Group Writeback CloudConnect

Nachdem Microsoft das Zurückschreiben von Gruppen und Mitgliedern mit ADSync zum Sommer 2024 eingestellt hat, bleibt also nur noch der Weg durch eigene Skripte, 3rd Party Lösungen oder EntraID Cloud Connect. Diese Seite beschreibt die Möglichkeiten, Gruppen aus dem AzureAD in das lokale AD zu übertragen. Da von Microsoft der Verzeichnisabgleiche mit AzureAD Cloud Sync sowieso präferiert wird, habe ich mir diese Funktion einmal angeschaut.

Umfeld

Auf der Seite ADSync und Gruppen habe ich beschrieben, wie lokale AD-Gruppen auch im EntraID mit ADSync verwaltet werden. Die Gruppen in der Cloud sind dann natürlich "ReadOnly". Eine echte bidirektional Replikation gibt es nicht und das haben insbesondere die Exchange Administratoren und Outlook Anwender immer wieder bemerkt. Sie können selbst als "Manager/Besitzer" einer Gruppe nicht die Mitgliedschaften verwalten. Für die "Microsoft 365 Groups" hat Microsoft mit der Funktion Groups Writeback V2 eine Vorläuferlösung geschaffen.

Entra ID Cloud Connect Writeback

Genaugenommen habe ich sie mir zweimal angeschaut, denn Cloud Sync können Sie "alleine" oder auch in Verbindung mit EntraID Connect (vormals ADSync) einsetzen. "EntraID Connect" brauchen Sie auch im Sommer 2024 noch immer dann, wenn Sie z.B. Computer mit als Hybrid Devices synchronisieren wollen (ADSync mit Devices) oder Exchange Hybrid (Exchange Online ADSync Provisioning) nutzen.

Entra ID Cloud Connect erlaubt das Synchronisieren von Gruppen aus ihrem Tenant in ein lokales AD unter einigen Voraussetzungen:

  • Entra ID P1-Lizenzen
    Die Funktion ist nicht im AzureAD Basic-Plan enthalten, der zu Office 365 gehört. Es darf also schon ein Microsoft 365-Paket pro Benutzer sein oder Sie lizenzieren EntraID P1 nach. Damit bekommen Sie dann auch Conditional Access, Azure AD Application Proxy und andere Funktionen dazu, die heute eigentlich sowieso dazugehören.
  • Lokales AD auf Windows 2016 Server
    Es muss nicht zwingend auch den Forest Functional Mode haben, aber der erste Windows 2016 DC addiert im Schema das erforderliche Feld "msDS-ExternalDirectoryObjectId"
  • Provision Agent Version 1.1.1370.0 oder neuer
    Dieser Agent wurde am 16. Oktober 2023 bereitgestellt. Prüfen Sie, ob bei ihnen der Agent automatisch aktualisiert wurde, z.B. durch einen Blick ins Azure Portal:
  • Rechte für dem Provisioning Agent
    Bei einer Neuinstallation erhält das Konto gleich die Rechte, Gruppen und User zu verwalten. Aus meiner Sicht ist das sogar ein sehr umfangreiches Recht, was aber per Default nicht auf Admin-Objekte wirkt (Siehe
    AdminSDHolder) Bei Bestandsinstallation müssen Sie einmal folgendes ausführen:
# Quelle: https://learn.microsoft.com/en-us/entra/identity/hybrid/group-writeback-cloud-sync
Set-AADCloudSyncPermissions `
   -PermissionType UserGroupCreateDelete `
   -TargetDomain "FQDN of domain" `
   -EACredential (Get-Credential)
  • Verbindungen zu den DCs auf LDAP (389/TCP) und GC (3268/TCP)
  • Entra Connect 2.2.8.0 oder höher
    Sollten Sie parallel noch mit Entra Connect auch Objekte in die Cloud replizieren, dann muss diese Mindest-Version genutzt werden, da nur Sie auch die lokale "objectGUID" der Benutzer in die Cloud in das Feld "OnPremisesObjectIdentifier" überträgt und damit eine eindeutige Verarbeitung der Mitgliedschaften zuverlässig möglich ist.
  • Nur "Cloud Only Security Groups"
    Die Gruppen in der Cloud zur Rückreplikation dürfen also selbst keine "Dirsync-Gruppen" sein und auch keine RoleGroups, Microsoft 365 Groups oder reine Distributiongroups o.ä.
  • Legitime Mitglieder sind nur ADSyncUser des gleichen OnPremises-Forest und andere CloudVerteiler
    Es ist also nicht möglich, Gastkonten, CloudOnly-Benutzer oder DirSync User aus anderen Forests in einer Cloud-Gruppe zu addieren und dann zurückschreiben zu lassen. Die Objekte gibt es schlicht im lokalen Forest nicht.
  • Dynamische Mitgliedschaften sind aber erlaubt
    AzureAD erlaubt, vergleichbar zu Exchange "Querybased Distributiongroups", auch für Sicherheitsgruppen z.B. Mitgliedschaften anhand von Feldern wie Company, Country etc.
  • Universelle Gruppen im lokalen Forest
    Cloud Connect legt die Gruppen immer als "Universal Security Groups" an.
  • Max 50.000 Mitglieder
  • Abgleich alle 20 Minuten
    Änderungen im AzureAD/EntraID werden nach max. 20 Minuten im lokalen AD sichtbar. Denken Sie aber daran, dass ein Benutzer sich immer erst neu anmelden muss, um seine aktuelle Gruppenmitgliedschaft und damit verbundene Berechtigungen (NTLM-Token, Kerberos-Ticket) zu erhalten. Mailverteiler gehen aber schneller.
  • Kein bidirektionaler Abgleich
    Cloud Connect führt keine "Reconsiliation" durch, wenn Sie die lokale Gruppe an dem Dirsync vorbei ändern.

