Поделиться через


Управляйте приложениями на основе локального Active Directory (Kerberos) с помощью Microsoft Entra ID Governance.

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо Group Writeback v2 для переноса облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести подготовку облачной группы безопасности из Active Directory на Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой возможности.

Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, воспользовавшись преимуществами функций управления доступом и идентификацией Microsoft Entra для контроля и исправления всех связанных запросов на доступ.

В выпуске агента подготовки 1.1.1370.0 облачная синхронизация теперь может подготавливать группы непосредственно в локальной среде Active Directory. Функции управления удостоверениями можно использовать для управления доступом к приложениям на основе AD, например, включая группу в пакет управления доступом с правами.

Концептуальный эскиз развертывания группы Microsoft Entra Cloud Sync в AD.

Просмотр видео обратной записи группы

Чтобы получить отличное представление о настройке групп облачной синхронизации в Active Directory и о том, что это может сделать для вас, посмотрите видео ниже.

Предварительные условия

Для реализации этого сценария необходимы следующие предварительные требования.

  • Учетная запись Microsoft Entra с ролью администратора по гибридным удостоверениям.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId.
  • Агент подготовки с версией сборки 1.1.1367.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Если разрешения задаются вручную, необходимо убедиться, что чтение, запись, создание и удаление заданы для всех свойств всех объектов-потомков и пользовательских групп.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию

Командлеты PowerShell для агента подготовки Microsoft Entra gMSA

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.
  • Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней.
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect.
    • Требуется для синхронизации AD:user:objectGUID с Microsoft Entra ID:user:onPremisesObjectIdentifier.

Поддерживаемые группы

Для этого сценария поддерживаются только следующие группы:

  • Поддерживаются только созданные облаком группы безопасности
  • Назначенные или динамические группы членства
  • Содержит только локальных синхронизированных пользователей и (или) созданных в облаке групп безопасности
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или из разных доменов, но обязательно из одного леса.
  • Записывается обратно с помощью области групп AD универсальной. Ваша локальная среда должна поддерживать универсальную область действия группы.
  • Не более 50 000 членов
  • Каждая прямая дочерняя вложенная группа считается одним членом в ссылающейся группе.

Поддерживаемые сценарии

В следующих разделах рассматриваются сценарии, которые поддерживаются при создании группы синхронизации данных в облаке.

Настройка поддерживаемых сценариев

Если вы хотите управлять возможностью подключения пользователя к приложению Active Directory, использующему аутентификацию Windows, можно использовать прокси приложения и группу безопасности Microsoft Entra. Если приложение проверяет членство пользователей в группах AD через Kerberos или LDAP, вы можете использовать групповое предоставление облачной синхронизации, чтобы убедиться, что пользователь AD имеет эти группы, прежде чем получить доступ к приложениям.

В следующих разделах рассматриваются два варианта, которые поддерживаются при настройке группы облачной синхронизации. Параметры сценария предназначены для того, чтобы пользователи, назначенные приложению, имели членство в группах при аутентификации с приложением.

  • Создайте новую группу и обновите приложение, если оно уже существует, чтобы проверить наличие новой группы или
  • Создайте новую группу и обновите существующие группы. Приложение проверяло их, чтобы включить новую группу в качестве участника.

Прежде чем начать, убедитесь, что вы являетесь администратором домена в домене, где установлено приложение. Убедитесь, что вы можете войти в контроллер домена или установить средства удаленного администрирования сервера для администрирования служб домен Active Directory (AD DS) на компьютере с Windows.

Настройка нового параметра групп

В этом сценарии вы обновляете приложение, чтобы проверить идентификатор безопасности, имя или различающееся имя новых групп, созданных при подготовке группы облачной синхронизации. Этот сценарий применим к следующему:

  • Развертывания новых приложений, подключающихся к AD DS в первый раз.
  • Новые когорты пользователей, обращаюющихся к приложению.
  • Для модернизации приложений необходимо уменьшить зависимость от существующих групп AD DS. Приложения, которые в настоящее время проверяют членство в Domain Admins группе, необходимо обновить, чтобы также проверить наличие недавно созданной группы AD.

Выполните следующие действия, чтобы приложения использовали новые группы.

