教學課程:使用 Microsoft Entra 雲端同步將群組佈建至 Active Directory
本教學課程將逐步引導您建立和設定雲端同步,以將群組同步至內部部署 Active Directory。
將 Microsoft Entra ID 佈建至 Active Directory:必要條件
若要將佈建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
一般需求
- 至少具有 [混合式身分識別系統管理員] 角色的 Microsoft Entra 帳戶。
- 具有 Windows Server 2016 操作系統或更新版本的內部部署 Active Directory Domain Services 環境。
- 必須的 AD 架構屬性 - msDS-ExternalDirectoryObjectId
- 必須具有版本 1.1.1370.0 或更新版本的佈建代理人。
注意
僅在全新安裝過程中才會指派給服務帳戶的權限。 若要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派權限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
若要手動設定權限,您必須確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。
根據預設,這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet
- 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
- 需要進行全域類別目錄查詢,過濾掉無效的成員資格引用
- Microsoft Entra Connect Sync 的建置版本 2.2.8.0 或更新版本
- 需要支援內部部署使用者的成員資格,這些成員資格是使用 Microsoft Entra Connect Sync 進行同步的。
- 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支援的群組和規模限制
支援下列功能:
- 僅支援雲端建立的安全性群組
- 這些群組可以是指派的成員資格或動態的成員資格。
- 這些群組只能包含內部部署同步的使用者及/或其他雲端建立的安全性群組。
- 已同步且是由雲端建立的安全性群組成員的本機使用者帳戶,可以來自同一網域或跨網域,但必須全部來自相同樹系。
- 這些群組會以通用 AD 群組範圍寫回。 您的內部部署環境必須支援通用群組範圍。
- 不支援擁有超過 50,000 位成員的群組。
- 不支援擁有超過 150,000 個物件的承租人。 這表示,如果租用戶的使用者和群組的組合數量超過 150,000 個物件,則不支援該租用戶。
- 每個直接子巢狀群組都會計算為參考群組中的一位成員
- 如果在 Active Directory 中手動更新群組,則不支援 Microsoft Entra ID 與 Active Directory 之間的群組對應。
其他資訊
以下是將群組佈建至 Active Directory 的其他資訊。
- 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
- 這些使用者必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
- 可將內部部署使用者的 objectGUID 屬性與雲端使用者的 onPremisesObjectIdentifier 屬性同步,這可以透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 來實現。
- 若使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者,而不是 Microsoft Entra Cloud Sync,並且想要使用佈建至 AD,就必須使用 2.2.8.0 或更新版本。
- 只有一般 Microsoft Entra ID 租用帳戶支援從 Microsoft Entra ID 設定至 Active Directory。 不支援 B2C 等租戶。
- 群組佈建作業排程為每 20 分鐘執行一次。
假設
本教學假設您已具備下列條件:
- 您有 Active Directory 內部部署環境
- 您已設置雲端同步,以將使用者同步至 Microsoft Entra ID。
- 您有兩個已同步的使用者。 Britta Simon 和 Lola Jacobson。 這些使用者存在於內部部署和 Microsoft Entra ID 中。
- Active Directory 中已有建立三個組織單位:Groups、Sales 和 Marketing。 它們具有下列 distinguishedNames:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
在 Microsoft Entra ID 中建立兩個群組。
首先,我們在 Microsoft Entra ID 中建立兩個群組。 其中一個群組是 Sales,而另一個群組是 Marketing。
若要建立兩個群組,請遵循下列步驟。
- 至少以混合式身分識別管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [群組]> [所有群組]。
- 按一下頂端的 [新群組]。
- 請確定 [群組類型] 已設為 [安全性]。
- 在 群組名稱 中輸入 銷售
- 對於「會員類型」,請將其保持為「已指派」。
- 按一下 建立。
- 使用 [行銷] 作為 [群組名稱],並重複此流程。
將使用者新增至新建立的群組
- 至少以混合式身分識別管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [群組]> [所有群組]。
- 在頂端的搜尋方塊中,輸入銷售。
- 按一下新的 銷售 群組。
- 按一下左側的 [成員]
- 按一下頂端的 [新增成員]。
- 在頂端的搜尋方塊中,輸入 Britta Simon。
- 在 Britta Simon 旁邊勾選核取方塊,然後按一下 選取
- 就可以成功將她新增至群組。
- 在最左側,按一下 [所有群組],然後使用 Sales 群組並將 Lola Jacobson 新增至該群組來重複此程序。
設定佈署
若要設定佈建,請遵循下列步驟。
- 至少以混合式系統管理員等級的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [混合式管理]> [Microsoft Entra Connect]> [雲端同步]。
選取 [新增設定]。
選取 [Microsoft Entra ID 至 AD 同步]。
在設定畫面上選取您的網域,以及是否啟用密碼雜湊同步。按一下 [建立]。
[Get started] 畫面會隨即出現。 您可以從這裡繼續設定雲端同步
按一下左側的 [範圍篩選條件]。
在 [群組範圍] 底下,設定為 [所有安全性群組]
在 [目標容器] 下,按一下 [編輯屬性對應]。
將對應類型變更為運算式
在運算式方塊中,輸入下列項目:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")將 [預設值] 變更為 OU=Groups,DC=contoso,DC=com。
按一下 [套用]:系統會根據群組 displayName 屬性來變更目標容器。
按一下 [儲存]
按一下左側的 [概觀]
按一下頂端的 [檢閱並啟用]
按一下右側的 [啟用設定]
測試組態
注意
使用隨需供應時,使用者不會被自動配置。 您必須選取要測試的成員,限制最多 5 位。
- 至少以混合式系統管理員等級的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 身分識別>混合式管理>Microsoft Entra Connect>雲端同步。
在 [設定] 底下,選取您的設定。
在左側選取「隨需佈建」。
在 [選取的群組]
方塊中輸入 Sales 從 [選取的使用者] 區段中,選取要測試的幾位使用者。
按一下佈建。
您應該會看到已配置的群組。
在 Active Directory 中驗證
現在您可以確定群組已佈建至 Active Directory。
執行下列操作:
- 登入您的內部部署環境。
- 啟動 [Active Directory 使用者和電腦]
- 確認新群組是否已設定完成。
