Konfigurowanie zapisu zwrotnego grup w ramach zarządzania uprawnieniami

W tym artykule pokazano, jak skonfigurować zapisywanie zwrotne grup w zarządzaniu uprawnieniami. Zapisywanie zwrotne grup to funkcja umożliwiająca zapisywanie grup w chmurze z powrotem do lokalnego wystąpienia usługi Active Directory przy użyciu usługi Microsoft Entra Cloud Sync.

Konfigurowanie zapisywania zwrotnego grup w zarządzaniu uprawnieniami

Aby skonfigurować zapisywanie zwrotne dla grup Microsoft 365 w pakietach dostępu, należy spełnić następujące wymagania wstępne:

• Skonfiguruj zapisywanie zwrotne grup w centrum administracyjnym Microsoft Entra.
• Jednostka organizacyjna (OU) używana do konfigurowania zapisywania zwrotnego grup w konfiguracji synchronizacji z chmurą firmy Microsoft.
• Wykonaj kroki umożliwiające zapisywanie zwrotne grup w usłudze Microsoft Entra Cloud Sync.

Dzięki funkcji zapisu zwrotnego grup można teraz synchronizować grupy zabezpieczeń, które są częścią pakietów dostępu, z lokalną usługą Active Directory. Aby zsynchronizować grupy, wykonaj następujące kroki:

1. Utwórz grupę zabezpieczeń Entra firmy Microsoft.

2. Ustaw grupę, która ma zostać zapisana z powrotem w lokalnej usłudze Active Directory. Aby uzyskać instrukcje, zobacz przywracanie danych grup w centrum administracyjnym Microsoft Entra.

3. Dodaj grupę do pakietu dostępowego jako rolę zasobu. Aby uzyskać wskazówki, zobacz Tworzenie nowego pakietu dostępu.

4. Uruchom przystawkę Użytkownicy i komputery usługi Active Directory i poczekaj na utworzenie nowej grupy usługi AD w domenie usługi AD. Jeśli jest dostępny, zapisz nazwę wyróżniającą, domenę, nazwę konta oraz identyfikator SID nowej grupy Active Directory.

5. Skonfiguruj aplikację tak, aby korzystała z nowej grupy, aktualizując aplikację lub dodając grupę jako członka istniejącej grupy, zgodnie z opisem w Zarządzanie lokalnymi aplikacjami usługi Active Directory (Kerberos) przy użyciu usługi Microsoft Entra ID Governance.

6. Przypisz użytkownika do pakietu dostępu. Zobacz Wyświetlanie, dodawanie i usuwanie przypisań w pakiecie dostępu, aby uzyskać instrukcje dotyczące bezpośredniego przypisania użytkownika.

7. Po przypisaniu użytkownika do pakietu dostępu upewnij się, że użytkownik jest teraz członkiem grupy lokalnej po zakończeniu cyklu synchronizacji z usługą Microsoft Entra Cloud Sync:

   1. Wyświetl właściwości członka grupy w lokalnej jednostce organizacyjnej lub
   2. Przejrzyj atrybut "member Of" obiektu użytkownika.

   Notatka

   Domyślny harmonogram cyklu synchronizacji usługi Microsoft Entra Cloud Sync to co 30 minut. Może być konieczne poczekanie, aż nastąpi następny cykl, aby wyświetlić wyniki lokalnie lub ręcznie uruchomić cykl synchronizacji, aby zobaczyć wyniki wcześniej.

8. W audycie domeny AD zezwalaj tylko kontu gMSA, które uruchamia agenta aprowizacji, na autoryzację do zmiany członkostwa w nowej grupie AD.

Następne kroki

• Tworzenie katalogu zasobów i zarządzanie nim w usłudze zarządzania upoważnieniami
• Delegowanie zarządzania dostępem menedżerom pakietów w zarządzaniu upoważnieniami