在权限管理中设置组写回

本文说明了如何在权限管理中设置组写回功能。 借助组写回功能，可以使用 Microsoft Entra 云同步将云组写回到本地 Active Directory 实例。

在授权管理中设置组写回

若要在访问包中为 Microsoft 365 组设置组写回，您需要满足以下先决条件：

• 在 Microsoft Entra 管理中心设置组写回功能。
• 用于在 Microsoft Entra 云同步配置中设置组写回的组织单位 (OU)。
• 完成 Microsoft Entra 云同步的组写回启用步骤。

使用组写回功能，您现在可以将属于访问包的安全组同步到本地部署的 Active Directory。 要同步组，请按以下步骤操作：

1. 创建 Microsoft Entra 安全组。

2. 将组设置为同步回本地 Active Directory。 有关说明，请参阅 Microsoft Entra 管理中心的组写回。

3. 在访问包中将组添加为资源角色。 有关指南，请参阅创建新的访问包。

4. 启动 Active Directory 用户和计算机，并等待在 AD 域中创建生成的新 AD 组。 记录新 AD 组的可分辨名称、域、帐户名称和 SID（如果有）。

5. 通过更新应用程序或将组添加为现有组的成员，将应用程序配置为使用新组，如使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos) 中所述。

6. 将标识分配给访问包。 有关直接分配用户的说明，请参阅查看、添加和删除访问包的分配。

7. 将用户身份分配给访问包后，待 Microsoft Entra Cloud Sync 周期完成，确认该用户已成为本地组的成员。

   1. 在本地 OU OR 中查看组的成员属性
   2. 查看用户对象的成员。

   注意

   Microsoft Entra Cloud Sync 的默认同步周期为每 30 分钟一次。 可能需要等到下一个周期发生才能在本地查看结果，或者选择手动运行同步周期以便更快地查看结果。

8. 在您的 AD 域监控中，仅允许运行配置代理程序的 gMSA 帐户才有权更改新 AD 组中的成员身份。

后续步骤

• 在权利管理中创建和管理资源目录
• 将访问治理委托给权利管理中的访问包管理者