Управление приложениями на основе локальная служба Active Directory (Kerberos) с помощью Управление идентификацией Microsoft Entra

  • Статья

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо обратной записи группы версии 2 для подготовки облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести в Cloud Sync только подготовку облачной группы безопасности из Active Directory.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой возможности.

Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.

Сценарий. Управление локальными приложениями с помощью групп Active Directory, подготовленных и управляемых в облаке. Microsoft Entra Cloud Sync позволяет полностью управлять назначениями приложений в AD, используя преимущества Управление идентификацией Microsoft Entra функций для управления и исправления всех связанных запросов доступа.

В выпуске агента подготовки 1.1.1370.0 облачная синхронизация теперь имеет возможность подготавливать группы непосредственно в среде локальная служба Active Directory. Функции управления удостоверениями можно использовать для управления доступом к приложениям на основе AD, таким как включение группы в пакет доступа управления правами.

Концептуальный документ подготовки группы Microsoft Entra Cloud Sync в AD.

Просмотр видео обратной записи группы

Дополнительные сведения о подготовке группы облачной синхронизации в Active Directory и о том, что это можно сделать, см. в следующем видео.

Необходимые компоненты

Для реализации этого сценария необходимы следующие предварительные требования.

  • Учетная запись Microsoft Entra с ролью администратора гибридных удостоверений.
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId.
  • Агент подготовки с версией сборки 1.1.1367.0 или более поздней.

Примечание.

Разрешения для учетной записи службы назначаются только во время чистой установки. Если вы обновляете предыдущую версию, то разрешения необходимо назначить вручную с помощью командлета PowerShell:

$credential = Get-Credential 

 Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -TargetDomainCredential $credential

Если разрешения задаются вручную, необходимо убедиться, что свойства чтения, записи, создания и удаления всех свойств для всех объектов потомков и пользовательских объектов.

Эти разрешения не применяются к объектам AdminSDHolder по умолчанию

Командлеты Microsoft Entra provisioning agent gMSA PowerShell

  • Агент подготовки должен иметь возможность взаимодействовать с одним или несколькими контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.
  • Microsoft Entra Connect с сборкой 2.2.8.0 или более поздней.
    • Требуется для поддержки локального членства пользователей, синхронизированных с помощью Microsoft Entra Connect.
    • Требуется для синхронизации AD:user:objectGUID с Microsoft Entra ID:user:onPremisesObjectIdentifier.

Поддерживаемые группы

Для этого сценария поддерживаются только следующие группы:

  • Поддерживаются только созданные облаком группы безопасности
  • Назначенные или динамические группы членства
  • Содержит только локальных синхронизированных пользователей и (или) созданных в облаке групп безопасности
  • Локальные учетные записи пользователей, которые синхронизированы и являются членами этой созданной облачной группы безопасности, могут быть из одного домена или между доменами, но все они должны быть из одного леса.
  • Записывается обратно с помощью области групп AD универсальной. Локальная среда должна поддерживать универсальную область группы.
  • Не более 50 000 членов
  • Каждая прямая дочерние вложенные группы подсчитывается как один член в группе ссылок

Поддерживаемые сценарии

В следующих разделах рассматриваются сценарии, которые поддерживаются при подготовке группы синхронизации облака.

Настройка поддерживаемых сценариев

Если вы хотите контролировать возможность подключения пользователя к приложению Active Directory, использующего проверка подлинности Windows, можно использовать прокси приложения и группу безопасности Microsoft Entra. Если приложение проверяет членство пользователей в группах AD через Kerberos или LDAP, вы можете использовать подготовку группы облачной синхронизации, чтобы убедиться, что пользователь AD имеет эти членства в группах, прежде чем пользователь обращается к приложениям.

В следующих разделах рассматриваются два варианта сценария, которые поддерживаются при подготовке группы облачной синхронизации. Параметры сценария предназначены для обеспечения того, чтобы пользователи, назначенные приложению, имели членство в группах при проверке подлинности в приложении.

  • Создайте новую группу и обновите приложение, если оно уже существует, чтобы проверить наличие новой группы или
  • Создайте новую группу и обновите существующие группы, приложение проверяло, чтобы включить новую группу в качестве члена.

Прежде чем начать, убедитесь, что вы являетесь администратором домена в домене, где установлено приложение. Убедитесь, что вы можете войти в контроллер домена или установить средства удаленного администрирования сервера для администрирования служб домен Active Directory (AD DS) на компьютере с Windows.

Настройка нового параметра групп

В этом сценарии вы обновляете приложение, чтобы проверить идентификатор безопасности, имя или различающееся имя новых групп, созданных при подготовке группы облачной синхронизации. Этот сценарий применим к следующему:

  • Развертывания для новых приложений, подключенных к AD DS в первый раз.
  • Новые когорты пользователей, обращаюющихся к приложению.
  • Для модернизации приложений необходимо уменьшить зависимость от существующих групп AD DS. Приложения, которые в настоящее время проверяют членство в Domain Admins группе, необходимо обновить, чтобы также проверить наличие недавно созданной группы AD.

