On-premises Active Directory-apps (Kerberos) beheren met behulp van Microsoft Entra ID-governance

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Connect Sync is na 30 juni 2024 niet meer beschikbaar. Deze functie wordt op deze datum stopgezet en u wordt niet meer ondersteund in Connect Sync voor het inrichten van cloudbeveiligingsgroepen naar Active Directory. De functie blijft actief na de beëindigingsdatum; het zal echter na deze datum geen ondersteuning meer ontvangen en kan op elk moment zonder kennisgeving ophouden met functioneren.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision naar Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Cloud Sync.

Klanten die deze preview-functie in Connect Sync gebruiken, moeten hun configuratie omschakelen van Connect Sync naar Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt Cloud Sync ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u Group Writeback v1 blijven gebruiken voor deze mogelijkheid.

U kunt het verplaatsen naar Cloud Sync evalueren met behulp van de wizard gebruikerssynchronisatie.

Scenario: On-premises toepassingen beheren met Active Directory-groepen die vanuit en worden beheerd in de cloud. Met Microsoft Entra Cloud Sync kunt u toepassingstoewijzingen in AD volledig beheren terwijl u profiteert van Microsoft Entra ID-governance functies om eventuele toegangsaanvragen te beheren en te herstellen.

Met de release van inrichtingsagent 1.1.1370.0 heeft cloudsynchronisatie nu de mogelijkheid om groepen rechtstreeks in te richten in uw on-premises Active Directory-omgeving. U kunt identiteitsbeheerfuncties gebruiken om de toegang tot op AD gebaseerde toepassingen te beheren, zoals door een groep op te geven in een toegangspakket voor rechtenbeheer.

Bekijk de video over het terugschrijven van groepen

Bekijk de onderstaande video voor een goed overzicht van het inrichten van cloudsynchronisatiegroepen voor Active Directory en wat het voor u kan doen.

Vereisten

De volgende vereisten zijn vereist om dit scenario te implementeren.

• Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
• On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
  • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId.
• Inrichtingsagent met buildversie 1.1.1367.0 of hoger.

Notitie

De machtigingen voor het serviceaccount worden alleen toegewezen tijdens de schone installatie. Als u een upgrade uitvoert van de vorige versie, moeten machtigingen handmatig worden toegewezen met behulp van de PowerShell-cmdlet:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Als de machtigingen handmatig zijn ingesteld, moet u ervoor zorgen dat alle eigenschappen lezen, schrijven, maken en verwijderen voor alle afstammingsgroepen en gebruikersobjecten.

Deze machtigingen worden niet standaard toegepast op AdminSDHolder-objecten

Microsoft Entra-inrichtingsagent gMSA PowerShell-cmdlets

• De inrichtingsagent moet kunnen communiceren met een of meer domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
  • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen uit te filteren.
• Microsoft Entra Connect met buildversie 2.2.8.0 of hoger.
  • Vereist voor ondersteuning van on-premises gebruikerslidmaatschap dat is gesynchroniseerd met Microsoft Entra Connect.
  • Vereist om AD:user:objectGUID te synchroniseren met Microsoft Entra ID:user:onPremisesObjectIdentifier.

Ondersteunde groepen

Voor dit scenario worden alleen de volgende groepen ondersteund:

• Alleen cloudbeveiligingsgroepen worden ondersteund
• Toegewezen of dynamische lidmaatschapsgroepen
• Alleen on-premises gesynchroniseerde gebruikers en/of door de cloud gemaakte beveiligingsgroepen bevatten
• On-premises gebruikersaccounts die worden gesynchroniseerd en lid zijn van deze beveiligingsgroep die in de cloud is gemaakt, kunnen afkomstig zijn van hetzelfde domein of meerdere domeinen, maar ze moeten allemaal afkomstig zijn uit hetzelfde forest
• Teruggeschreven met het bereik van ad-groepen van universeel. Uw on-premises omgeving moet het universele groepsbereik ondersteunen
• Niet groter dan 50.000 leden
• Elke direct onderliggende geneste groep telt als één lid in de verwijzende groep

Ondersteunde scenario's

In de volgende secties worden de scenario's besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen.

