阅读有关使用 Microsoft Entra Cloud Sync 预配到 Active Directory 的常见问题。
将组预配到 Active Directory
Microsoft Entra Cloud Sync 中的群组预配是否可以与其他 Microsoft Entra Connect 同步功能同时运行?
是的,您可以仅仅使用 Microsoft Entra Cloud Sync 将安全组预配到 AD,同时使用 Connect Sync 将 AD 同步至 Microsoft Entra ID。 可以使用 Microsoft Entra Cloud Sync 和 Group Provisioning to AD 将包含用户通过 Microsoft Entra Connect Sync 同步的任何云安全组预配到 Active Directory。
例如,如果有两个用户(用户 A 和用户 B)是 Active Directory 域服务用户,并且已与 Microsoft Entra Connect Sync 同步到 Microsoft Entra ID 同步,则可以在名为 SecurityGroup A 的 Microsoft Entra ID 中创建云安全组。然后,可以使用 Microsoft Entra Cloud Sync - Group Provisioning to Active Directory 将此组预配回 AD DS。
我使用 Microsoft Entra Connect Sync 中的组写回功能将 Microsoft 365 组预配到 AD。这个功能会继续有效吗?
是的,从 Connect Sync 配置卸载或禁用组写回 V2 时,默认为组写回 V1。 此默认值支持在 Microsoft Entra ID 中写回所有Microsoft 365 组的功能。
如果我想同时禁用组写回 V1,该怎么办?
禁用 Group Writeback V1 后,下一次完全同步将删除所有由 Microsoft Entra Connect Sync 写入到 Active Directory 的组。 使用 Microsoft Entra Cloud Sync 预配的云安全组不会受到此操作的影响。
是否可以继续通过 MS Graph 和 Microsoft Entra 管理中心使用“组写回”字段,以便使用 Microsoft Entra Cloud Sync 将范围内的组预配到 AD?
否,此字段当前不用于确定通过云同步预配到 AD 的组的范围。您必须在门户中使用 Microsoft Entra Cloud Sync 的配置体验来设置范围。 有关详细信息,请参阅 在 Active Directory 中使用目录扩展进行组预配。
如果我按照《迁移 Microsoft Entra Connect 同步组写回 V2 到 Microsoft Entra Cloud Sync》中的步骤进行操作,这会影响我使用 Microsoft Entra Connect 从 Active Directory 同步到 Microsoft Entra ID 吗?
否,按照从组写回 V2 迁移到 Microsoft Entra 云同步的迁移步骤不会影响 AD 与 Microsoft Entra ID 之间的同步。
AD 组强制实施(预览版)
AD 组强制执行支持哪些对象类型?
此预览版中支持组。 不支持用户,但 AD 团队计划在将来的版本中添加对用户的支持。
安装预配代理后,是否会对我的所有 Active Directory 对象启用强制执行?
No. 除了在主域控制器模拟器(PDCe)上安装策略之外,还必须将每个组显式标记为在范围内。 在向 Active Directory 进行组预配时,配置属性映射,以便为要保护的组设置 msDS-ObjectSoa 属性。 未设置属性集的组不会被强制执行。
是否可以为受保护组的紧急更改定义一个破窗帐户?
是的。 可以将授权用户或组的安全标识符(SID)添加到策略,以便在预配服务不可用时,帐户可以更改强制执行的组。 有关详细信息,请参阅强制 Active Directory 组更改仅来自 Microsoft Entra。
如果组 A 被标记为强制,是否可以将其添加为未标记为强制的 B 组的成员?
是的。 组 A 可以添加为 B 组的成员。但是,对 A 组成员的更改仍只能由预配服务进行。
如果在未启用 AD 组强制的域控制器上进行更改,会发生什么情况?
更改已处理。 若要在整个域中完全强制实施,每个域控制器都必须启用该功能,方法是安装累积Windows Server更新和匹配的组策略 MSI,或者运行已启用该功能的 Windows Server Insider Preview 版本。
此功能如何更改Active Directory基于角色的访问控制(RBAC)模型?
AD 组强制执行是对现有 RBAC 模型的补充。 它会在现有角色分配的基础上设置另一个限制,而无需授予任何用户额外的访问权限。
启用该策略需要哪种角色?
需要域管理员才能运行在 PDCe 角色域控制器上安装策略的 PowerShell 脚本。
如何在事件日志中查看强制事件?
若要查看审核模式事件,请将 PDCe 上的安全诊断注册表值设置为 1 。 然后,审核的更改将显示在该域控制器上的目录服务事件日志中。 有关详细信息,请参阅 AD 和 LDS 诊断事件日志记录。