Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Veröffentlichung des Bereitstellungs-Agents 1.1.1370.0 hat die Cloudsynchronisierung jetzt die Möglichkeit, Gruppenrückschreiben durchzuführen. Dieses Feature ermöglicht es, dass die Cloud-Synchronisierung Gruppen direkt in Ihrer lokalen Active Directory-Umgebung bereitstellen kann. Sie können jetzt auch Identitätsgovernancefeatures verwenden, um den Zugriff auf AD-basierte Anwendungen zu steuern, z. B. indem Sie eine Gruppe in ein Berechtigungsverwaltungszugriffspaket einschließen.
Wichtig
Die Vorschau von Group Writeback v2 in Microsoft Entra Connect Sync ist veraltet und wird nicht mehr unterstützt.
Sie können Microsoft Entra Cloud Sync verwenden, um Cloudsicherheitsgruppen für lokale Active Directory Domain Services (AD DS) bereitzustellen.
Wenn Sie Group Writeback v2 in Microsoft Entra Connect Sync verwenden, sollten Sie Ihren Synchronisierungsclient in Microsoft Entra Cloud Sync verschieben. Um zu überprüfen, ob Sie berechtigt sind, zu Microsoft Entra Cloud Sync zu wechseln, verwenden Sie den Benutzersynchronisierungs-Assistenten.
Wenn Sie Microsoft Cloud Sync nicht wie empfohlen vom Assistenten verwenden können, können Sie Microsoft Entra Cloud Sync parallel mit Microsoft Entra Connect Sync ausführen. In diesem Fall können Sie Microsoft Entra Cloud Sync nur ausführen, um Cloudsicherheitsgruppen für lokale AD DS bereitzustellen.
Wenn Sie Microsoft 365-Gruppen für AD DS bereitstellen, können Sie "Group Writeback v1" weiterhin verwenden.
Bereitstellen der Microsoft Entra-ID für Active Directory Domain Services – Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Bereitstellungsgruppen in Active Directory Domain Services (AD DS) zu implementieren.
Lizenzanforderungen
Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zum Ermitteln der richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen allgemein verfügbarer Features von Microsoft Entra ID.
Allgemeine Anforderungen
- Microsoft Entra-Konto mit mindestens einer Hybrididentitätsadministratorrolle .
- Lokales AD DS-Schema mit dem Attribut "msDS-ExternalDirectoryObjectId ", das in Windows Server 2016 und höher verfügbar ist.
- Bereitstellungs-Agent mit Buildversion 1.1.3730.0 oder höher.
Hinweis
Die Berechtigungen für das Dienstkonto werden lediglich bei der sauberen Installation zugewiesen. Wenn Sie ein Upgrade von der vorherigen Version durchführen, müssen Berechtigungen mithilfe von PowerShell manuell zugewiesen werden:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Wenn die Berechtigungen manuell festgelegt werden, müssen Sie alle Eigenschaften "Lesen", "Schreiben", "Erstellen" und "Löschen" für alle untergeordneten Gruppen und Benutzerobjekte zuweisen.
Diese Berechtigungen werden standardmäßig nicht auf AdminSDHolder-Objekte angewendet. Weitere Informationen finden Sie unter Microsoft Entra-Bereitstellungs-Agent gMSA PowerShell-Cmdlets.
- Der Bereitstellungs-Agent muss auf einem Server installiert sein, auf dem Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausgeführt werden.
- Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
- Erforderlich für die Suche im globalen Katalog zum Herausfiltern ungültiger Mitgliedschaftsverweise
- Microsoft Entra Connect Sync mit Buildversion 2.22.8.0
- Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect Sync synchronisiert wird
- Erforderlich für die Synchronisierung
AD DS:user:objectGUIDmitAAD DS:user:onPremisesObjectIdentifier
Skalierungsgrenzwerte für Bereitstellungsgruppen in Active Directory
Die Leistung der Funktion zur Bereitstellung von Gruppen in Active Directory wird von der Größe des Mandanten sowie der Anzahl der Gruppen und Mitgliedschaften beeinflusst, die für die Bereitstellung in Active Directory vorgesehen sind. Dieser Abschnitt enthält Anleitungen zum Ermitteln, ob GPAD Ihre Skalierungsanforderung unterstützt, und wie Sie den richtigen Gruppenbereichsdefinitionsmodus auswählen, um schnellere anfängliche und Delta-Synchronisierungszyklen zu erzielen.
