在权利管理中设置组写回

本文展示了如何在权利管理中设置组写回。 借助组写回功能,可以使用 Microsoft Entra Connect 同步将云组写回到本地 Active Directory 实例。

在权利管理中设置组写回

若要在访问包中为 Microsoft 365 组设置组写回,必须满足以下先决条件:

  • 在 Microsoft Entra 管理中心设置组回写。
  • 用于在 Microsoft Entra Connect 配置中设置组写回的组织单位 (OU)。
  • 完成 Microsoft Entra Connect 的组写回启用步骤

使用组写回,现在可以将属于访问包的安全组同步到本地 Active Directory。 若要同步组,请遵循步骤:

  1. 创建 Microsoft Entra 安全组。

  2. 将组设置为写回本地 Active Directory。 有关说明,请参阅 Microsoft Entra 管理中心的组写回

  3. 将组作为资源角色添加到访问包。 有关指南,请参阅创建新的访问包

  4. 将用户分配到访问包。 有关直接分配用户的说明,请参阅查看、添加和删除访问包的分配

  5. 将用户分配到访问包后,在 Microsoft Entra Connect 同步周期完成后,确认该用户现在是本地组的成员:

    1. 在本地 OU OR 中查看组的成员属性
    2. 查看用户对象的成员。

注意

Microsoft Entra Connect 的默认同步周期计划是每 30 分钟一次。 可能需要等到下一个周期发生才能在本地查看结果,或者选择手动运行同步周期以便更快地查看结果。

  1. 在 AD 域监视中,仅允许运行预配代理的 gMSA 帐户,以有权更改新 AD 组中的成员身份。

后续步骤