Поделиться через


Обратная запись групп с помощью Microsoft Entra Cloud Sync

С выпуском агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность обратной записи группы. Эта функция означает, что облачная синхронизация может подготавливать группы непосредственно в среде локальная служба Active Directory. Теперь вы можете использовать функции управления удостоверениями для управления доступом к приложениям на основе AD, например путем включения группы в пакет управления правами.

Схема обратной записи группы с помощью облачной синхронизации.

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо обратной записи группы версии 2 для подготовки облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести в Cloud Sync только подготовку облачной группы безопасности из Active Directory.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой возможности.

Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.

Подготовка идентификатора Microsoft Entra в Active Directory — предварительные требования

Для реализации групп подготовки в Active Directory требуются следующие предварительные требования.

Требования к лицензиям

Для использования этой функции требуются лицензии Microsoft Entra ID P1. Чтобы правильно выбрать лицензию с учетом своих требований, ознакомьтесь с разделом Сравнение общедоступных возможностей идентификатора Microsoft Entra.

Общие требования

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с сборкой 1.1.1370.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию для агента подготовки Microsoft Entra gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство
  • Синхронизация Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью microsoft Entra Connect Sync
    • Требуется для синхронизации AD:user:objectGUID с AAD:user:onPremisesObjectIdentifier

Поддерживаемые группы и ограничения масштабирования

Поддерживается следующее:

  • Поддерживаются только созданные облаком группы безопасности
  • Эти группы могут быть назначены или динамические группы членства.
  • Эти группы могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Эти группы записываются обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Группы, превышающие 50 000 членов, не поддерживаются.
  • Клиенты, имеющие более 150 000 объектов, не поддерживаются. Это означает, что если клиент имеет любое сочетание пользователей и групп, превышающих 150K объектов, клиент не поддерживается.
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок
  • Выверка групп между идентификатором Microsoft Entra и Active Directory не поддерживается, если группа обновляется вручную в Active Directory.

Дополнительная информация:

Ниже приведены дополнительные сведения о подготовке групп в Active Directory.

  • Группы, подготовленные для AD с помощью облачной синхронизации, могут содержать только локальных синхронизированных пользователей и (или) дополнительные созданные в облаке группы безопасности.
  • Эти пользователи должны иметь атрибут onPremisesObjectIdentifier в своей учетной записи.
  • OnPremisesObjectIdentifier должен соответствовать соответствующему объекту OBJECTGUID в целевой среде AD.
  • Атрибут objectGUID локального пользователя для облачных пользователей в атрибутеPremisesObjectIdentifier можно синхронизировать с помощью microsoft Entra Cloud Sync (1.1.1370.0) или Microsoft Entra Connect Sync (2.2.8.0)
  • Если вы используете синхронизацию Microsoft Entra Connect (2.2.8.0) для синхронизации пользователей, а не Microsoft Entra Cloud Sync, и хотите использовать подготовку в AD, это должно быть 2.2.8.0 или более поздней версии.
  • Поддерживаются только обычные клиенты идентификатора Microsoft Entra ID для подготовки из идентификатора Microsoft Entra в Active Directory. Клиенты, такие как B2C, не поддерживаются.
  • Задание подготовки группы планируется выполнять каждые 20 минут.

Поддерживаемые сценарии для обратной записи групп с помощью Microsoft Entra Cloud Sync

В следующих разделах описаны поддерживаемые сценарии обратной записи групп с помощью Microsoft Entra Cloud Sync.

Перенос обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync

Сценарий. Перенос обратной записи группы с помощью синхронизации Microsoft Entra Connect (прежнее название — Azure AD Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют обратную запись группы Microsoft Entra Connect версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются обратно с универсальной областью. Группы с поддержкой почты и списки DLs, записанные обратно с помощью обратной записи группы Microsoft Entra Connect версии 1 или версии 2, не поддерживаются.

Дополнительные сведения см. в статье "Миграция группы синхронизации Microsoft Entra Connect" версии 2 в Microsoft Entra Cloud Sync.

Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.

Дополнительные сведения см. в разделе "Управление приложениями на основе локальная служба Active Directory" (Kerberos) с помощью Управление идентификацией Microsoft Entra.

Следующие шаги