随着预配代理 1.1.1370.0 的发布,云同步现在能够执行组写回。 此功能意味着云同步可以直接将组预配到本地 Active Directory 环境。 现在还可以使用 Identity Governance 功能来治理对基于 AD 的应用程序的访问,例如加入一个权利管理访问包中的组。
重要
自 2024 年 6 月 30 日起,Microsoft Entra Connect 同步中的组写回 v2 公共预览版不再可用。 此功能从此日期开始停止使用,并且 Microsoft Entra Connect 同步不再支持将云安全组预配到 Active Directory。 该功能将在停止使用日期之后继续运行;但是,将不再获得支持,并且可能随时停止运行,恕不另行通知。
我们在 Microsoft Entra 云同步中提供了类似的功能,称为到 Active Directory 的组预配。可以使用该功能来替代使用组写回 v2 将云安全组预配到 Active Directory 的做法。 我们正在努力增强 Microsoft Entra Cloud Sync 的这项功能,以及我们在 Microsoft Entra Cloud Sync 中开发的其他新功能。
在“Microsoft Entra Connect 同步”中使用此预览功能的客户应将其配置从“Microsoft Entra Connect 同步”切换为“Microsoft Entra 云同步”。可以选择将所有混合同步移动到 Microsoft Entra Cloud Sync(如果它支持你的需求)。 你还可以并行运行 Microsoft Entra 云同步,并仅将目标为 Active Directory 的云安全组预配移动到 Microsoft Entra 云同步。
对于将 Microsoft 365 组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。
可以使用用户同步向导来评估只移动到 Microsoft Entra 云同步的操作。
将 Microsoft Entra ID 配置到 Active Directory - 先决条件
将预配组实施到 Active Directory 需要满足以下先决条件。
许可要求
使用此功能需要 Microsoft Entra ID P1 许可证。 若要根据需求查找合适的许可证,请参阅Microsoft Entra ID 一般可用功能比较。
一般要求
- 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
- 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
- AD 架构属性所需 - msDS-ExternalDirectoryObjectId
- 使用内部版本 1.1.1370.0 或更高版本预配代理。
注意
仅在全新安装期间分配对服务帐户的权限。 如果要从以前的版本升级,则需要使用 PowerShell cmdlet 手动分配权限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential
如果手动设置权限,则需要确保所有后代组和用户对象的“读取”、“写入”、“创建”和“删除”所有属性。
默认情况下,这些权限不会应用于 AdminSDHolder 对象 Microsoft Entra 预配代理 gMSA PowerShell cmdlet
- 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268(全局目录)上的一个或多个域控制器通信。
- 全局目录查找需要筛选出无效的成员身份引用
- 包含内部版本 2.2.8.0 或更高版本的 Microsoft Entra Connect
- 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
- 需要将 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支持的组和规模限制
支持以下内容:
- 仅支持云创建的安全组
- 这些组可以有分配的组或动态成员资格组。
- 这些组只能包含本地同步的用户和/或其他云创建的安全组。
- 同步且是此云创建的安全组的成员的本地用户帐户,可以来自同一域或跨域,但必须全部来自同一林。
- 这些组以通用 AD 组范围写回。 本地环境必须支持通用组范围。
- 不支持超过 50,000 个成员的组。
- 不支持超过 150,000 个对象的租户。 这意味着,如果一个租户的用户和组组合总数超过 15 万个对象,则不支持该租户。
- 每个直接子嵌套组计数为引用组中的一个成员
- 如果在 Active Directory 中手动更新组,则不支持 Microsoft Entra ID 和 Active Directory 之间的组对帐。
其他信息
下面是有关将组预配到 Active Directory 的其他信息。
- 使用云同步预配到 AD 的组只能包含本地同步的用户和/或其他云创建的安全组。
- 这些用户都必须在其帐户上设置 onPremisesObjectIdentifier 属性。
- onPremisesObjectIdentifier 必须与目标 AD 环境中的相应 objectGUID 匹配。
- 可以使用 Microsoft Entra 云同步 (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0),将本地用户的 objectGUID 属性同步到云用户的 onPremisesObjectIdentifier 属性。
- 如果使用 Microsoft Entra Connect Sync (2.2.8.0) 同步用户,而不是使用 Microsoft Entra 云同步,并且想要使用“预配到 AD”,则必须是 2.2.8.0 或更高版本。
- 仅支持将常规 Microsoft Entra ID 租户从 Microsoft Entra ID 预配到 Active Directory。 不支持 B2C 等租户。
- 组预配作业计划为每 20 分钟运行一次。
支持使用 Microsoft Entra Cloud Sync 进行组写回的方案
以下部分介绍使用 Microsoft Entra Cloud Sync 进行组写回支持的方案。
- 将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步
- 使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步
方案:使用 Microsoft Entra Connect Sync(以前称为 Azure AD Connect)将组写回迁移到 Microsoft Entra Cloud Sync。此方案仅适用于当前使用 Microsoft Entra Connect 组写回 v2 的客户。 本文档中概述的过程仅适用于使用通用范围写回的云创建的安全组。 不支持使用 Microsoft Entra Connect 组写回 V1 或 V2 写回的启用邮件的组和 DL。
有关详细信息,请参阅将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步。
使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
方案:使用在云中预配和管理的 Active Directory 组管理本地应用程序。 通过 Microsoft Entra 云同步,可在 AD 中完全控制应用程序分配,同时利用 Microsoft Entra ID 治理功能来控制和修正任何与访问相关的请求。
有关详细信息,请参阅 使用 Microsoft Entra ID Governance 管理基于本地 Active Directory 的应用(Kerberos)。