Steuern der lokalen Active Directory Domain Services-basierten Apps (Kerberos) mithilfe der Microsoft Entra ID Governance

In diesem Artikel werden die Szenarien beschrieben, die Microsoft Entra ID Governance für lokale Anwendungen verwenden, die in Active Directory Domain Services (AD DS) integriert sind.

Szenario(n) abgedeckt: Verwalten Sie lokale Anwendungen mit Active Directory-Gruppen, die aus der Cloud bereitgestellt und verwaltet werden. Mit Microsoft Entra Cloud Sync können Sie Anwendungszuweisungen in AD DS vollständig steuern und gleichzeitig die Microsoft Entra ID Governance-Features nutzen, um alle zugriffsbezogenen Anforderungen zu steuern und zu beheben.

Weitere Informationen zum Steuern von Anwendungen, die nicht in AD DS integriert sind, finden Sie unter Steuern des Zugriffs für Anwendungen in Ihrer Umgebung.

Unterstützte Szenarios

Wenn Sie steuern möchten, ob ein Benutzer eine Verbindung mit einer Active Directory-Anwendung herstellen kann, die die Windows-Authentifizierung verwendet, können Sie den Anwendungsproxy und eine Microsoft Entra-Sicherheitsgruppe verwenden. Wenn eine Anwendung die AD DS-Gruppenmitgliedschaften eines Benutzers mithilfe von Kerberos oder Lightweight Directory Access Protocol (LDAP) überprüft, können Sie die Cloud Sync-Gruppenbereitstellung verwenden, um sicherzustellen, dass der Benutzer über diese Gruppenmitgliedschaften verfügt, bevor er auf die Anwendung zugreift.

In den folgenden Abschnitten werden drei Optionen erläutert, die mit der Cloud Sync-Gruppenbereitstellung unterstützt werden. Die Szenariooptionen sollen sicherstellen, dass die der Anwendung zugewiesenen Benutzerkonten Gruppenmitgliedschaften haben, wenn sie sich bei der Anwendung authentifizieren.

• Konvertieren Sie die Quelle der Autorität (SOA) von Gruppen in AD DS, die mit Microsoft Entra-ID synchronisiert werden, indem Sie Microsoft Entra Connect Sync oder Microsoft Entra Cloud Sync verwenden.

• Erstellen Sie eine neue Gruppe, und aktualisieren Sie die Anwendung, sofern sie bereits vorhanden ist, um nach der neuen Gruppe zu suchen.

• Erstellen Sie eine neue Gruppe, und aktualisieren Sie die vorhandenen Gruppen, auf die Anwendung überprüft wurde, um die neue Gruppe als Mitglied einzuschließen.

Bevor Sie beginnen, vergewissern Sie sich, dass Sie Domänenadmin in der Domäne sind, in der die Anwendung installiert ist. Stellen Sie sicher, dass Sie sich bei einem Domänencontroller anmelden können oder dass die Remoteserver-Verwaltungstools für die AD DS-Verwaltung auf Ihrem Windows-PC installiert sind.

Microsoft Entra ID verfügt über einen Anwendungsproxydienst, mit dem Benutzer und Benutzerinnen auf lokale Anwendungen zugreifen können, indem sie sich mit ihrem Microsoft Entra-Konto anmelden. Weitere Informationen zum Konfigurieren des App-Proxys finden Sie unter Hinzufügen einer lokalen Anwendung für den Remotezugriff über den Anwendungsproxy in der Microsoft Entra-ID.

Voraussetzungen

Für die Implementierung dieses Szenarios sind die folgenden Voraussetzungen erforderlich:

• Ein Microsoft Entra-Konto mit der Rolle Hybrididentitätsadministrator oder höher

• Lokale Active Directory Domain Services (AD DS)-Umgebung mit Windows Server 2016-Betriebssystem oder höher.

  • Erforderlich für AD DS-Schemaattribute - msDS-ExternalDirectoryObjectId.

• Ein Bereitstellungs-Agent mit der Buildversion 1.1.1367.0 oder höher

  Hinweis

  Die Berechtigungen für das Dienstkonto werden nur während einer Neuinstallation zugewiesen. Wenn Sie ein Upgrade von einer früheren Version durchführen, weisen Sie Berechtigungen manuell mithilfe von PowerShell zu:

  $credential = Get-Credential
  
  Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -TargetDomainCredential $credential
  

  Stellen Sie sicher, dass Sie alle Eigenschaften "Lesen", "Schreiben", "Erstellen" und "Löschen" für alle untergeordneten Gruppen und Benutzer zulassen.

