Microsoft Entra Cloud Sync ile grup geri yazma

Sağlama aracısı 1.1.1370.0 sürümüyle bulut eşitleme artık grup geri yazma işlemi gerçekleştirebilir. Bu özellik, bulut eşitlemenin grupları doğrudan şirket içi Active Directory ortamınıza sağlayabileceğiniz anlamına gelir. Artık ad yönetimi erişim paketine bir grup eklemek gibi AD tabanlı uygulamalara erişimi yönetmek için kimlik idaresi özelliklerini de kullanabilirsiniz.

Active Directory'ye Microsoft Entra Kimliği Sağlama - Önkoşullar

Active Directory'ye sağlama grupları uygulamak için aşağıdaki önkoşullar gereklidir.

Lisans gereksinimleri

Bu özelliği kullanmak için Microsoft Entra ID P1 lisansları gerekir. Gereksinimleriniz için doğru lisansı bulmak için bkz . Microsoft Entra Id'nin genel kullanıma sunulan özelliklerini karşılaştırma.

Genel gereksinimler

• En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
• Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Derleme sürümü 1.1.1370.0 veya üzeri olan sağlama aracısı.

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• Sağlama aracısı TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarında bir veya daha fazla etki alanı denetleyicisiyle iletişim kurabilmelidir.
  • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir
• Derleme sürümü 2.2.8.0 veya üzeri ile Microsoft Entra Connect Sync
  • Microsoft Entra Connect Sync kullanılarak eşitlenen şirket içi kullanıcı üyeliğini desteklemek için gereklidir
  • AD:user:objectGUID öğesini AAD:user:onPremisesObjectIdentifier ile eşitlemek için gereklidir

Desteklenen gruplar ve ölçek sınırları

Aşağıdakiler desteklenir:

• Yalnızca bulut tarafından oluşturulan Güvenlik grupları desteklenir
• Bu grupların atanmış veya dinamik üyelik grupları olabilir.
• Bu gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Eşitlenen ve bulut tarafından oluşturulan bu güvenlik grubunun üyesi olan şirket içi kullanıcı hesapları aynı etki alanından veya etki alanları arasında olabilir, ancak hepsinin aynı ormandan olması gerekir.
• Bu gruplar, evrensel AD grupları kapsamıyla geri yazılır. Şirket içi ortamınız evrensel grup kapsamını desteklemelidir.
• 50.000'den büyük üyeler desteklenmez.
• 150.000'den fazla nesnesi olan kiracılar desteklenmez. Başka bir deyişle, kiracının 150.000'i aşan kullanıcı ve grupların birleşimi varsa, kiracı desteklenmez.
• İç içe yerleştirilmiş her doğrudan alt grup, başvuru grubunda bir üye olarak sayılır
• Grup Active Directory'de el ile güncelleştirildiyse, Microsoft Entra Id ile Active Directory arasındaki grupların mutabakatı desteklenmez.

Ek bilgiler

Active Directory'ye grup sağlama hakkında ek bilgiler aşağıdadır.

• Bulut eşitlemesi kullanılarak AD'ye sağlanan gruplar yalnızca şirket içi eşitlenmiş kullanıcıları ve/veya bulut tarafından oluşturulan ek güvenlik gruplarını içerebilir.
• Bu kullanıcıların hesaplarında onPremisesObjectIdentifier özniteliği ayarlanmış olmalıdır.
• onPremisesObjectIdentifier, hedef AD ortamında karşılık gelen objectGUID ile eşleşmelidir.
• Şirket içi kullanıcılar objectGUID özniteliği, Microsoft Entra Cloud Sync (1.1.1370.0) veya Microsoft Entra Connect Sync (2.2.8.0) kullanılarak eşitlenebilir
• Kullanıcıları eşitlemek için Microsoft Entra Cloud Sync yerine Microsoft Entra Connect Sync (2.2.8.0) kullanıyorsanız ve AD'de Sağlama'yı kullanmak istiyorsanız, 2.2.8.0 veya üzeri olmalıdır.
• Microsoft Entra Id'den Active Directory'ye sağlama için yalnızca normal Microsoft Entra Id kiracıları desteklenir. B2C gibi kiracılar desteklenmez.
• Grup sağlama işi her 20 dakikada bir çalışacak şekilde zamanlanır.

Microsoft Entra Cloud Sync ile grup geri yazma için desteklenen senaryolar

Aşağıdaki bölümlerde, Microsoft Entra Cloud Sync ile grup geri yazma için desteklenen senaryolar açıklanmaktadır.

• Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme
• Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme

Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme

Senaryo: Microsoft Entra Connect Sync'i (eski adıyla Azure AD Connect) kullanarak grup geri yazmayı Microsoft Entra Cloud Sync'e geçirin. Bu senaryo yalnızca şu anda Microsoft Entra Connect grup geri yazma v2 kullanan müşteriler içindir. Bu belgede özetlenen işlem yalnızca evrensel bir kapsamla geri yazılan bulut tarafından oluşturulan güvenlik gruplarıyla ilişkilidir. Microsoft Entra Connect grubu geri yazma V1 veya V2 kullanılarak geri yazılan posta etkin gruplar ve DLL'ler desteklenmez.

Daha fazla bilgi için bkz . Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme.

Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme

Senaryo: Bulutta sağlanan ve yönetilen Active Directory gruplarıyla şirket içi uygulamaları yönetin. Microsoft Entra Cloud Sync, AD'deki uygulama atamalarını tam olarak yönetmenize olanak tanırken, erişimle ilgili istekleri denetlemek ve düzeltmek için Microsoft Entra Kimlik Yönetimi özelliklerden yararlanır.

Daha fazla bilgi için bkz. Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme.

Sonraki adımlar

• Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama
• Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme
• Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme