Обратная запись групп с помощью Microsoft Entra Cloud Sync
С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность обратной записи группы. Эта функция означает, что облачная синхронизация может подготавливать группы непосредственно в среде локальная служба Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.
Внимание
Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.
В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо обратной записи группы версии 2 для подготовки облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.
Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести в Cloud Sync только подготовку облачной группы безопасности из Active Directory.
Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой возможности.
Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.
Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования
Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.
Требования к лицензиям
Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.
Общие требования
- Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
- Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
- Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
- Агент подготовки с сборкой 1.1.1370.0 или более поздней.
Примечание.
Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.
Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell
- Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
- Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
- Синхронизация Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
- Требуется для поддержки локального членства пользователей, синхронизированных с помощью microsoft Entra Connect Sync
- Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier
Поддерживаемые группы и ограничения масштабирования
Поддерживается следующее:
- Поддерживаются только созданные облаком группы безопасности
- Эти группы могут быть назначены или динамические группы членства.
- Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
- Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
- Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
- Группы, превышающие 50 000 членов, не поддерживаются.
- Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
- Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
- Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.
Дополнительная информация:
Ниже приведены дополнительные сведения о подготовке групп в Active Directory.
- Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
- Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
- OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
- Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
- Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
- Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
- Задание подготовки группы планируется выполнять каждые 20 минут.
Поддерживаемые сценарии для обратной записи групп с помощью Microsoft Entra Cloud Sync
В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.
- Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync
- Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync
Сценарий. Перенос обратной записи группы с помощью синхронизации Microsoft Entra Connect (прежнее название — Azure AD Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют обратную запись группы Microsoft Entra Connect версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются обратно с универсальной областью. Группы с поддержкой почты и списки DLs, записанные обратно с помощью обратной записи группы Microsoft Entra Connect версии 1 или версии 2, не поддерживаются.
Дополнительные сведения см. в статье "Миграция группы синхронизации Microsoft Entra Connect" версии 2 в Microsoft Entra Cloud Sync.
Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.
Дополнительные сведения см. в разделе "Управление приложениями на основе локальная служба Active Directory" (Kerberos) с помощью Управление идентификацией Microsoft Entra.
Следующие шаги
- Подготовка групп в Active Directory с помощью Microsoft Entra Cloud Sync
- Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra
- Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync