跨混合环境管理组对于从本地 Active Directory 域服务(AD DS)过渡到云的组织至关重要。 通过Microsoft Entra ID 中的“颁发机构”组源(SOA),可以将组管理从 AD DS 传输到云,从而提供更大的灵活性、新式治理和简化的管理。 本指南解释了如何使用组 SOA 在混合和云环境中管理、配置、还原及回滚组。 它介绍了清理组、转换组管理并确保在实现标识基础结构现代化时安全高效的访问控制的最佳做法。
AD DS 组清理
许多组织面临的一个挑战是,其 Active Directory 域中的组(尤其是安全组)激增。 组织可能会创建项目完成后不再需要的安全组。 这些组可能在域中无人维护。
无法确认是否需要组来访问资源,例如应用或文件。 因此,我们需要另一种方法来识别和清理不再需要的组。 一种方法是使用尖叫测试方法识别不再使用的组。 有关详细信息,请参阅 如何从 Active Directory 中删除未使用的组。
最佳做法
遵循以下最佳做法,将组管理从本地转换到 Microsoft Entra ID。
为组的面向服务的体系结构转换和预配做好准备
如果计划将转换后的 SOA 安全组(未启用邮件)预配回 AD DS,则需要完成以下步骤以保留原始组织单位(OU)路径:
- 将 AD DS 组的组范围更改为通用。
- 为组创建面向租户的目录扩展属性。
- 将本地值(例如可分辨名称(DN)直接映射到扩展属性中。
- 使用 Microsoft Graph 验证属性值。
- 准备就绪后,转换权威来源 (SOA)。
- 使用自定义表达式确保云同步将组配置回具有相同 CN 和 OU 值的 AD DS。
有关详细信息,请参阅 使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory 域服务。
过渡组管理
Microsoft Entra ID Governance 支持管理 Microsoft Entra ID 安全组和 Microsoft 365 组。 虽然通讯组列表(DLS)和 Mail-Enabled 安全组(MESG)可以存在于云中,但它们是 Exchange 概念,并且无法在 Microsoft Entra 管理中心或 Microsoft Graph API 中管理它们。 因此,如果不需要使组保持启用邮件状态,请在 AD DS 中将其转换为标准安全组,然后同步该组,并转换 SOA。
应将 DLS 和 MESG 替换为 Microsoft 365 组,以便进行协作和访问管理方案。 它们提供用于治理、协作和自助服务的内置功能。 在大多数情况下,DLs 和 MESGs 需要重新创建为 Microsoft 365 组。 但是,可以直接将简单的非嵌套云托管 DL 升级到 Microsoft 365 组。 有关详细信息,请参阅 将通讯组列表升级到 Microsoft 365 组。
过渡自助服务小组管理
Microsoft Entra ID 通过“我的组”为 Microsoft 365 和非启用邮件的安全组提供自助服务组管理。 Microsoft Entra ID Governance 允许通过“我的访问”进行访问管理,您可以在其中管理具有访问包的组。 访问包允许用户在结构化治理框架中请求访问群组的一部分。 但是,由于本地和云解决方案的差异,这些解决方案不会完全复制 Microsoft Identity Manager 中的自助服务组管理功能。
若要从本地 AD DS 组转换自助服务组管理,可以现代化应用程序并使用基于云的安全组和Microsoft 365 组。 有关详细信息,请参阅组权威来源 (SOA) 的自助组管理指南。
管理绑定到 Microsoft 365 组的本地应用
若要管理和治理基于 AD DS 的应用,可以在 Microsoft Entra Connect 同步中使用组写回将Microsoft 365 个组预配到 AD DS。但无法选择要预配到 AD DS 的组。
本地对云拥有的安全组的更改会被覆盖
如果将云安全组预配到 AD DS,并且具有权限的人员直接对 AD DS 组进行更改,则下次将云组预配到 AD DS 时,将覆盖更改(通常在下次更改云组时)。 本地 AD DS 更改不会反映在 Microsoft Entra ID 中。
对 AD DS 的组预配如何与嵌套组配合使用
让我们看看将名为 CloudGroupB 的安全组预配到 AD DS 的示例。 它具有名为 OnPremGroupA 的父本地 AD DS 组。 转换 SOA for CloudGroupB。
然后,开始管理转换后的 CloudGroupB Microsoft Entra ID 中的组成员身份。 将其预配为本地组 OnPremGroupA 中的嵌套组。 如果 OnPremGroupA 保持同步的作用域内,当 AD DS Microsoft OnPremGroupA 的 Entra ID 同步配置运行时, CloudGroupB 的成员身份引用不会同步。根据设计,同步客户端无法识别云组成员身份引用。
