Gruppenrückschreiben mit Microsoft Entra-Cloud Sync

Mit der Veröffentlichung des Bereitstellungs-Agents 1.1.1370.0 hat die Cloudsynchronisierung jetzt die Möglichkeit, das Gruppenrückschreiben durchzuführen. Dieses Feature bedeutet, dass die Cloudsynchronisierung Gruppen direkt in Ihrer lokalen Active Directory-Umgebung bereitstellen kann. Zudem können Sie jetzt Identitätsgovernancefeatures verwenden, um den Zugriff auf AD-basierte Anwendungen zu steuern, z. B. indem Sie eine Gruppe in ein Zugriffspaket für die Berechtigungsverwaltung einschließen.

Diagramm des Gruppenrückschreibens mit Cloudsynchronisierung.

Wichtig

Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Verbinden Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird an diesem Datum nicht mehr unterstützt, und Sie werden in Verbinden Synchronisierung nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen. Das Feature wird weiterhin über das Einstellungsdatum hinaus funktionieren, es erhält jedoch nach diesem Datum keine Unterstützung mehr und kann jederzeit ohne Vorwarnung aufhören, zu funktionieren.

Wir bieten ähnliche Funktionen in Microsoft Entra Cloud Sync namens Gruppenbereitstellung in Active Directory, die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen in Active Directory verwenden können. Wir arbeiten daran, diese Funktionalität in Cloud Sync zusammen mit anderen neuen Features zu verbessern, die wir in Cloud Sync entwickeln.

Kunden, die dieses Vorschaufeature in Verbinden Synchronisieren verwenden, sollten ihre Konfiguration von Verbinden Synchronisierung in Cloud Sync wechseln. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern sie Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.

Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktion weiterhin Group Writeback v1 verwenden.

Sie können das Verschieben ausschließlich in Cloud Sync auswerten, indem Sie den Benutzersynchronisierungs-Assistenten verwenden.

Bereitstellen von Microsoft Entra ID in Active Directory: Voraussetzungen

Zum Implementieren von Bereitstellungsgruppen in Active Directory müssen die folgenden Voraussetzungen erfüllt sein.

Lizenzanforderungen

Für die Verwendung dieses Features werden Microsoft Entra ID P1-Lizenzen benötigt. Informationen zur Ermittlung der richtigen Lizenz für Ihre Anforderungen finden Sie im Vergleich der allgemein verfügbaren Features von Microsoft Entra ID.

Allgemeine Anforderungen

  • Ein Microsoft Entra-Konto mit der Rolle Hybrididentitätsadministrator oder höher.
  • Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher.
    • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
  • Ein Bereitstellungs-Agent mit der Buildversion 1.1.1370.0 oder höher.

Hinweis

Die Berechtigungen für das Dienstkonto werden lediglich bei der Neuinstallation zugewiesen. Falls Sie ein Upgrade von der vorherigen Version durchführen, müssen Sie die Berechtigungen manuell mithilfe des PowerShell-Cmdlets zuweisen:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Wenn die Berechtigungen manuell festgelegt werden, müssen Sie sicherstellen, dass die Eigenschaften „Lesen“, „Schreiben“, „Erstellen“ und „Löschen“ für alle untergeordneten Gruppen und Benutzerobjekte festgelegt werden.

Diese Berechtigungen werden von gMSA-PowerShell-Cmdlets für den Microsoft Entra-Bereitstellungs-Agent standardmäßig nicht auf AdminSDHolder-Objekte angewendet

  • Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
    • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise
  • Microsoft Entra Connect Sync mit der Buildversion 2.2.8.0 oder höher
    • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect Sync synchronisiert wird
    • Erforderlich zum Synchronisieren von AD:user:objectGUID mit AAD:user:onPremisesObjectIdentifier

Unterstützte Gruppen und Skalierungsgrenzwerte

Folgendes wird unterstützt:

