Konfigurera tillbakaskrivning av grupper inom berättigandehantering

Den här artikeln visar hur du konfigurerar tillbakaskrivning av grupper i berättigandehantering. Tillbakaskrivning av grupper är en funktion som gör att du kan skriva tillbaka molngrupper till din lokala Active Directory-instans med hjälp av Microsoft Entra Cloud Sync.

Konfigurera gruppåterställning i behörighetshantering

Om du vill konfigurera tillbakaskrivning av grupper för Microsoft 365-grupper i åtkomstpaket måste du uppfylla följande krav:

• Konfigurera tillbakaskrivning av grupper i administrationscentret för Microsoft Entra.
• Organisationsenheten (OU) som används för att konfigurera tillbakaskrivning av grupper i Microsoft Entra Cloud Sync Configuration.
• Slutför återskrivningsstegen för grupp aktivering för Microsoft Entra Cloud Sync.

Med hjälp av tillbakaskrivning av grupper kan du nu synkronisera säkerhetsgrupper som ingår i åtkomstpaket till lokal Active Directory. Följ stegen för att synkronisera grupperna:

1. Skapa en Microsoft Entra-säkerhetsgrupp.

2. Ange att gruppen ska skrivas tillbaka till den lokala Active Directory. Instruktioner finns i Gruppåterskrivning i administrationscentret för Microsoft Entra.

3. Lägg till gruppen i ett åtkomstpaket som en resursroll. Mer information finns i Skapa ett nytt åtkomstpaket.

4. Starta Active Directory-användare och datorer och vänta tills den resulterande nya AD-gruppen har skapats i AD-domänen. När den finns registrerar du det unika namnet, domänen, kontonamnet och SID för den nya AD-gruppen.

5. Konfigurera programmet så att det använder den nya gruppen, antingen genom att uppdatera programmet eller lägga till gruppen som medlem i en befintlig grupp, enligt beskrivningen i Styra lokala Active Directory-baserade appar (Kerberos) med hjälp av Microsoft Entra ID Governance.

6. Tilldela användaren till åtkomstpaketet. Mer information om hur du tilldelar en användare finns i Visa, lägga till och ta bort tilldelningar för ett åtkomstpaket.

7. När du har tilldelat en användare till åtkomstpaketet kontrollerar du att användaren nu är medlem i den lokala gruppen när Microsoft Entra Cloud Sync-cykeln har slutförts:

   1. Visa medlemsegenskapen för gruppen i den lokala organisationsenheten ELLER
   2. Granska medlemmen Av i användarobjektet.

   Notera

   Microsoft Entra Cloud Syncs standardschema för synkroniseringscykeln är var 30:e minut. Du kan behöva vänta tills nästa cykel inträffar för att se resultat lokalt eller välja att köra synkroniseringscykeln manuellt för att se resultat tidigare.

8. I ad-domänövervakningen tillåter du endast att det gMSA-konto som kör etableringsagenten har behörighet att ändra medlemskapet i den nya AD-gruppen.

Nästa steg

• Skapa och hantera en katalog med resurser i berättigandehantering
• Delegera åtkomststyrning till åtkomstpakethanterare i berättigandehantering