  Diese Berechtigungen werden standardmäßig nicht auf AdminSDHolder-Objekte von den Microsoft Entra-Bereitstellungs-Agent gMSA PowerShell-Cmdlets angewendet.

• Der Bereitstellungs-Agent muss mit einem oder mehreren Domänencontrollern im Port TCP/389 für Lightweight Directory Access Protocol (LDAP) und TCP/3268 für den globalen Katalog kommunizieren können.

  • Erforderlich für die Suche im globalen Katalog, um ungültige Mitgliedschaftsverweise herauszufiltern.

• Microsoft Entra Connect mit der Buildversion 2.2.8.0 oder höher

  • Erforderlich für die Unterstützung der lokalen Benutzermitgliedschaft, die mit Microsoft Entra Connect synchronisiert wird.
  • Erforderlich für die Synchronisierung AD DS:user:objectGUID mit Microsoft Entra ID:user:onPremisesObjectIdentifier.

Weitere Informationen finden Sie unter unterstützten Cloudsynchronisierungsgruppen und Skalierungsgrenzwerten.

Unterstützte Gruppen

Für dieses Szenario werden nur die folgenden Gruppen unterstützt:

• Nur von der Cloud erstellte oder soA konvertierte Sicherheitsgruppen werden unterstützt.
• Zugewiesene oder dynamische Mitgliedschaftsgruppen.
• Enthalten lokale synchronisierte Benutzer oder in der Cloud erstellte Sicherheitsgruppen.
• Lokale synchronisierte Benutzer, die Mitglieder der von der Cloud erstellten Sicherheitsgruppe sind, können aus derselben Domäne oder anderen Domänen aus derselben Gesamtstruktur stammen.
• Die Gesamtstruktur muss universelle Gruppen unterstützen, da die in der Cloud erstellte Sicherheitsgruppe mit universellem Gruppenumfang wieder in AD DS geschrieben wird.
• Maximal 50.000 Mitglieder
• Jede direkte untergeordnete geschachtelte Gruppe zählt als ein Mitglied in der verweisenden Gruppe.

Überlegungen bei der Bereitstellung von Gruppen zurück zu AD DS

Wenn Sie eine Gruppe nach der Konvertierung von Group SOA wieder in AD DS bereitstellen, stellen Sie sie wieder in die ursprüngliche Organisationseinheit (OU) bereit. In dieser Übung wird sichergestellt, dass Microsoft Entra Cloud Sync die konvertierte Gruppe als die gleiche erkennt, die bereits in AD DS vorhanden ist.

Cloud Sync erkennt die konvertierte Gruppe, da beide Gruppen denselben Sicherheitsbezeichner (SECURITY Identifier, SID) verwenden. Wenn Sie die Gruppe für eine andere OU bereitstellen, verwaltet sie dieselbe SID, und Microsoft Entra Cloud Sync aktualisiert die vorhandene Gruppe, aber möglicherweise treten Probleme mit Zugriffssteuerungslisten auf. Berechtigungen übertragen nicht immer sauber über Container hinweg, und nur explizite Berechtigungen werden mit der Gruppe bereitgestellt. Geerbte Berechtigungen von den ursprünglichen Berechtigungen des OU- oder Gruppenrichtlinienobjekts, die auf die OU angewendet wurden, werden nicht für die Gruppe bereitgestellt.

Bevor Sie die SOA konvertieren, sollten Sie die folgenden empfohlenen Schritte berücksichtigen:

1. Verschieben Sie die Gruppen, die Sie planen, um die SOA nach Möglichkeit in bestimmte Organisationseinheiten zu konvertieren. Wenn Sie die Gruppen nicht verschieben können, legen Sie den OU-Pfad für jede Gruppe auf den ursprünglichen OU-Pfad fest, bevor Sie SOA der Gruppen konvertieren. Weitere Informationen zum Festlegen des ursprünglichen OU-Pfads finden Sie unter Beibehalten und Verwenden der ursprünglichen OE für die Gruppenbereitstellung.
2. Nehmen Sie die SOA-Änderung vor.
3. Wenn Sie die Gruppen für AD DS bereitstellen, legen Sie die Attributzuordnung wie in Preserve erläutert fest und verwenden Sie die ursprüngliche OU für die Gruppenbereitstellung.
4. Führen Sie zuerst eine On-Demand-Bereitstellung durch, bevor Sie die Bereitstellung für die restlichen Gruppen aktivieren.

Weitere Informationen zum Konfigurieren des Zielspeicherorts für Gruppen, die für AD DS bereitgestellt werden, finden Sie unter Bereichsfilterzielcontainer.

