使用 Microsoft Entra Cloud Sync 进行组写回

随着预配代理 1.1.1370.0 的发布，云同步现在能够执行组写回。 此功能意味着云同步可以直接将组预配到本地 Active Directory 环境。 现在还可以使用 Identity Governance 功能来治理对基于 AD 的应用程序的访问，例如加入一个权利管理访问包中的组。

将 Microsoft Entra ID 预配到 Active Directory 域服务 - 先决条件

若要将预配组实现到 Active Directory 域服务（AD DS），需要满足以下先决条件。

许可要求

使用此功能需要 Microsoft Entra ID P1 许可证。 若要根据需求查找合适的许可证，请参阅Microsoft Entra ID 一般可用功能比较。

一般要求

• 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
• 具有 msDS-ExternalDirectoryObjectId 属性的本地 AD DS 架构，该属性在 Windows Server 2016 及更高版本中可用。
• 使用内部版本 1.1.3730.0 或更高版本预配代理。

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• 预配代理必须安装在运行 Windows Server 2022、Windows Server 2019 或 Windows Server 2016 的服务器上。
• 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268（全局目录）上的一个或多个域控制器通信。
  • 用于全局目录查找以筛选无效的成员资格引用所必需的
• Microsoft Entra Connect Sync 使用内部版本 2.22.8.0
  • 支持使用 Microsoft Entra Connect Sync 的本地用户成员身份所需
  • 必须同步 AD DS:user:objectGUID 到 AAD DS:user:onPremisesObjectIdentifier

对 Active Directory 用户组的规模限制

组预配到 Active Directory 功能的性能受租户大小以及预配到 Active Directory 的组数和成员身份的影响。 本部分提供有关如何确定 GPAD 是否支持您的规模需求以及如何选择合适的组范围设置，以实现更快的初始和增量同步周期的指导。

不支持什么？

• 不支持超过 50,000 成员的群组。
• 不支持在不使用属性范围筛选的情况下使用“所有安全组”范围。

规模限制

如果超出限制，该怎么办

超过建议的限制会降低初始同步和增量同步的速度，这可能会导致同步错误。 如果发生这种情况，请执行以下步骤：

“所选安全组”范围模式下的组或组成员过多：

减少作用域内组数（以更高的值组为目标）， 或将预配拆分为多个不同 作业，且范围不相交。

“所有安全组”作用域模式中群组或群组成员过多：

建议使用 所选安全组 范围模式。

某些组超过 50K 个成员：

在多个组之间拆分成员身份，或者采取分阶段分组（例如，按区域或业务部门）以确保每个组保持在限制范围内。

通过 API 扩展的组选择

如果需要选择超过 999 个组，则必须调用 Grant an appRoleAssignment API 以便对服务主体进行操作。

API 调用的示例如下所示：

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

地点：

• principalId：组对象 ID。
• resourceId：作业的服务主体 ID。
• appRoleId：资源服务主体公开的应用角色的标识符。

下表是适用于云的应用角色 ID 列表：

详细信息

以下是在将组配置到 AD DS 时需要考虑的更多注意事项。

• 使用云同步预配到 AD DS 的组只能包含本地同步的用户或其他云创建的安全组。
• 这些用户必须在其帐户上设置 onPremisesObjectIdentifier 属性。
• onPremisesObjectIdentifier 必须与目标 AD DS 环境中的相应对象GUID 匹配。
• 可以使用任一同步客户端将本地用户 objectGUID 属性同步到云用户 onPremisesObjectIdentifier 属性。
• 只有全局性的 Microsoft Entra ID 租户才能从 Microsoft Entra ID 预配到 AD DS。 不支持 B2C 等租户。
• 组预配作业计划为每 20 分钟运行一次。

支持使用 Microsoft Entra Cloud Sync 进行组写回的方案

以下部分介绍使用 Microsoft Entra Cloud Sync 进行组写回支持的方案。

• 将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步
• 使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)

将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步

方案：使用 Microsoft Entra Connect Sync（以前称为 Azure AD Connect）将组写回迁移到 Microsoft Entra Cloud Sync。此方案仅适用于当前使用 Microsoft Entra Connect 组写回 v2 的客户。 本文档中概述的过程仅适用于使用通用范围写回的云创建的安全组。 不支持使用 Microsoft Entra Connect 组写回 V1 或 V2 写回的启用邮件的组和 DL。

有关详细信息，请参阅将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步。

使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)

方案：使用在云中预配和管理的 Active Directory 组管理本地应用程序。 通过 Microsoft Entra 云同步，可在 AD 中完全控制应用程序分配，同时利用 Microsoft Entra ID 治理功能来控制和修正任何与访问相关的请求。

有关详细信息，请参阅 使用 Microsoft Entra ID Governance 管理基于本地 Active Directory 的应用（Kerberos）。

后续步骤

• 使用 Microsoft Entra 云同步将组预配到 Active Directory
• 使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
• 将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步
• 范围过滤器和属性映射 - Microsoft Entra ID 到 Active Directory