  • Lediglich in der Cloud erstellte Sicherheitsgruppen werden unterstützt
  • Diese Gruppen können zugewiesene Gruppen oder Gruppen mit dynamischer Mitgliedschaft enthalten.
  • Diese Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Die lokalen Benutzerkonten, die synchronisiert werden und Mitglieder dieser in der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne stammen oder domänenübergreifend sein. Jedoch müssen alle aus derselben Gesamtstruktur stammen.
  • Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben. Ihre lokale Umgebung muss den universellen Gruppenbereich unterstützen.
  • Gruppen mit mehr als 50.000 Mitgliedern werden nicht unterstützt.
  • Mandanten mit mehr als 150.000 Objekten werden nicht unterstützt. Wenn ein Mandant eine Kombination aus Benutzern und Gruppen aufweist, die 150K-Objekte überschreiten, wird der Mandant nicht unterstützt.
  • Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe
  • Die Abstimmung von Gruppen zwischen Microsoft Entra ID und Active Directory wird nicht unterstützt, wenn die Gruppe manuell in Active Directory aktualisiert wird.

Weitere Informationen

Im Anschluss finden Sie weitere Informationen zur Bereitstellung von Gruppen in Active Directory.

  • Über Cloudsynchronisierung in AD bereitgestellte Gruppen können lediglich lokale synchronisierte Benutzer und/oder zusätzliche in der Cloud erstellte Sicherheitsgruppen enthalten.
  • Für diese Benutzer muss das Attribut onPremisesObjectIdentifier in ihrem Konto festgelegt sein.
  • onPremisesObjectIdentifier muss mit einer entsprechenden Objekt-GUID (objectGUID) in der AD-Zielumgebung übereinstimmen.
  • Ein objectGUID-Attribut lokaler Benutzer kann entweder mithilfe der Microsoft Entra-Cloudsynchronisierung (1.1.1370.0) oder der Microsoft Entra Connect-Synchronisierung (2.2.8.0) mit dem onPremisesObjectIdentifier-Attribut von Cloudbenutzern synchronisiert werden
  • Wenn Sie zum Synchronisieren von Benutzern die Microsoft Entra Connect-Synchronisierung (2.2.8.0) anstelle der Microsoft Entra-Cloudsynchronisierung verwenden und die Bereitstellung in AD nutzen möchten, muss mindestens Version 2.2.8.0 verwendet werden.
  • Nur normale Microsoft Entra ID-Mandanten werden für die Bereitstellung von Microsoft Entra ID in Active Directory unterstützt. Mandanten wie B2C werden nicht unterstützt.
  • Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.

Unterstützte Szenarien für das Gruppenrückschreiben mit Microsoft Entra Cloud Sync

In den folgenden Abschnitten werden die unterstützten Szenarien für das Gruppenrückschreiben mit Microsoft Entra Cloud Sync beschrieben.

Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zu Microsoft Entra Cloud Sync

Szenario: Migrieren des Gruppenrückschreibens mithilfe der Microsoft Entra Connect-Synchronisierung (ehemals Azure AD Connect) zur Microsoft Entra-Cloudsynchronisierung migrieren Dieses Szenario richtet sich lediglich an Kunden, die derzeit die Version 2 des Gruppenrückschreibens in Microsoft Entra Connect verwenden. Der in diesem Artikel beschriebene Prozess bezieht sich lediglich auf in der Cloud erstellte Sicherheitsgruppen, die mit dem Bereich „Universell“ zurückgeschrieben werden. E-Mail-aktivierte Gruppen und DLs, die mithilfe der Versionen 1 oder 2 des Gruppenrückschreibens in Microsoft Entra Connect zurückgeschrieben wurden, werden nicht unterstützt.

Weitere Informationen finden Sie unter Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zur Microsoft Entra-Cloudsynchronisierung.

Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance

Szenario: Sie verwalten lokale Anwendungen mit Active Directory-Gruppen, die über die Cloud bereitgestellt und verwaltet werden. Mit der Microsoft Entra-Cloudsynchronisierung können Sie Anwendungszuweisungen in AD vollständig steuern und gleichzeitig die Microsoft Entra ID Governance-Features nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu verarbeiten.

Weitere Informationen finden Sie unter Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance.

Nächste Schritte