Steuern von lokalen AD DS-basierten Apps mithilfe von Gruppen-SOA

In diesem Szenario können Sie, wenn eine Gruppe in der AD DS-Domäne von einer Anwendung verwendet wird, die SOA der Gruppe in Microsoft Entra konvertieren. Anschließend können Sie die Mitgliedschaftsänderungen an der Gruppe bereitstellen, die in Microsoft Entra vorgenommen wurden, z. B. über die Berechtigungsverwaltung oder Zugriffsüberprüfungen, mithilfe von Microsoft Entra Cloud Sync zurück zu AD DS. In diesem Modell müssen Sie die App nicht ändern oder neue Gruppen erstellen.

Führen Sie die folgenden Schritte für Anwendungen aus, um die Option "Gruppen-SOA" zu verwenden.

Erstellen einer Anwendung und Konvertieren von SOA

1. Erstellen Sie mithilfe des Microsoft Entra Admin Centers eine Anwendung in der Microsoft Entra-ID, die die AD DS-basierte Anwendung darstellt, und konfigurieren Sie die Anwendung so, dass eine Benutzerzuweisung erforderlich ist.
2. Stellen Sie sicher, dass die AD DS-Gruppe, die Sie konvertieren möchten, bereits mit Microsoft Entra synchronisiert ist und dass die Mitgliedschaft der AD DS-Gruppe nur Benutzer und optional andere Gruppen ist, die ebenfalls mit Microsoft Entra synchronisiert werden. Wenn die Gruppe oder mitglieder der Gruppe nicht in Microsoft Entra dargestellt werden, können Sie die SOA der Gruppe nicht konvertieren.
3. Konvertieren Sie die SOA in Ihre vorhandene synchronisierte Cloudgruppe.
4. Nachdem Sie die SOA konvertiert haben, verwenden Sie die Gruppenbereitstellung in AD DS , um nachfolgende Änderungen an dieser Gruppe wieder in AD DS bereitzustellen. Nachdem die Gruppenbereitstellung aktiviert wurde, erkennt Microsoft Entra Cloud Sync, dass eine konvertierte Gruppe dieselbe Gruppe ist wie die bereits in AD DS, da beide Gruppen denselben Sicherheitsbezeichner (SID) aufweisen. Wenn Sie die konvertierte Cloudgruppe in AD DS bereitstellen, aktualisieren Sie dann die vorhandene AD DS-Gruppe, anstatt eine neue gruppe zu erstellen.

Konfigurieren von Microsoft Entra-Features zum Verwalten der Mitgliedschaft der konvertierten SOA-Gruppe

1. Erstellen Sie ein Zugriffspaket. Fügen Sie die Anwendung und die Sicherheitsgruppe aus den vorherigen Schritten als Ressourcen im Zugriffspaket hinzu. Konfigurieren Sie eine direkte Zuweisungsrichtlinie im Zugriffspaket.
2. Weisen Sie in der Berechtigungsverwaltung die synchronisierten Benutzer, die Zugriff auf die AD DS-basierte App benötigen, dem Zugriffspaket zu.
3. Warten Sie, bis microsoft Entra Cloud Sync die nächste Synchronisierung abgeschlossen hat. Stellen Sie mithilfe von „Active Directory-Benutzer und -Computer“ sicher, dass die richtigen Benutzer*innen als Gruppenmitglieder vorhanden sind.
4. Erlauben Sie in Ihrer AD DS-Domänenüberwachung nur das gMSA-Konto , das den Bereitstellungs-Agent ausführt, die Autorisierung, um die Mitgliedschaft in der neuen AD DS-Gruppe zu ändern.

Weitere Informationen finden Sie unter Einführung von Cloud-First-Haltung: Konvertieren der Gruppenquelle der Autorität in die Cloud (Vorschau)

Verwalten von lokalen AD DS mit neu bereitgestellten Cloudsicherheitsgruppen

In diesem Szenario aktualisieren Sie die Anwendung so, dass sie auf die SID, den Namen oder den Distinguished Name einer neuen Gruppen überprüft, die von der Cloud Sync-Gruppenbereitstellung erstellt wurden. Dieses Szenario gilt für:

• Bereitstellungen für neue Anwendungen, die zum ersten Mal mit einer AD DS-Domäne verbunden werden.
• Neue Kohorten von Benutzerkonten, die auf die Anwendung zugreifen.
• Zur Anwendungsmodernisierung, um die Abhängigkeit von vorhandenen AD DS-Gruppen zu verringern.

