Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wraz z wydaniem agenta aprowizacji 1.1.1370.0 synchronizacja w chmurze umożliwia teraz wykonywanie zapisywania zwrotnego grup. Ta funkcja oznacza, że synchronizacja w chmurze może udostępniać grupy bezpośrednio do lokalnego środowiska Active Directory. Teraz można również używać funkcji zarządzania tożsamościami, aby zarządzać dostępem do aplikacji opartych na usłudze AD, na przykład poprzez dołączenie grupy do pakietu zarządzania uprawnieniami dostępu.
Ważne
Wersja zapoznawcza Group Writeback v2 w Microsoft Entra Connect Sync jest wycofana i nie będzie już wspierana.
Za pomocą usługi Microsoft Entra Cloud Sync można aprowizować grupy zabezpieczeń w chmurze do lokalnych usług Active Directory Domain Services (AD DS).
Jeśli używasz funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync, należy przenieść klienta synchronizacji do usługi Microsoft Entra Cloud Sync. Aby sprawdzić, czy kwalifikujesz się do przejścia do usługi Microsoft Entra Cloud Sync, użyj kreatora synchronizacji użytkowników.
Jeśli nie możesz używać usługi Microsoft Cloud Sync zgodnie z zaleceniami kreatora, możesz uruchomić program Microsoft Entra Cloud Sync obok programu Microsoft Entra Connect Sync. W takim przypadku można uruchomić usługę Microsoft Entra Cloud Sync tylko w celu aprowizowania grup zabezpieczeń w chmurze do lokalnych usług AD DS.
Jeśli aprowizujesz grupy platformy Microsoft 365 w usługach Active Directory Domain Services (AD DS), możesz nadal używać funkcji Grupowego Zapisywania Zwrotnego w wersji 1.
Skonfiguruj Microsoft Entra ID do usług Active Directory Domain Services — wymagania wstępne
Następujące wymagania wstępne są konieczne do zaimplementowania grup aprowizacyjnych w usługach Active Directory Domain Services (AD DS).
Wymagania dotyczące licencji
Korzystanie z tej funkcji wymaga licencji microsoft Entra ID P1. Aby znaleźć odpowiednią licencję dla Twoich wymagań, zobacz Porównanie ogólnie dostępnych funkcji identyfikatora Entra firmy Microsoft.
Wymagania ogólne
- Konto Microsoft Entra z przynajmniej rolą Administratora Tożsamości Hybrydowej.
- Lokalny schemat usług AD DS z atrybutem msDS-ExternalDirectoryObjectId dostępnym w systemie Windows Server 2016 lub nowszym.
- Inicjowanie agenta w wersji kompilacji 1.1.3730.0 lub nowszej.
Uwaga
Uprawnienia do konta usługi są przypisywane tylko podczas czystej instalacji. Jeśli uaktualniasz z poprzedniej wersji, uprawnienia należy przypisać ręcznie przy użyciu programu PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Jeśli uprawnienia są ustawiane ręcznie, musisz przypisać wszystkie właściwości Odczyt, Zapis, Tworzenie i Usuwanie dla wszystkich grup potomnych i obiektów użytkownika.
Te uprawnienia nie są domyślnie stosowane do obiektów AdminSDHolder. Aby uzyskać więcej informacji, zobacz Microsoft Entra provisioning agent gMSA PowerShell cmdlets (polecenia cmdlet programu PowerShell dla agenta aprowizacji Microsoft Entra gMSA).
- Agent aprowizacji musi być zainstalowany na serwerze z systemem Windows Server 2022, Windows Server 2019 lub Windows Server 2016.
- Agent aprowizacji musi mieć możliwość komunikowania się z co najmniej jednym kontrolerem domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
- Wymagane do wyszukiwania Katalogu Globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
- Microsoft Entra Connect Sync w kompilacji 2.22.8.0
- Wymagane do obsługi członkostwa użytkowników lokalnych zsynchronizowanych przy użyciu usługi Microsoft Entra Connect Sync
- Wymagane do synchronizacji
AD DS:user:objectGUIDzAAD DS:user:onPremisesObjectIdentifier
Limity skalowania dla grup provisioningowych w usłudze Active Directory
Na wydajność funkcji aprowizacji grup do usługi Active Directory wpływa rozmiar dzierżawy oraz liczba grup i członkostw uwzględnianych podczas aprowizacji do usługi Active Directory. Ta sekcja zawiera wskazówki dotyczące sposobu określania, czy GPAD obsługuje wymaganie skalowania i jak wybrać odpowiedni tryb określania zakresu grup w celu osiągnięcia szybszych cykli synchronizacji początkowej i różnicowej.
Co nie jest obsługiwane?
- Grupy, które są większe niż 50 000 członków, nie są obsługiwane.
- Użycie zakresu "Wszystkie grupy zabezpieczeń" bez stosowania filtrowania zakresu atrybutów nie jest obsługiwane.
