Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit der Veröffentlichung des Bereitstellungs-Agents 1.1.1370.0 hat die Cloudsynchronisierung jetzt die Möglichkeit, Gruppenrückschreiben durchzuführen. Diese Funktion ermöglicht es, dass die Cloudsynchronisierung Gruppen direkt in Ihrer lokalen Active Directory-Umgebung bereitstellt. Sie können jetzt auch Identitätsgovernancefeatures verwenden, um den Zugriff auf AD-basierte Anwendungen zu steuern, z. B. indem Sie eine Gruppe in ein Berechtigungsverwaltungszugriffspaket einschließen.
Wichtig
Die Vorschau von Group Writeback v2 in Microsoft Entra Connect Sync ist veraltet und wird nicht mehr unterstützt.
Sie können Microsoft Entra Cloud Sync verwenden, um Cloudsicherheitsgruppen für lokale Active Directory Domain Services (AD DS) bereitzustellen.
Wenn Sie Group Writeback v2 in Microsoft Entra Connect Sync verwenden, sollten Sie Ihren Synchronisierungsclient auf Microsoft Entra Cloud Sync umstellen. Um zu überprüfen, ob Sie für den Wechsel zu Microsoft Entra Cloud Sync berechtigt sind, verwenden Sie den Synchronisierungsassistenten.
Wenn Sie Microsoft Cloud Sync nicht wie vom Assistenten empfohlen verwenden können, können Sie Microsoft Entra Cloud Sync parallel mit der Microsoft Entra Connect-Synchronisierung ausführen. In diesem Fall können Sie Microsoft Entra Cloud Sync nur ausführen, um Cloudsicherheitsgruppen für lokale AD DS-Instanzen bereitzustellen.
Wenn Sie Microsoft 365 Gruppen für AD DS bereitstellen, können Sie "Group Writeback v1" weiterhin verwenden.
Bereitstellen Microsoft Entra ID für Active Directory Domain Services – Voraussetzungen
Die folgenden Voraussetzungen sind erforderlich, um Bereitstellungsgruppen für Active Directory Domain Services (AD DS) zu implementieren.
Lizenzanforderungen
Für die Verwendung dieses Features sind Microsoft Entra ID P1-Lizenzen erforderlich. Informationen zur richtigen Lizenz für Ihre Anforderungen finden Sie unter Vergleichen Sie die allgemein verfügbaren Funktionen von Microsoft Entra ID.
Allgemeine Anforderungen
- Microsoft Entra-Konto mit mindestens der Rolle Hybrid Identity Administrator.
- Lokales AD DS-Schema mit dem msDS-ExternalDirectoryObjectId-Attribut, das in Windows Server 2016 und höher verfügbar ist.
- Bereitstellungs-Agent mit Buildversion 1.1.3730.0 oder höher.
Hinweis
Die Berechtigungen für das Dienstkonto werden lediglich bei der sauberen Installation zugewiesen. Wenn Sie ein Upgrade von der vorherigen Version durchführen, müssen Berechtigungen mithilfe von PowerShell manuell zugewiesen werden:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Wenn die Berechtigungen manuell festgelegt werden, müssen Sie alle Eigenschaften "Lesen", "Schreiben", "Erstellen" und "Löschen" für alle untergeordneten Gruppen und Benutzerobjekte zuweisen.
Diese Berechtigungen werden standardmäßig nicht auf AdminSDHolder-Objekte angewendet. Weitere Informationen finden Sie unter Microsoft Entra Bereitstellungs-Agent gMSA PowerShell-Cmdlets.
- Der Bereitstellungs-Agent muss auf einem Server installiert sein, auf dem Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausgeführt werden.
- Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
- Erforderlich für die Suche im globalen Katalog zum Herausfiltern ungültiger Mitgliedschaftsverweise
- Microsoft Entra Connect Synchronisierung mit der Buildversion 2.2.8.0
- Erforderlich, um die lokale Benutzermitgliedschaft zu unterstützen, die mit Microsoft Entra Connect-Synchronisierung synchronisiert wurde
- Erforderlich für die Synchronisierung
AD DS:user:objectGUIDmitAAD DS:user:onPremisesObjectIdentifier
Skalierungsgrenzwerte für Bereitstellungsgruppen auf Active Directory
Die Leistung der Gruppenbereitstellungsfunktion für Active Directory wird durch die Größe des Mandanten sowie die Anzahl der Gruppen und Mitgliedschaften beeinflusst, die für die Bereitstellung in Active Directory vorgesehen sind. Dieser Abschnitt enthält Anleitungen zum Ermitteln, ob GPAD Ihre Skalierungsanforderung unterstützt, und wie Sie den richtigen Gruppenbereichsdefinitionsmodus auswählen, um schnellere anfängliche und Delta-Synchronisierungszyklen zu erzielen.
Was wird nicht unterstützt?
- Gruppen, die größer als 50K-Mitglieder sind, werden nicht unterstützt.
- Die Verwendung der Bereichsdefinition "Alle Sicherheitsgruppen" ohne Anwenden der Attributbereichsfilterung wird nicht unterstützt.
Skalierungslimits
| Bereichsdefinitionsmodus | Anzahl der Gruppen im Geltungsbereich | Anzahl der Mitgliedschaftslinks (nur direkte Mitglieder) | Hinweise |
|---|---|---|---|
| Modus "Ausgewählte Sicherheitsgruppen" | Bis zu 10.000 Gruppen. Der CloudSync-Bereich in Microsoft Entra Portal ermöglicht nur die Auswahl von bis zu 999 Gruppen sowie das Anzeigen von bis zu 999 Gruppen. Wenn Sie mehr als 1000 Gruppen zum Bereich hinzufügen müssen, lesen Sie: Erweiterte Gruppenauswahl über API. | Bis zu 250 Tsd. Gesamtmitglieder in allen Gruppen im Anwendungsbereich. | Verwenden Sie diesen Scoping-Modus, wenn Ihr Mandant irgendeinen dieser Grenzwerte überschreitet. 1. Der Mandant verfügt über mehr als 200.000 Benutzer. 2. Der Mieter verfügt über mehr als 40.000 Gruppen 3. Der Mandant verfügt über mehr als 1 Million Gruppenmitgliedschaften. |
| Modus "Alle Sicherheitsgruppen" mit mindestens einem Attributebereichsfilter. | Bis zu 20.000 Gruppen. | Bis zu 500.000 Gesamtmitglieder in allen Gruppen im Geltungsbereich. | Verwenden Sie diesen Erfassungsmodus, wenn Ihr Mandant ALLE folgenden Grenzwerte erfüllt: 1. Der Mandant hat weniger als 200.000 Benutzer. 2. Der Mandant hat weniger als 40.000 Gruppen. 3. Der Mandant verfügt über weniger als 1 Million Gruppenmitgliedschaften. |
Was zu tun ist, wenn Sie Grenzwerte überschreiten
Wenn Sie die empfohlenen Grenzwerte überschreiten, wird die anfängliche und delta-Synchronisierung verlangsamt, was möglicherweise zu Synchronisierungsfehlern führt. Führen Sie in diesem Fall die folgenden Schritte aus:
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Ausgewählte Sicherheitsgruppen":
Verringern Sie die Anzahl von In-Scope-Gruppen (Zielgruppen mit höheren Werten ), oder teilen Sie die Bereitstellung in mehrere, unterschiedliche Aufträge mit nicht zusammenhängenden Bereichen auf.
Zu viele Gruppen oder Gruppenmitglieder im Bereichsdefinitionsmodus "Alle Sicherheitsgruppen":
Verwenden Sie den Bereichsdefinitionsmodus für ausgewählte Sicherheitsgruppen wie empfohlen.
Einige Gruppen überschreiten 50K-Mitglieder:
Teilen Sie die Mitgliedschaft über mehrere Gruppen hinweg, oder übernehmen Sie mehrstufige Gruppen (z. B. nach Region oder Geschäftseinheit), um jede Gruppe unter der Obergrenze zu halten.
Erweiterte Gruppenauswahl über API
Wenn Sie mehr als 999 Gruppen auswählen müssen, müssen Sie das Grant an appRoleAssignment für einen Dienstprinzipal-API-Aufruf verwenden.