Anwendungen, die derzeit auf die Mitgliedschaft der Domain Admins Gruppe überprüfen, müssen aktualisiert werden, um auch nach einer neu erstellten AD DS-Gruppe zu suchen.

Führen Sie die Schritte in den nächsten Abschnitten aus, um Anwendungen für die Verwendung neuer Gruppen zu konfigurieren.

Erstellen einer Anwendung und Gruppe

1. Erstellen Sie mithilfe des Microsoft Entra Admin Centers eine Anwendung in Microsoft Entra-ID, die die AD DS-basierte Anwendung darstellt, und konfigurieren Sie die Anwendung so, dass eine Benutzerzuweisung erforderlich ist.
2. Erstellen Sie eine neue Sicherheitsgruppe in Microsoft Entra ID.
3. Verwenden Sie die Gruppenbereitstellung für AD DS , um diese Gruppe für AD DS bereitzustellen.
4. Starten Sie Active Directory-Benutzer und -Computer, und warten Sie, bis die resultierende neue AD DS-Gruppe in der AD DS-Domäne erstellt wird. Wenn sie vorhanden ist, notieren Sie den distinguished Name, die Domäne, den Kontonamen und die SID der neuen AD DS-Gruppe.

Konfigurieren der Anwendung für die Verwendung einer neuen Gruppe

1. Wenn die Anwendung AD DS über LDAP verwendet, konfigurieren Sie die Anwendung mit dem distinguished Name der neuen AD DS-Gruppe. Wenn die Anwendung AD DS über Kerberos verwendet, konfigurieren Sie die Anwendung mit der SID oder der Domäne und dem Kontonamen der neuen AD DS-Gruppe.
2. Erstellen Sie ein Zugriffspaket. Fügen Sie die Anwendung und die Sicherheitsgruppe aus den vorherigen Schritten als Ressourcen im Zugriffspaket hinzu. Konfigurieren Sie eine direkte Zuweisungsrichtlinie im Zugriffspaket.
3. Weisen Sie in der Berechtigungsverwaltung die synchronisierten Benutzer, die Zugriff auf die AD DS-basierte App benötigen, dem Zugriffspaket zu.
4. Warten Sie, bis die neue AD DS-Gruppe mit den neuen Mitgliedern aktualisiert wird. Stellen Sie mithilfe von „Active Directory-Benutzer und -Computer“ sicher, dass die richtigen Benutzer*innen als Gruppenmitglieder vorhanden sind.
5. Lassen Sie in Ihrer AD DS-Domänenüberwachung nur das gMSA-Konto zu, das die Autorisierung des Bereitstellungs-Agents ausführt, um die Mitgliedschaft in der neuen AD DS-Gruppe zu ändern.

Sie können jetzt den Zugriff auf die AD DS-Anwendung über dieses neue Zugriffspaket steuern.

Konfigurieren der Option "Vorhandene Gruppen"

In diesem Szenario fügen Sie eine neue AD DS-Sicherheitsgruppe als geschachteltes Gruppenmitglied einer vorhandenen Gruppe hinzu. Dieses Szenario gilt für Anwendungsbereitstellungen, die eine hartcodierte Abhängigkeit von einem bestimmten Gruppenkontonamen, einer SID oder einem Distinguished Name aufweisen.

Das Schachteln dieser Gruppe in die vorhandene AD DS-Gruppe der Anwendung ermöglicht Folgendes:

• Microsoft Entra-Benutzer, die über ein Governance-Feature zugewiesen sind und dann auf die App zugreifen, um über das entsprechende Kerberos-Ticket zu verfügen. Dieses Ticket enthält die SID der vorhandenen Gruppe. Die Schachtelung ist durch Schachtelungsregeln für AD DS-Gruppen zulässig.

Wenn die App LDAP verwendet und der geschachtelten Gruppenmitgliedschaft folgt, sieht die App, dass die Microsoft Entra-Benutzer die vorhandene Gruppe als eine ihrer Mitgliedschaften haben.

Ermitteln der Berechtigung einer vorhandenen Gruppe

1. Starten Sie Active Directory-Benutzer und -Computer, und notieren Sie den unterschiedenen Namen, Typ und Umfang der vorhandenen AD DS-Gruppe, die von der Anwendung verwendet wird.
2. Wenn die vorhandene Gruppe wie oben beschrieben eine neue Gruppe istDomain Admins, Domain Guests, Domain Users, Enterprise AdminsEnterprise Key AdminsGroup Policy Creation OwnersKey Adminsoder Protected UsersSchema Admins, müssen Sie die Anwendung ändern, um eine neue Gruppe wie oben beschrieben zu verwenden, da diese Gruppen nicht von der Cloudsynchronisierung verwendet werden können.
3. Wenn die Gruppe über den Bereich „Global“ verfügt, ändern Sie den Bereich der Gruppe in „Universell“. Universelle Gruppen können nicht Mitglied in einer globalen Gruppe sein.