Was wird nicht unterstützt?
- Gruppen, die größer als 50K-Mitglieder sind, werden nicht unterstützt.
- Die Verwendung der Bereichsdefinition "Alle Sicherheitsgruppen" ohne Anwenden der Attributbereichsfilterung wird nicht unterstützt.
Skalierungslimits
| Bereichsdefinitionsmodus | Anzahl der Gruppen im Geltungsbereich | Anzahl der Mitgliedschaftslinks (nur direkte Mitglieder) | Hinweise |
|---|---|---|---|
| Modus "Ausgewählte Sicherheitsgruppen" | Bis zu 10.000 Gruppen. Der CloudSync-Bereich im Microsoft Entra-Portal ermöglicht nur die Auswahl von bis zu 999 Gruppen sowie das Anzeigen von bis zu 999 Gruppen. Wenn Sie mehr als 1000 Gruppen zum Bereich hinzufügen müssen, lesen Sie: Erweiterte Gruppenauswahl über API. | Bis zu 250 Tsd. Gesamtmitglieder in allen Gruppen im Anwendungsbereich. | Verwenden Sie diesen Scoping-Modus, wenn Ihr Mandant irgendeinen dieser Grenzwerte überschreitet. 1. Der Mandant verfügt über mehr als 200.000 Benutzer. 2. Der Mieter verfügt über mehr als 40.000 Gruppen 3. Der Mandant verfügt über mehr als 1 Million Gruppenmitgliedschaften. |
| Modus "Alle Sicherheitsgruppen" mit mindestens einem Attributebereichsfilter. | Bis zu 20.000 Gruppen. | Bis zu 500.000 Gesamtmitglieder in allen Gruppen im Geltungsbereich. | Verwenden Sie diesen Erfassungsmodus, wenn Ihr Mandant ALLE folgenden Grenzwerte erfüllt: 1. Der Mandant hat weniger als 200.000 Benutzer. 2. Der Mandant hat weniger als 40.000 Gruppen. 3. Der Mandant verfügt über weniger als 1 Million Gruppenmitgliedschaften. |
Was zu tun ist, wenn Sie Grenzwerte überschreiten
Wenn Sie die empfohlenen Grenzwerte überschreiten, wird die anfängliche und delta-Synchronisierung verlangsamt, was möglicherweise zu Synchronisierungsfehlern führt. Führen Sie in diesem Fall die folgenden Schritte aus:
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Ausgewählte Sicherheitsgruppen":
Verringern Sie die Anzahl von In-Scope-Gruppen (Zielgruppen mit höheren Werten ), oder teilen Sie die Bereitstellung in mehrere, unterschiedliche Aufträge mit nicht zusammenhängenden Bereichen auf.
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Alle Sicherheitsgruppen":
Verwenden Sie den Bereichsdefinitionsmodus für ausgewählte Sicherheitsgruppen wie empfohlen.
Einige Gruppen überschreiten 50K-Mitglieder:
Teilen Sie die Mitgliedschaft über mehrere Gruppen hinweg, oder übernehmen Sie mehrstufige Gruppen (z. B. nach Region oder Geschäftseinheit), um jede Gruppe unter der Obergrenze zu halten.
Erweiterte Gruppenauswahl über API
Wenn Sie mehr als 999 Gruppen auswählen müssen, müssen Sie das Grant an appRoleAssignment für einen Dienstprinzipal-API-Aufruf verwenden.
