnosti pro čtení, zápis, vytvoření a odstranění všech vlastností.

Tato oprávnění nejsou použita pro objekty AdminSDHolder ve výchozím nastavení microsoft Entra provisioning agent gMSA PowerShell

  • Agent zřizování musí být schopný komunikovat s jedním nebo více řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (globální katalog).
    • Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
  • Microsoft Entra Connect Sync s buildem verze 2.2.8.0 nebo novějším
    • Vyžadováno pro podporu místního členství uživatelů synchronizovaných pomocí Synchronizace Microsoft Entra Connect
    • Vyžadováno pro synchronizaci AD:user:objectGUID s AAD:user:onPremisesObjectIdentifier

Podporované skupiny a omezení škálování

Podporuje se následující:

  • Podporují se jenom skupiny zabezpečení vytvořené v cloudu.
  • Tyto skupiny mohou mít přiřazené nebo dynamické skupiny členství.
  • Tyto skupiny můžou obsahovat pouze místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
  • Místní uživatelské účty, které jsou synchronizované a jsou členy této skupiny zabezpečení vytvořené v cloudu, můžou být ze stejné domény nebo mezi doménami, ale všechny musí být ze stejné doménové struktury.
  • Tyto skupiny se zapisují zpět s rozsahem univerzálních skupin AD. Vaše místní prostředí musí podporovat obor univerzální skupiny.
  • Skupiny, které jsou větší než 50 000 členů, se nepodporují.
  • Tenanti, kteří mají více než 150 000 objektů, se nepodporují. To znamená, že pokud má tenant jakoukoli kombinaci uživatelů a skupin, které překračují 150 tisíc objektů, tenant se nepodporuje.
  • Každá přímá podřízená vnořená skupina se počítá jako jeden člen v odkazující skupině.
  • Pokud je skupina ručně aktualizována ve službě Active Directory, není podporováno odsouhlasení skupin mezi MICROSOFT Entra ID a Službou Active Directory.

Další informace

Následuje další informace o zřizování skupin ve službě Active Directory.

  • Skupiny zřízené pro AD pomocí cloudové synchronizace můžou obsahovat jenom místní synchronizované uživatele nebo další skupiny zabezpečení vytvořené v cloudu.
  • Tito uživatelé musí mít atribut onPremisesObjectIdentifier nastavený na svém účtu.
  • OnPremisesObjectIdentifier musí odpovídat odpovídajícímu objektuGUID v cílovém prostředí AD.
  • Atribut objectGUID místních uživatelů pro cloudové uživatele onPremisesObjectIdentifier lze synchronizovat pomocí Microsoft Entra Cloud Sync (1.1.1370.0) nebo Microsoft Entra Connect Sync (2.2.8.0)
  • Pokud k synchronizaci uživatelů používáte Microsoft Entra Connect Sync (2.2.8.0) a chcete používat zřizování pro AD, musí to být verze 2.2.8.0 nebo novější.
  • Zřizování z Microsoft Entra ID do služby Active Directory se podporuje pouze u běžných tenantů Microsoft Entra ID. Tenanti, jako je B2C, se nepodporují.
  • Úloha zřizování skupin se plánuje spustit každých 20 minut.

Podporované scénáře zpětného zápisu skupin pomocí Microsoft Entra Cloud Sync

Následující části popisují podporované scénáře zpětného zápisu skupin pomocí Microsoft Entra Cloud Sync.

Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync v2 do Microsoft Entra Cloud Sync

Scénář: Migrace zpětného zápisu skupiny pomocí nástroje Microsoft Entra Connect Sync (dříve Azure AD Connect) do Microsoft Entra Cloud Sync Tento scénář je určený pouze pro zákazníky, kteří aktuálně používají zpětný zápis skupiny Microsoft Entra Connect v2. Proces popsaný v tomto dokumentu se týká pouze skupin zabezpečení vytvořených v cloudu, které se zapisují zpět s univerzálním oborem. Skupiny a seznamy DLS s podporou pošty zapsané zpět pomocí zpětného zápisu skupiny Microsoft Entra Connect verze 1 nebo V2 nejsou podporovány.

Další informace naleznete v tématu Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync V2 do Microsoft Entra Cloud Sync.

Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení Microsoft Entra ID

Scénář: Správa místních aplikací pomocí skupin Active Directory, které jsou zřízené a spravované v cloudu Microsoft Entra Cloud Sync umožňuje plně řídit přiřazení aplikací v AD a současně využívat funkce zásad správného řízení Microsoft Entra ID k řízení a nápravě všech žádostí souvisejících s přístupem.

Další informace naleznete v tématu Řízení aplikací založených na místní Active Directory (Kerberos) pomocí zásad správného řízení microsoft Entra ID .

Další kroky