Erstellen von Anwendungen und Gruppen

1. Erstellen Sie im Microsoft Entra Admin Center eine Anwendung in der Microsoft Entra-ID, die die AD DS-basierte Anwendung darstellt, und konfigurieren Sie die Anwendung so, dass eine Benutzerzuweisung erforderlich ist.
2. Erstellen Sie eine neue Sicherheitsgruppe in Microsoft Entra ID.
3. Verwenden Sie die Gruppenbereitstellung für AD DS , um diese Gruppe für AD DS bereitzustellen.
4. Starten Sie Active Directory-Benutzer und -Computer, und warten Sie, bis die resultierende neue AD DS-Gruppe in der AD DS-Domäne erstellt wird. Wenn sie vorhanden ist, notieren Sie den distinguished Name, die Domäne, den Kontonamen und die SID der neuen AD DS-Gruppe.

Konfigurieren der Anwendung für die Verwendung einer neuen Gruppe

1. Fügen Sie mithilfe von Active Directory-Benutzern und -Computern die neue AD DS-Gruppe als Mitglied der vorhandenen AD DS-Gruppe hinzu.
2. Erstellen Sie ein Zugriffspaket. Fügen Sie die Anwendung aus Schritt 1 und der Sicherheitsgruppe aus Schritt 3 hinzu, wie im Abschnitt "Anwendung und Gruppe erstellen" oben als Ressourcen im Access-Paket beschrieben. Konfigurieren Sie eine direkte Zuweisungsrichtlinie im Zugriffspaket.
3. Weisen Sie in der Berechtigungsverwaltung die synchronisierten Benutzer, die Zugriff auf die AD DS-basierte App benötigen, dem Zugriffspaket zu, einschließlich aller Benutzermitglieder der vorhandenen AD DS-Gruppe, die weiterhin Zugriff benötigen.
4. Warten Sie, bis die neue AD DS-Gruppe mit den neuen Mitgliedern aktualisiert wird. Stellen Sie mithilfe von „Active Directory-Benutzer und -Computer“ sicher, dass die richtigen Benutzer*innen als Gruppenmitglieder vorhanden sind.
5. Entfernen Sie mithilfe von Active Directory-Benutzern und -Computern die vorhandenen Mitglieder, abgesehen von der neuen AD DS-Gruppe, aus der vorhandenen AD DS-Gruppe.
6. Lassen Sie in Ihrer AD DS-Domänenüberwachung nur das gMSA-Konto zu, das die Autorisierung des Bereitstellungs-Agents ausführt, um die Mitgliedschaft in der neuen AD DS-Gruppe zu ändern.

Anschließend können Sie den Zugriff auf die AD DS-Anwendung mithilfe des neuen Zugriffspakets steuern.

Problembehandlung beim App-Zugriff

Ein Benutzer in der neuen AD DS-Gruppe, die sich bei einem in eine Domäne eingebundenen Gerät anmeldet, verfügt möglicherweise über ein Ticket von einem Domänencontroller, der die neue AD DS-Gruppenmitgliedschaft nicht enthält. Das Ticket kann ausgestellt werden, bevor Cloud Sync den Benutzer für die neue AD DS-Gruppe bereitgestellt hat. Der Benutzer kann das Ticket nicht für den Zugriff auf die Anwendung verwenden. Sie müssen warten, bis das Ticket abläuft und ein neues Ticket ausgestellt wird. Oder sie müssen ihre Tickets löschen, sich abmelden und sich dann wieder bei der Domäne anmelden. Weitere Informationen finden Sie unter klist.

Vorhandene Microsoft Entra Connect-Gruppenrückschreiben v2-Kunden

Wenn Sie microsoft Entra Connect-Gruppenrückschreiben v2 verwenden, müssen Sie zur Cloud Sync-Bereitstellung zu AD DS wechseln, bevor Sie die Cloud Sync-Gruppenbereitstellung nutzen können. Weitere Informationen finden Sie unter Migrate Microsoft Entra Connect Sync group writeback V2 to Microsoft Entra Cloud Sync.

Verwandte Inhalte

• Gruppenrückschreiben mit der Microsoft Entra-Cloudsynchronisierung
• Gruppenbereitstellung für AD DS mit Microsoft Entra Cloud Sync
• Migration der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zu Microsoft Entra Cloud Sync