使用 Microsoft Entra Cloud Sync 進行群組回寫

隨著佈建代理程式 1.1.1370.0 的發行，雲端同步現在能夠執行群組回寫。 這項功能表示雲端同步可以直接將群組佈建到您的內部部署 Active Directory 環境。 您現在也可以使用身分識別控管功能來管理 AD 型應用程式的存取權，例如在權利管理存取套件中包含群組。

重要

在 2024 年 6 月 30 日之後，Microsoft Entra Connect 同步將不再提供群組回寫 v2 的公開預覽版。 這項功能將會在此日期中止，而且 Connect 同步也不再支援將雲端安全性群組佈建至 Active Directory。 該功能將在終止日期之後繼續運作；不過，在此日期之後它將不再獲得支援，而且可能隨時停止運作，恕不另行通知。

我們會在 Microsoft Entra 雲端同步中提供類似的功能，稱為將群組佈建至 Active Directory，您可以利用此功能來取代使用群組回寫 v2 將雲端安全性群組佈建至 Active Directory。 我們正努力在雲端同步中增強這項功能，以及我們在雲端同步中開發的其他新功能。

在 Connect 同步中使用此預覽功能的客戶，應該將其設定從 Connect 同步切換至雲端同步。您可以選擇將所有混合式同步移至雲端同步 (如果其支援您的需求)。 您還可以同時運行 Cloud Sync，並僅將雲端安全性群組的佈建工作移至 Active Directory 並透過 Cloud Sync 進行。

對於將 Microsoft 365 群組佈建至 Active Directory 的客戶，可以繼續使用群組回寫 v1 來執行這項功能。

您可以使用使用者同步精靈，評估是否要專注於僅使用 Cloud Sync。

將 Microsoft Entra ID 佈建至 Active Directory：必要條件

若要將佈建群組實作至 Active Directory，需要下列必要條件。

授權需求

使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權，請參閱比較 Microsoft Entra ID 正式推出的功能。

一般需求

• 至少具有 混合式身分識別系統管理員 角色的 Microsoft Entra 帳戶。
• 具有 Windows Server 2016 操作系統或更新版本的內部部署 Active Directory Domain Services 環境。
  • AD 架構屬性所需的必備屬性：msDS-ExternalDirectoryObjectId
• 佈建代理程式，其版本為 1.1.1370.0 或更新版本。

注意

僅在全新安裝期間指派服務帳戶的權限。 若要從舊版升級，則必須使用 PowerShell Cmdlet 手動指派權限：

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

若要手動設定權限，您必須確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。

根據預設，這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet

• 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
  • 需要進行全域目錄查詢，以篩選掉無效的成員參考資料
• 版本號 2.2.8.0 或更高版本的 Microsoft Entra Connect Sync
  • 必須支援透過 Microsoft Entra Connect Sync 同步的內部部署使用者成員狀態
  • 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier

支援的群組和規模限制

支援下列功能：

• 僅支援雲端建立的安全性群組
• 這些群組可以被指派或具備動態成員資格的群組。
• 這些群組只能包含內部部署同步的使用者及/或其他雲端建立的安全性群組。
• 已同步的內部部署使用者帳戶並且是此雲端建立的安全性群組的成員，可來自同一網域或跨網域，但全部必須來自同一樹系。
• 這些群組會以AD群組的通用範圍被寫回。 您的內部部署環境必須支援通用群組範圍。
• 不支援擁有超過 50,000 位成員的群組。
• 不支援擁有超過 150,000 個物件的租用戶。 即表示，如果租用戶的任何使用者或群組的組合超過 150,000 個對象，則不支援該租用戶。
• 每個直接子巢狀群組都會計算為參考群組中的一位成員
• 如果在 Active Directory 中手動更新群組，則不支援 Microsoft Entra ID 與 Active Directory 之間的群組同步。

其他資訊

以下是將群組佈建至 Active Directory 的其他資訊。

• 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
• 這些使用者必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
• onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
• 可以使用 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 將內部部署使用者的 objectGUID 屬性同步至雲端使用者的 onPremisesObjectIdentifier 屬性。
• 若使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者，而不是 Microsoft Entra Cloud Sync，並且想要使用佈建至 AD，就必須使用 2.2.8.0 或更新版本。
• 只有常規的 Microsoft Entra ID 租戶支援從 Microsoft Entra ID 佈建至 Active Directory。 不支援 B2C 類承租戶。
• 群組佈建作業排程為每 20 分鐘執行一次。

使用 Microsoft Entra Cloud Sync 進行群組回寫的支援情境

下列各節說明使用 Microsoft Entra Cloud Sync 進行群組回寫的支援案例。

• 將 Microsoft Entra Connect Sync Group Writeback V2 移轉至 Microsoft Entra Cloud Sync
• 使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)

將 Microsoft Entra Connect Group Writeback V2 移轉至 Microsoft Entra Cloud Sync

案例：使用 Microsoft Entra Connect Sync (先前稱為 Azure AD Connect) 將群組回寫移轉至 Microsoft Entra Cloud Sync。此案例僅適用於目前使用 Microsoft Entra Connect Group Writeback v2 的客戶。 本文件中概述的程序僅適用於被寫回通用範圍的雲端建立安全性群組。 不支援使用 Microsoft Entra Connect Group Writeback V1 或 V2 來回寫啟用郵件功能的群組和 DL。

如需詳細資訊，請參閱將 Microsoft Entra Connect 群組回寫 V2 移轉至 Microsoft Entra Cloud Sync。

使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)

案例：使用在雲端中佈建和管理的 Active Directory 群組來管理內部部署應用程式。 Microsoft Entra Cloud Sync 可讓您完全控管 AD 中的應用程式指派，同時利用 Microsoft Entra ID Governance 功能來控制和補救任何存取相關要求。

如需詳細資訊，請參閱使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)。

下一步

• 使用 Microsoft Entra Cloud Sync 將群組佈建至 Active Directory
• 使用 Microsoft Entra ID Governance 來管理內部部署 Active Directory 型的應用程式 (Kerberos)
• 將 Microsoft Entra Connect Sync Group Writeback V2 移轉至 Microsoft Entra Cloud Sync