Limity skalowania
| Tryb określania zakresu | Liczba grup w zakresie | Liczba łączy członkostwa (tylko bezpośredni członkowie) | Notatki |
|---|---|---|---|
| Tryb "Wybrane grupy zabezpieczeń" | Maksymalnie 10 000 grup. Okienko CloudSync w witrynie Microsoft Entra Portal umożliwia wybranie maksymalnie 999 grup, a także wyświetlenie maksymalnie 999 grup. Jeśli musisz dodać więcej niż 1000 grup do zakresu, zobacz: Rozszerzony wybór grupy za pośrednictwem interfejsu API. | Maksymalnie 250 000 członków we wszystkich grupach w ramach zakresu. | Użyj tego trybu określania zakresu, jeśli dzierżawa przekroczy którykolwiek z tych limitów 1. Najemca ma ponad 200 tys. użytkowników 2. Tenant ma ponad 40 000 grup 3. Najemca ma więcej niż 1 mln członkostw w grupach. |
| Tryb "Wszystkie grupy zabezpieczeń" z co najmniej jednym filtrem określania zakresu atrybutów. | Maksymalnie 20 000 grup. | Maksymalnie 500 000 członków we wszystkich grupach w zakresie. | Użyj tego trybu określania zakresu, jeśli dzierżawa spełnia wszystkie poniższe limity: 1. Klient ma mniej niż 200 tys. użytkowników 2. Najemca ma mniej niż 40K grup 3. Dzierżawca ma mniej niż 1 mln członkostw w grupach. |
Co zrobić, jeśli przekroczysz limity
Przekroczenie zalecanych limitów spowoduje spowolnienie synchronizacji początkowej i różnicowej, co może spowodować błędy synchronizacji. W takim przypadku wykonaj następujące kroki:
Za dużo grup lub członków grup w trybie zakresu "Wybrane grupy zabezpieczeń":
Zmniejsz liczbę grup w zakresie (grup docelowych wyższych wartości ) lub podziel aprowizację na wiele odrębnych zadań z rozłącznymi zakresami.
Zbyt wiele grup lub członków grupy w trybie określania zakresu "Wszystkie grupy zabezpieczeń":
Użyj trybu określania zakresu wybranych grup zabezpieczeń zgodnie z zaleceniami.
Niektóre grupy przekraczają 50 000 członków:
Podziel członkostwo w wielu grupach lub adoptuj grupy etapowe (na przykład według regionu lub jednostki biznesowej), aby zachować każdą grupę w ramach limitu.
Rozszerzony wybór grupy za pośrednictwem interfejsu API
Jeśli musisz wybrać więcej niż 999 grup, musisz użyć przydzielenia elementu appRoleAssignment dla wywołania interfejsu API jednostki usługi .
Przykład wywołań interfejsu API wygląda następująco:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: identyfikator obiektu grupy.
- resourceId: Identyfikator głównej usługi zadania.
- appRoleId: identyfikator roli aplikacji uwidocznionej przez jednostkę usługi zasobów.
Poniższa tabela zawiera listę identyfikatorów ról aplikacji dla chmur:
| Cloud | appRoleId |
|---|---|
| Public | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Więcej informacji
Poniżej przedstawiono więcej punktów, które należy wziąć pod uwagę podczas aprowizowania grup w usługach AD DS.
- Grupy aprowizowane w usługach AD DS przy użyciu usługi Cloud Sync mogą zawierać tylko lokalnych synchronizowanych użytkowników lub innych grup zabezpieczeń utworzonych w chmurze.
- Ci użytkownicy muszą mieć atrybut onPremisesObjectIdentifier ustawiony na swoim koncie.
- Element onPremisesObjectIdentifier musi być zgodny z odpowiednim objectGUID w docelowym środowisku Active Directory Domain Services (AD DS).
- Atrybut objectGUID użytkownika lokalnego można zsynchronizować z użytkownikiem chmury onPremisesObjectIdentifier za pomocą dowolnego klienta synchronizacji.
- Tylko globalne dzierżawy Microsoft Entra ID mogą realizować aprowizację z Microsoft Entra ID do usług AD DS. Najemcy, tacy jak B2C, nie są obsługiwani.
- Zadanie konfigurowania grupy jest zaplanowane do uruchamiania co 20 minut.
Obsługiwane scenariusze zwrotnego zapisu grup za pomocą usługi Microsoft Entra Cloud Sync
W poniższych sekcjach opisano obsługiwane scenariusze zapisywania zwrotnego grup za pomocą usługi Microsoft Entra Cloud Sync.
- Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync
- Zarządzaj aplikacjami lokalnymi opartymi na Active Directory (Kerberos) przy użyciu Microsoft Entra ID Governance
Migracja przywracania grup z Microsoft Entra Connect Sync wersja 2 do Microsoft Entra Cloud Sync
Scenariusz: Migrowanie zapisywania zwrotnego grup przy użyciu programu Microsoft Entra Connect Sync (dawniej Azure AD Connect) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy dystrybucyjne (DL) zapisywane z powrotem przy użyciu funkcji zapisywania zwrotnego grupy Microsoft Entra Connect w wersji V1 lub V2 nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect w wersji 2 do usługi Microsoft Entra Cloud Sync.
Zarządzaj aplikacjami opartymi na lokalnej usłudze Active Directory (Kerberos) przy użyciu zarządzania tożsamościami Entra ID
Scenariusz: Zarządzanie aplikacjami lokalnymi za pomocą grup usługi Active Directory, które są aprowizowane z chmury i w niej zarządzane. Usługa Microsoft Entra Cloud Sync umożliwia pełne zarządzanie przypisaniami aplikacji w usłudze AD przy jednoczesnym wykorzystaniu funkcji Zarządzanie tożsamością Microsoft Entra do kontrolowania i korygowania wszelkich żądań związanych z dostępem.
Aby uzyskać więcej informacji, zobacz Zarządzanie lokalnymi aplikacjami opartymi na usłudze Active Directory (Kerberos) przy użyciu usługi Microsoft Entra ID Governance.
Następne kroki
- Utwórz grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync
- Zarządzaj aplikacjami lokalnymi opartymi na Active Directory (Kerberos) przy użyciu Microsoft Entra ID Governance
- Migrowanie zapisywania zwrotnego grup programu Microsoft Entra Connect Sync w wersji 2 do usługi Microsoft Entra Cloud Sync
- Filtr określania zakresu i mapowanie atrybutów — Microsoft Entra ID do Active Directory