Выполните следующие действия, чтобы приложения использовали новые группы.

Создание приложения и группы

  1. С помощью Центра администрирования Microsoft Entra создайте приложение в Идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если вы используете прокси приложения, чтобы разрешить пользователям подключаться к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите Пользователи и компьютеры Active Directory и дождитесь создания результирующей новой группы AD в домене AD. Когда он присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. Если приложение использует AD через LDAP, настройте приложение с различающееся имя новой группы AD. Если приложение использует AD через Kerberos, настройте приложение с идентификатором безопасности или доменом и именем учетной записи новой группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В службе управления правами назначьте синхронизированных пользователей, которым требуется доступ к приложению на основе AD, пакету доступа.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
  5. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Теперь вы можете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Настройка существующего параметра групп

В этом сценарии вы добавите новую группу безопасности AD в качестве вложенного члена группы существующей группы. Этот сценарий применим к развертываниям для приложений, имеющих жестко закодированную зависимость от определенного имени учетной записи группы, идентификатора безопасности или различающегося имени.

Вложение этой группы в существующие группы AD приложений позволит:

  • Пользователи Microsoft Entra, назначенные функцией управления, а затем получают доступ к приложению, чтобы получить соответствующий билет Kerberos. Этот билет содержит существующий идентификатор безопасности групп. Вложение допускается правилами вложения группы AD.

Если приложение использует LDAP и следует за членством в вложенных группах, приложение увидит пользователей Microsoft Entra как имеющуюся группу как одну из своих членов.

Определение право на наличие существующей группы

  1. Запустите Пользователи и компьютеры Active Directory и запишите различающееся имя, тип и область существующей группы AD, используемой приложением.
  2. Если существующая группа Domain Adminsимеет значение , Domain UsersDomain Guests, Enterprise AdminsKey AdminsProtected UsersEnterprise Key AdminsGroup Policy Creation Ownersили Schema Admins, необходимо изменить приложение для использования новой группы, как описано выше, так как эти группы не могут использоваться облачной синхронизацией.
  3. Если группа имеет глобальную область, измените группу на универсальную область. Глобальная группа не может иметь универсальные группы в качестве членов.

Создание приложения и группы

  1. В Центре администрирования Microsoft Entra создайте приложение в идентификаторе Microsoft Entra, представляющее приложение на основе AD, и настройте приложение, чтобы требовать назначения пользователей.
  2. Если прокси приложения используется для включения подключения пользователей к приложению, настройте прокси приложения.
  3. Создайте новую группу безопасности в идентификаторе Microsoft Entra.
  4. Используйте групповую подготовку в AD для подготовки этой группы в AD.
  5. Запустите Пользователи и компьютеры Active Directory и дождитесь создания новой группы AD в домене AD, когда она присутствует, запишите различающееся имя, домен, имя учетной записи и идентификатор безопасности новой группы AD.

Настройка приложения для использования новой группы

  1. С помощью Пользователи и компьютеры Active Directory добавьте новую группу AD в качестве члена существующей группы AD.
  2. Создайте пакет доступа. Добавьте приложение из #1, группу безопасности из #3 в качестве ресурсов в пакете доступа. Настройте политику прямого назначения в пакете доступа.
  3. В службе управления правами назначьте синхронизированным пользователям, которым требуется доступ к приложению на основе AD, пакету доступа, включая всех пользователей существующей группы AD, которым по-прежнему нужен доступ.
  4. Дождитесь обновления новой группы AD новыми участниками. С помощью Пользователи и компьютеры Active Directory убедитесь, что правильные пользователи присутствуют в качестве членов группы.
  5. Используя Пользователи и компьютеры Active Directory, удалите существующие члены, кроме новой группы AD, существующей группы AD.
  6. В мониторинге домена AD разрешите только учетную запись gMSA, которая запускает агент подготовки, авторизацию, чтобы изменить членство в новой группе AD.

Затем вы сможете управлять доступом к приложению AD с помощью этого нового пакета доступа.

Устранение неполадок

Пользователь, который является членом новой группы AD и находится на компьютере с Windows, уже вошедшим в домен AD, может иметь существующий билет, выданный контроллером домена AD, который не включает новое членство в группе AD. Это связано с тем, что запрос, возможно, был выдан до подготовки группы облачной синхронизации, добавив их в новую группу AD. Пользователь не сможет представить билет для доступа к приложению, и поэтому должен ждать истечения срока действия билета и нового билета, выданного, или очистить свои билеты, выйти и войти обратно в домен. Дополнительные сведения см. в команде klist .

Существующие клиенты группы Microsoft Entra Connect версии 2

Если вы используете обратную запись группы Microsoft Entra Connect версии 2, необходимо перейти к подготовке облачной синхронизации в AD, прежде чем воспользоваться преимуществами подготовки группы облачной синхронизации. См. раздел "Миграция группы синхронизации Microsoft Entra Connect" версии 2 в Microsoft Entra Cloud Sync

Next Steps