Создание приложения и группы

  1. С помощью Центра администрирования Microsoft Entra создайте приложение в Идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если вы используете прокси приложения, чтобы разрешить пользователям подключаться к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите консоль "Пользователи и компьютеры Active Directory" и дождитесь создания новой группы в домене Active Directory. Когда он присутствует, запишите отличительное имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. Если приложение использует AD через LDAP, настройте приложение с уникальным именем новой группы AD. Если приложение использует AD через Kerberos, настройте приложение с идентификатором безопасности или доменом и именем учетной записи новой группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В Управлении правами доступа назначьте синхронизированных пользователей, которым требуется доступ к AD-приложению, в пакет доступа.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью окна "Пользователи и компьютеры Active Directory" убедитесь в том, что правильные пользователи присутствуют в качестве членов группы.
  5. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Теперь вы можете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Настройка существующего параметра групп

В этом сценарии вы добавляете новую группу безопасности AD в качестве вложенного члена существующей группы. Этот сценарий применим к развертываниям для приложений, имеющих жестко закодированную зависимость от определенного имени учетной записи группы, идентификатора безопасности или различающегося имени.

Вложение этой группы в существующую группу AD приложений позволит:

  • Пользователи Microsoft Entra, назначенные функцией управления, а затем получают доступ к приложению, чтобы получить соответствующий билет Kerberos. Этот билет содержит существующий идентификатор безопасности групп. Вложение допускается правилами вложения групп AD.

Если приложение использует LDAP и поддерживает вложенные группы, то оно будет видеть пользователей Microsoft Entra как состоящих в имеющейся группе.

Определение права на участие существующей группы

  1. Запустите Active Directory - Пользователи и компьютеры и запишите удобочитаемое имя, тип и область существующей группы AD, используемой приложением.
  2. Если существующая группа — Domain Admins, Domain Guests, Domain Users, Enterprise Admins, Enterprise Key Admins, Group Policy Creation Owners, Key Admins, Protected Users или Schema Admins, то необходимо изменить приложение для использования новой группы, как описано выше, так как эти группы не могут использоваться в облачной синхронизации.
  3. Если группа имеет глобальную область, измените группу на универсальную область. Глобальная группа не может иметь универсальные группы в качестве членов.

Создание приложения и группы

  1. В Центре администрирования Microsoft Entra создайте приложение в идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если прокси приложения используется для включения подключения пользователей к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите Active Directory Пользователи и компьютеры и дождитесь создания новой группы в домене Active Directory. Когда она будет создана, запишите уникальное имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. Используя оснастку "Пользователи и компьютеры Active Directory", добавьте новую группу AD в состав существующей группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В службе управления правами назначьте синхронизированным пользователям, которым требуется доступ к приложению на основе AD, пакету доступа, включая всех пользователей существующей группы AD, которым по-прежнему нужен доступ.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью "Пользователи и компьютеры Active Directory" убедитесь, что правильные пользователи состоят в группе.
  5. С помощью инструмента "Пользователи и компьютеры Active Directory" удалите всех участников существующей группы AD, кроме новой группы AD.
  6. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Затем вы сможете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Устранение неполадок

Пользователь, который является членом новой группы AD и находится на компьютере с Windows, уже вошедшим в домен AD, может иметь существующий билет, выданный контроллером домена AD, который не включает новое членство в группе AD. Это связано с тем, что тикет, возможно, был выдан до того, как подготовка группы облачной синхронизации добавила их в новую группу AD. Пользователь не сможет представить билет для доступа к приложению, и поэтому должен ждать истечения срока действия билета и нового билета, выданного, или очистить свои билеты, выйти и войти обратно в домен. Дополнительные сведения см. в команде klist .

Существующие клиенты Microsoft Entra Connect с функцией обратной записи групп версии 2

Если вы используете обратную запись группы Microsoft Entra Connect версии 2, необходимо перейти к подготовке облачной синхронизации в AD, прежде чем воспользоваться преимуществами подготовки группы облачной синхронизации. См. раздел "Миграция группы синхронизации Microsoft Entra Connect" версии 2 в Microsoft Entra Cloud Sync

Следующие шаги