Ondersteunde scenario's configureren

Als u wilt bepalen of een gebruiker verbinding kan maken met een Active Directory-toepassing die gebruikmaakt van Windows-verificatie, kunt u de toepassingsproxy en een Microsoft Entra-beveiligingsgroep gebruiken. Als een toepassing de AD-groepslidmaatschappen van een gebruiker controleert, via Kerberos of LDAP, kunt u inrichting van cloudsynchronisatiegroepen gebruiken om ervoor te zorgen dat een AD-gebruiker deze groepslidmaatschappen heeft voordat de gebruiker toegang heeft tot de toepassingen.

In de volgende secties worden twee scenarioopties besproken die worden ondersteund met het inrichten van cloudsynchronisatiegroepen. De scenarioopties zijn bedoeld om ervoor te zorgen dat gebruikers die zijn toegewezen aan de toepassing groepslidmaatschappen hebben wanneer ze zich verifiëren bij de toepassing.

• Maak een nieuwe groep en werk de toepassing bij, als deze al bestaat, om te controleren op de nieuwe groep of
• Een nieuwe groep maken en de bestaande groepen bijwerken, de toepassing controleerde op, om de nieuwe groep op te nemen als lid

Voordat u begint, moet u ervoor zorgen dat u een domeinbeheerder bent in het domein waarop de toepassing is geïnstalleerd. Zorg ervoor dat u zich kunt aanmelden bij een domeincontroller of dat de externe serverbeheerprogramma's voor Active Directory-domein Services -beheer (AD DS) zijn geïnstalleerd op uw Windows-pc.

De optie nieuwe groepen configureren

In dit scenario werkt u de toepassing bij om te controleren op de SID, de naam of de DN-naam van nieuwe groepen die zijn gemaakt door het inrichten van cloudsynchronisatiegroepen. Dit scenario is van toepassing op:

• Implementaties voor nieuwe toepassingen die voor het eerst zijn verbonden met AD DS.
• Nieuwe cohorten van gebruikers die toegang hebben tot de toepassing.
• Voor het moderniseren van toepassingen kunt u de afhankelijkheid van bestaande AD DS-groepen verminderen. Toepassingen, die momenteel controleren op lidmaatschap van de Domain Admins groep, moeten worden bijgewerkt om ook te controleren op een zojuist gemaakte AD-groep.

Gebruik de volgende stappen voor toepassingen om nieuwe groepen te gebruiken.

Toepassing en groep maken

1. Maak met behulp van het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
2. Als u een toepassingsproxy gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
5. Start Active Directory en wacht tot de resulterende nieuwe AD-groep is gemaakt in het AD-domein. Wanneer deze aanwezig is, registreert u de DN-naam, het domein, de accountnaam en de SID van de nieuwe AD-groep.

Toepassing configureren voor het gebruik van een nieuwe groep

1. Als de toepassing AD via LDAP gebruikt, configureert u de toepassing met de DN-naam van de nieuwe AD-groep. Als de toepassing AD via Kerberos gebruikt, configureert u de toepassing met de SID of de domein- en accountnaam van de nieuwe AD-groep.
2. Maak een toegangspakket. Voeg de toepassing toe vanuit #1, de beveiligingsgroep van #3, als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket.
4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Controleer met Active Directory of de juiste gebruikers aanwezig zijn als leden van de groep.
5. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de inrichtingsagent wordt uitgevoerd, autorisatie om het lidmaatschap van de nieuwe AD-groep te wijzigen.

U kunt nu de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

De bestaande groepsoptie configureren

In dit scenario kunt u een nieuwe AD-beveiligingsgroep toevoegen als een geneste groepslid van een bestaande groep. Dit scenario is van toepassing op implementaties voor toepassingen die een in code vastgelegde afhankelijkheid hebben van een bepaalde groepsaccountnaam, SID of DN-naam.

Het nesten van die groep in de toepassingen die bestaande AD-groep bevat, staat het volgende toe:

• Microsoft Entra-gebruikers, die zijn toegewezen door een governancefunctie en vervolgens toegang krijgen tot de app, om het juiste Kerberos-ticket te hebben. Dit ticket bevat de bestaande groeps-SID. Het nesten is toegestaan door nestregels voor AD-groepen.

Als de app LDAP gebruikt en het geneste groepslidmaatschap volgt, zien de Microsoft Entra-gebruikers de bestaande groep als een van hun lidmaatschappen.