Ein Beispiel für die API-Aufrufe lautet wie folgt:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
wo:
- principalId: Gruppenobjekt-ID.
- resourceId: Dienstprinzipal-ID des Auftrags.
- appRoleId: Bezeichner der App-Rolle, die vom Ressourcendienstprinzipal verfügbar gemacht wird.
Die folgende Tabelle enthält eine Liste der App-Rollen-IDs für Clouds:
| Wolke | appRoleId |
|---|---|
| Öffentlichkeit | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Mehr Informationen
Hier sind weitere Punkte zu berücksichtigen, wenn Sie Gruppen für AD DS bereitstellen.
- Gruppen, die mit Cloud Sync für AD DS bereitgestellt werden, können nur lokale synchronisierte Benutzer oder andere in der Cloud erstellte Sicherheitsgruppen enthalten.
- Diese Benutzer müssen das onPremisesObjectIdentifier-Attribut für ihr Konto festgelegt haben.
- Der onPremisesObjectIdentifier muss mit einer entsprechenden ObjectGUID in der AD DS-Zielumgebung übereinstimmen.
- Ein lokales BenutzerobjektGUID-Attribut kann mithilfe eines Synchronisierungsclients mit einem Cloudbenutzer-onPremisesObjectIdentifier-Attribut synchronisiert werden.
- Nur globale Microsoft Entra ID-Mandanten können von Microsoft Entra ID zu AD DS provisionieren. Mandanten wie B2C werden nicht unterstützt.
- Für den Gruppenbereitstellungsauftrag ist eine Ausführung alle 20 Minuten geplant.
Unterstützte Szenarien für Gruppenrückschreiben mit Microsoft Entra Cloud Sync
In den folgenden Abschnitten werden die unterstützten Szenarien für das Gruppenrückschreiben mit Microsoft Entra Cloud Sync beschrieben.
- Migrieren Sie Microsoft Entra Connect Sync Group Writeback V2 zu Microsoft Entra Cloud Sync
- Verwalten Sie lokale Active-Directory-basierte Apps (Kerberos) mit Microsoft Entra ID Governance
Migrieren Microsoft Entra Connect Sync Group Writeback V2 zu Microsoft Entra Cloud Sync
Scenario: Migrieren des Gruppenrückschreibens mithilfe von Microsoft Entra Connect Sync (ehemals Azure AD Connect) zum Microsoft Entra Cloud Sync. Dieses Szenario ist only für Kunden, die derzeit Microsoft Entra Connect-Gruppenrückschreiben v2 verwenden. Der in diesem Artikel beschriebene Prozess bezieht sich lediglich auf in der Cloud erstellte Sicherheitsgruppen, die mit dem Bereich „Universell“ zurückgeschrieben werden. E-Mail-aktivierte Gruppen und DLs, die mithilfe des Microsoft Entra Connect-Gruppenrückschreibens V1 oder V2 zurückgeschrieben werden, werden nicht unterstützt.
Weitere Informationen finden Sie unter Migrate Microsoft Entra Connect Sync group writeback V2 to Microsoft Entra Cloud Sync.
Steuern on-premises Active Directory basierte Anwendungen (Kerberos) mithilfe von Microsoft Entra ID Governance
Scenario: Verwalten lokaler Anwendungen mit Active Directory Gruppen, die aus der Cloud bereitgestellt und verwaltet werden. Microsoft Entra Cloud Sync ermöglicht es Ihnen, Anwendungszuweisungen in AD vollständig zu steuern und gleichzeitig Microsoft Entra ID Governance Features zu nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu beheben.
Weitere Informationen finden Sie unter Verwalten von lokalen Active Directory-basierten Apps (Kerberos) mithilfe von Microsoft Entra ID Governance.
Nächste Schritte
- Gruppen in Active Directory bereitstellen unter Verwendung von Microsoft Entra Cloud Sync
- Verwalten Sie On-Premises-Apps, die auf Active Directory (Kerberos) basieren, mit Microsoft Entra ID Governance
- Migrieren Sie Microsoft Entra Connect Sync Group Writeback V2 zu Microsoft Entra Cloud Sync
- Eingrenzungsfilter und Attributzuordnung - Microsoft Entra ID zu Active Directory