教學課程:使用 Microsoft Entra Cloud Sync 將群組佈建至 Active Directory
本教學課程將逐步引導您建立和設定雲端同步,以將群組同步至內部部署的 Active Directory。
將 Microsoft Entra ID 佈建至 Active Directory:必要條件
若要將佈建群組實作至 Active Directory,需要下列必要條件。
授權需求
使用此功能需要 Microsoft Entra ID P1 授權。 若要尋找適合您需求的授權,請參閱比較 Microsoft Entra ID 正式推出的功能。
一般需求
- 至少具有 [混合式身分識別管理員] 角色的 Microsoft Entra 帳戶。
- 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory Domain Services 環境。
- AD 結構描述的必要屬性:msDS-ExternalDirectoryObjectId
- 使用組建版本 1.1.1370.0 或更新版本的佈建代理程式。
注意
僅在全新安裝期間指派服務帳戶的權限。 若要從舊版升級,則必須使用 PowerShell Cmdlet 手動指派權限:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
若要手動設定權限,您需要確保您可讀取、寫入、建立和刪除所有子系群組和使用者物件的所有屬性。
根據預設,這些權限不會套用至 AdminSDHolder 物件 Microsoft Entra 佈建代理程式 gMSA PowerShell Cmdlet
- 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的一或多個網域控制站進行通訊。
- 需要進行通用類別目錄查詢,篩選掉無效成員資格參考
- 組建版本 2.2.8.0 或更新版本的 Microsoft Entra Connect Sync
- 需要支援使用 Microsoft Entra Connect Sync 同步的內部部署使用者成員資格
- 需要將 AD:user:objectGUID 同步到 AAD:user:onPremisesObjectIdentifier
支援的群組和調整限制
支援下列功能:
- 僅支援雲端建立的安全性群組
- 這些群組可以獲指派或具備動態成員資格。
- 這些群組只能包含內部部署同步的使用者及/或其他雲端建立的安全性群組。
- 已同步並且是此雲端建立的安全性群組的成員的內部部署使用者帳戶,可來自同一網域或跨網域,但必須全部來自相同樹系。
- 這些群組會以通用 AD 群組範圍寫回。 內部部署環境必須支援通用群組範圍。
- 不支援擁有超過 50,000 位成員的群組。
- 不支援擁有超過 150,000 個物件的租用戶。 這表示,如果租用戶的任何使用者和群組組合具有超過 150,000 個物件,則不支援租用戶。
- 每個直接子巢狀群組都會計算為參考群組中的一位成員
- 如果群組在 Active Directory 中手動更新,則不支援 Microsoft Entra ID 與 Active Directory 之間的群組核對。
其他資訊
以下是將群組佈建至 Active Directory 的其他資訊。
- 使用雲端同步佈建至 AD 的群組只能包含內部部署同步的使用者和/或其他雲端建立的安全性群組。
- 這些使用者必須在其帳戶上設定 onPremisesObjectIdentifier 屬性。
- onPremisesObjectIdentifier 必須符合目標 AD 環境中的對應 objectGUID。
- 內部部署使用者 objectGUID 屬性可透過 Microsoft Entra Cloud Sync (1.1.1370.0) 或 Microsoft Entra Connect Sync (2.2.8.0) 來同步至雲端使用者 onPremisesObjectIdentifier 屬性
- 若不是使用 Microsoft Entra Cloud Sync,而是使用 Microsoft Entra Connect Sync (2.2.8.0) 來同步使用者,並且想要使用佈建至 AD,就必須使用 2.2.8.0 或更新版本。
- 只有一般 Microsoft Entra ID 租用戶支援從 Microsoft Entra ID 向 Active Directory 佈建。 不支援 B2C 等租用戶。
- 群組佈建工作排程為每 20 分鐘執行一次。
假設
本教學課程假設您已句備下列條件:
- 您有 Active Directory 內部部署環境
- 您有雲端同步設定,可將使用者同步至 Microsoft Entra ID。
- 您有兩個已同步的使用者。 Britta Simon 和 Lola Jacobson。 這些使用者存在於內部部署和 Microsoft Entra ID 中。
- Active Directory 中已有建立三個組織單位:Groups、Sales 和 Marketing。 它們具有下列 distinguishedNames:
- OU=Marketing,DC=contoso,DC=com
- OU=Sales,DC=contoso,DC=com
- OU=Groups,DC=contoso,DC=com
在 Microsoft Entra ID 中建立兩個群組。
若要開始作業,在 Microsoft Entra ID 中建立兩個群組。 其中一個群組是 Sales,而另一個群組是 Marketing。
若要建立兩個群組,請遵循下列步驟。
- 至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[群組]>[所有群組]。
- 按下頂端的 [新群組]。
- 請確定 [群組類型] 已設為 [安全性]。
- 對於 [群組名稱],請輸入 [銷售]
- 對於 [會員資格類型],請將其保留為已指派。
- 按下 [建立]。
- 使用 [行銷] 作為 [群組名稱],並重複此流程。
將使用者新增至新建立的群組
- 至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[群組]>[所有群組]。
- 在頂端的搜尋框中,輸入 "Sales"。
- 按下新的 [銷售] 群組。
- 按下左側的 [成員]
- 按下頂端的 [新增成員]。
- 在頂端的搜尋框中,輸入 "Britta Simon"。
- 在 "Britta Simon" 旁邊放置核取記號,然後按下 [選取]
- 就可以成功將她新增至群組。
- 在最左側,按下 [所有群組],然後使用 Sales 群組並將 Lola Jacobson 新增至該群組來重複此程序。
設定佈建
若要設定佈建,請遵循下列步驟。
- 至少以混合式系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
選取 [新增設定]。
選取 [Microsoft Entra ID 至 AD 同步]。
在設定畫面上選取您的網域,以及是否啟用密碼雜湊同步。按下 [建立]。
[開始] 畫面會隨即開啟。 您可以從這裡繼續設定雲端同步
按下左側的 [範圍篩選條件]。
在 [群組範圍] 底下,設定為 [所有安全性群組]
在 [目標容器] 下,按下 [編輯屬性對應]。
將 [對應類型] 變更為運算式
在運算式方塊中,輸入下列項目:
Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")將 [預設值] 變更為 OU=Groups,DC=contoso,DC=com。
按下 [套用]:系統會根據群組 displayName 屬性來變更目標容器。
按下 [儲存]
按下左側的 [概觀]
按下頂端的 [檢閱並啟用]
按下右側的 [啟用設定]
測試組態
注意
使用隨選佈建時,系統不會自動佈建成員。 您必須選取要測試的成員,限制最多 5 位。
- 至少以混合式系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
在 [設定] 底下,選取您的設定。
選取左側的 [隨選佈建]。
在 [選取的群組] 方塊中輸入 Sales
從 [選取的使用者] 區段中,選取要測試的幾位使用者。
按下 [佈建]。
您應該會看到已佈建的群組。
在 Active Directory 中驗證
現在您可以確定群組已佈建至 Active Directory。
執行下列操作:
- 登入您的內部部署環境。
- 啟動 [Active Directory 使用者和電腦]
- 確認已佈建新群組。