Geschiktheid van bestaande groep bepalen

1. Start Active Directory en noteer de DN-naam, het type en het bereik van de bestaande AD-groep die door de toepassing wordt gebruikt.
2. Als de bestaande groep Domain Adminsis, Domain Guests, , Domain Users, Enterprise Key AdminsEnterprise Admins, Group Policy Creation Owners, , , Key Adminsof Schema AdminsProtected Users, moet u de toepassing wijzigen om een nieuwe groep te gebruiken, zoals hierboven beschreven, omdat deze groepen niet kunnen worden gebruikt door cloudsynchronisatie.
3. Als de groep een globaal bereik heeft, wijzigt u het bereik van de groep in Universal. Een globale groep kan geen universele groepen hebben als leden.

Toepassing en groep maken

1. Maak in het Microsoft Entra-beheercentrum een toepassing in Microsoft Entra-id die de AD-toepassing vertegenwoordigt en configureer de toepassing om gebruikerstoewijzing te vereisen.
2. Als de toepassingsproxy wordt gebruikt om gebruikers in staat te stellen verbinding te maken met de toepassing, configureert u de toepassingsproxy.
3. Maak een nieuwe beveiligingsgroep in Microsoft Entra-id.
4. Gebruik Groepsinrichting voor AD om deze groep in te richten voor AD.
5. Start Active Directory en wacht tot de resulterende nieuwe AD-groep in het AD-domein is gemaakt. Noteer de DN-naam, het domein, de accountnaam en de SID van de nieuwe AD-groep wanneer deze aanwezig is.

Toepassing configureren voor het gebruik van een nieuwe groep

1. Voeg met behulp van Active Directory de nieuwe AD-groep toe als lid van de bestaande AD-groep.
2. Maak een toegangspakket. Voeg de toepassing toe vanuit #1, de beveiligingsgroep van #3, als resources in het Access-pakket. Configureer een beleid voor directe toewijzing in het toegangspakket.
3. Wijs in Rechtenbeheer de gesynchroniseerde gebruikers toe die toegang nodig hebben tot de AD-app voor het toegangspakket, inclusief alle gebruikers van de bestaande AD-groep die nog steeds toegang nodig hebben.
4. Wacht tot de nieuwe AD-groep is bijgewerkt met de nieuwe leden. Controleer met Active Directory of de juiste gebruikers aanwezig zijn als leden van de groep.
5. Verwijder met Active Directory de bestaande leden, afgezien van de nieuwe AD-groep, van de bestaande AD-groep.
6. Sta in uw AD-domeinbewaking alleen het gMSA-account toe waarop de inrichtingsagent wordt uitgevoerd, autorisatie om het lidmaatschap van de nieuwe AD-groep te wijzigen.

Vervolgens kunt u de toegang tot de AD-toepassing beheren via dit nieuwe toegangspakket.

Probleemoplossing

Een gebruiker die lid is van de nieuwe AD-groep en zich op een Windows-pc al heeft aangemeld bij een AD-domein, kan een bestaand ticket hebben uitgegeven door een AD-domeincontroller die niet het nieuwe AD-groepslidmaatschap bevat. Dit komt doordat het ticket mogelijk is uitgegeven voordat de inrichting van de cloudsynchronisatiegroep deze toevoegt aan de nieuwe AD-groep. De gebruiker kan het ticket niet presenteren voor toegang tot de toepassing en moet dus wachten tot het ticket is verlopen en een nieuw ticket is uitgegeven, of hun tickets leegmaken, zich afmelden en weer aanmelden bij het domein. Zie de klist-opdracht voor meer informatie.

Bestaande Microsoft Entra Connect-groep writeback v2-klanten

Als u Writeback v2 voor Microsoft Entra Connect-groepen gebruikt, moet u overstappen op inrichting van cloudsynchronisatie naar AD voordat u kunt profiteren van het inrichten van cloudsynchronisatiegroepen. Zie Microsoft Entra Connect Sync-groep writeback V2 migreren naar Microsoft Entra Cloud Sync

Volgende stappen

• Terugschrijven van groepen met Microsoft Entra Cloud Sync
• Groepsinrichting voor Active Directory met behulp van Microsoft Entra Cloud Sync
• Microsoft Entra Connect Sync-groep writeback V2 naar Microsoft Entra Cloud Sync-migratie