Ein Beispiel für die API-Aufrufe lautet wie folgt:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
wo:
- principalId: Group-Objekt-ID.
- resourceId: Dienstprinzipal-ID des Auftrags.
- appRoleId: Bezeichner der App-Rolle, die vom Ressourcendienstprinzipal verfügbar gemacht wird.
Die folgende Tabelle enthält eine Liste der App-Rollen-IDs für Clouds:
| Wolke | appRoleId |
|---|---|
| Öffentlichkeit | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Mehr Informationen
Hier sind weitere Punkte zu berücksichtigen, wenn Sie Gruppen für AD DS bereitstellen.
- Gruppen, die mit Cloud Sync für AD DS bereitgestellt werden, können nur lokale synchronisierte Benutzer oder andere in der Cloud erstellte Sicherheitsgruppen enthalten.
- Diese Benutzer müssen das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt haben.
- Der onPremisesObjectIdentifier muss mit einer entsprechenden ObjectGUID in der AD DS-Zielumgebung übereinstimmen.
- Ein lokales BenutzerobjektGUID-Attribut kann mithilfe eines Synchronisierungsclients mit einem Cloudbenutzer-onPremisesObjectIdentifier-Attribut synchronisiert werden.
- Nur globale Microsoft Entra ID-Mandanten können von Microsoft Entra ID zu AD DS bereitstellen. Mandanten wie B2C werden nicht unterstützt.
- Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.
Unterstützte Szenarien für das Gruppenrückschreiben mit der Microsoft Entra-Cloudsynchronisierung
In den folgenden Abschnitten werden die unterstützten Szenarien für das Gruppenrückschreiben mit Microsoft Entra Cloud Sync beschrieben.
- Migrieren von Microsoft Entra Connect Sync-Gruppenrückschreiben V2 zu Microsoft Entra Cloud Sync
- Steuern von lokalen Active Directory-basierten Apps (Kerberos) mithilfe der Microsoft Entra ID Governance
Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zur Microsoft Entra-Cloudsynchronisierung
Szenario: Migrieren Sie gruppenrückschreiben mithilfe von Microsoft Entra Connect Sync (ehemals Azure AD Connect) zu Microsoft Entra Cloud Sync. Dieses Szenario gilt nur für Kunden, die derzeit Microsoft Entra Connect-Gruppenrückschreiben v2 verwenden. Der in diesem Artikel beschriebene Prozess bezieht sich lediglich auf in der Cloud erstellte Sicherheitsgruppen, die mit dem Bereich „Universell“ zurückgeschrieben werden. E-Mail-aktivierte Gruppen und DLs, die mithilfe der Versionen 1 oder 2 des Gruppenrückschreibens in Microsoft Entra Connect zurückgeschrieben wurden, werden nicht unterstützt.
Weitere Informationen finden Sie unter Migrieren von Microsoft Entra Connect Sync-Gruppenrückschreiben V2 zu Microsoft Entra Cloud Sync.
Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance
Szenario: Verwalten Sie lokale Anwendungen mit Active Directory-Gruppen, die aus der Cloud bereitgestellt und verwaltet werden. Mit der Microsoft Entra-Cloudsynchronisierung können Sie Anwendungszuweisungen in AD vollständig steuern und gleichzeitig die Microsoft Entra ID Governance-Features nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu verarbeiten.
Weitere Informationen finden Sie unter Steuern der lokalen Active Directory-basierten Apps (Kerberos) mithilfe der Microsoft Entra ID Governance.
Nächste Schritte
- Bereitstellen von Gruppen in Active Directory mithilfe von Microsoft Entra Cloud Sync
- Steuern von lokalen Active Directory-basierten Apps (Kerberos) mithilfe der Microsoft Entra ID Governance
- Migrieren von Microsoft Entra Connect Sync-Gruppenrückschreiben V2 zu Microsoft Entra Cloud Sync
- Bereichsfilter und Attributzuordnung – Microsoft Entra ID zu Active Directory