有关组同步在相似的使用场景中如何与 SOA 协同工作的详细信息,请参阅嵌套组和成员资格引用处理。
SOA 如何应用于嵌套组
SOA 仅适用于没有递归的指定直接单个组对象。 如果将 SOA 应用到组中的嵌套组,则它们将继续在本地管理。 由于此方法是有意而为的,因此应将 SOA 显式应用于所有需要转换的组。 如果要转换嵌套组,可以从最低层次结构中的组开始,然后向上移动树。
从云中的本地 AD 重新创建动态组配置
本地 AD 组本质上是静态的。 动态成员身份是通过外部工具实现的,例如Microsoft标识管理器(MIM)或 Forefront Identity Manager(FIM)。 转换 SOA 时,动态成员规则不会自动转移,因为没有内置的 AD 属性识别组为动态。 迁移后,需要在云中重新创建动态成员身份规则。 有关如何设置动态成员身份组的详细信息,请参阅 在 Microsoft Entra ID 中创建或更新动态成员身份组。
Microsoft Entra Connect Sync 中自定义轻量级目录访问协议(LDAP)连接器的限制
组 SOA 不支持在 Microsoft Entra Connect Sync 中使用自定义 LDAP 连接器将标识和组同步到 Microsoft Entra ID。 它仅支持对从 AD 同步到 Microsoft Entra ID 的组,将其 SOA 转换为云对象。 仅在对象的原始 SOA 是 AD 时,SOA 操作的回滚才有效。
如何管理云安全组
安全组是访问控制、策略管理和其他关键功能的基础。 在大多数协作场景中,推荐使用 Microsoft 365 组,因为其具备增强的协作功能、自助服务选项和 API 功能。 通讯组(DLS)和启用邮件的安全组(MESG)仍然是可行的选项,尤其是对于 Exchange 管理员。
过渡到云时,请将本地组映射到 Microsoft Entra、Exchange Online 和 Microsoft 365 中的新式组类型。 下表提供了有关如何映射组并在 SOA 转换后对其进行管理的信息。
| 本地组类型 | 云组类型 | SOA 转换后如何管理它们 | DESCRIPTION |
|---|---|---|---|
| 安全组 | Microsoft Entra 安全组(未启用邮件) | Microsoft Entra 管理中心 微软 Graph 应用程序接口 |
访问控制至关重要,并直接转换为 Microsoft Entra 安全组,通过 Microsoft Graph 和各种管理中心(包括 Microsoft Entra 管理中心)提供管理。 |
| 支持邮件的安全组(本地部署的 Exchange) | 邮件启用的安全组(在 Microsoft Entra ID 中为只读状态,并在 Exchange 中进行管理) | Exchange Online 或 PowerShell | 可以直接迁移,也可以重新创建为启用安全Microsoft 365 组(创建组)。 如果不再需要电子邮件功能,可能会将其重新创建为Microsoft Entra 安全组。 启用邮件的安全组只能使用 Exchange 或 PowerShell 进行编辑。 安全组和Microsoft 365 个组由 Microsoft Graph 和各种管理中心(包括 Microsoft Entra 管理中心)管理。 |
| 分发列表(Exchange 本地部署) | Microsoft Entra 中的通讯组(在 Exchange 中管理,且为只读) | Exchange Online 或通过 PowerShell | 用于仅限电子邮件的通信。 它们可以迁移为 Exchange Online 通讯组列表,并使用 Exchange Online 或 Exchange PowerShell 进行管理。 然后,可以将它们重新创建为 Microsoft 365 组,也可以将其直接 升级到 Microsoft 365 组。 它们通过 Outlook、Teams、My Groups 或 Microsoft Graph 启用共享文件、日历、Teams 集成和自助服务管理。 |
| N/A (过去使用 v1) | Microsoft 365 个组(仅限云) | Microsoft Entra 管理中心 微软 Graph 应用程序接口 |
注释
启用了安全的 Microsoft 365 组可用于 Teams、SharePoint 或 Outlook 等应用的协作,以及在 Microsoft Entra 中进行访问控制。 不支持为 Exchange 共享邮箱分配权限的 Microsoft 365 安全组。 对于需要保护共享邮箱的方案,请继续使用启用邮件的安全组。