Das Grundprinzip ist dann:

Damit der "Sync3" die Gruppe samt ihren Mitgliedern auch ins lokale AD zurückschreiben kann, dürfte nur Objekte als Mitglied addiert werden, die auch im lokalen AD bekannt sind. Daher ist "Sync1" hier wichtig. Sie können auch Gruppen (Sync2) aus dem lokalen AD in die Cloud synchronisieren und sogar zum Mitglied machen. Achten Sie aber darauf, dass die in der Cloud verwaltete und ins lokale AD synchronisierte Gruppe wieder in die Cloud synchronisiert wird. Meine Empfehlung ist daher:

  • Nutzen Sie eine eigene OU für diese zurückgeschriebenen Gruppen
  • Kennzeichnen Sie dieser aus der Cloud verwalteten Gruppen über einen deutlichen Namen
  • Erlauben Sie keine Bearbeitung der AD-Gruppen in dieser OU

Einsatzweck

Sie wissen nun, wie Sie auch "Cloud Only"-Gruppen mit EntraID Cloud Sync in das lokale AD zurückreplizieren können. Da stellt sich die Frage, was denn der Sinn davon ist. Ich kann auf Anhieb zwei Beispiele aufführen.

  • Exchange Verteiler Management
    ACHTUNG: Diese Funktion ist aktuell nicht möglich, das Group Writeback keine "Mailenabled" Gruppen supportet
    Beim Exchange Hybrid Betrieb werden klassische alle Empfänger im lokalen AD verwaltet und zu Exchange Online synchronisiert. Eine Ausnahme ist die Funktion Groups Writeback V2. Da aber alle anderen Verteiler in der Cloud "ReadOnly" sind können Exchange Online Anwender selbst als "Manager" oder "Besitzer" z.B. diese Verteiler nicht mehr verwalten. Wenn nun aber sowieso schon die überwiegende Anzahl an Postfächern in Exchange Online sind, dann könnten die Sie Verteiler als "CloudOnly"-Verteiler anlegen und damit komplett in Exchange Online verwalten. Allerdings müssten sie dann sicherstellen, dass lokale Exchange Server diese Verteiler als Kontakte oder als zurückreplizierte Verteiler kennen um Unzustellbarkeiten zu verhindern.
  • OnPremises PIM
    Mit der passenden Lizenz (Entra ID P2) können Sie die Mitgliedschaften von Gruppen und RoleGroups in EntraID (PIM/PAM - Least Privileges) sehr fein und dynamisch steuern. Damit lassen sich privilegierte Rechte z.B. zeitlich beschränken. Mit Group Writeback können Sie solche Gruppen auch ins lokale AD replizieren und damit auch OnPremises die Berechtigungen auf Zeit vergeben. Siehe dazu auch PIM OnPremises und PIM OnPremises Skript

Das sind nur zwei Beispiele, wenn Sie Mitgliedschaften aus CloudOnly-Gruppen auch im lokalen AD bereitstellen.

Konfiguration

Im Bereich EntraID Cloud Sync habe ich schon mehrere Einstellungen zu Cloud Sync dokumentiert. Die Rückreplikation ist eine eigene Konfiguration, die Sie über https://portal.azure.com. Zuerst müssen sie natürlich die CloudSync Einrichtung durchlaufen und den Agenten installieren.

Der Provisioning Agent kann problemlos auch parallel zu seiner ADSync-Installation laufen. Zukünftig wird Cloud Sync auch ADSync ablösen. Noch sind aber nicht alle "Features" vorhanden, z.B. Support Hybrid-Device-Join und Exchange Hybrid.

Wählen Sie die passende Extension aus:

Nach der Authentifizierung am Tenant wird der Provisioning Agent eingerichtet. Erst dann können Sie im Azure Portal eine "Cloud Sync"-Konfiguration anlegen.  Hier geht es nun um die Rückreplikation aus EntraID in das lokale AD:

Es kann manchmal etwas dauern, ehe ein gerade installierter Agent zur Auswahl steht. In den folgenden Dialogen, die Microsoft gut dokumentiert hat, wählen Sie die zu replizierenden Gruppen (Filter) aus und geben die Ziel-OU zum Schreiben an. Im Prinzip war es dann schon aber in den Einstellungen können Sie den Replikationsstatus sehen und weitere Konfigurationen vornehmen:

Ähnlich zu den Synchronization Rule Editor bei ADSync können sich auch beim Group Writeback mit CloudSync die Umsetzung der Felder anpassen.

Einschätzung

Gewöhnen Sie sich langsam daran, dass der "alte ADSync" immer weniger Funktionen erhält und Microsoft den Verzeichnisabgleich mit EntraID Cloud Sync immer weiter forciert. Der Wegfall von "Group Writeback V2" in ADSync zugunsten von Cloud Sync ist ein deutliches Zeichen. Das ist aber nicht schlimm, da beide Synchronisationstools sogar parallel betrieben werden können und damit der langsame Übergang schon eingeleitet werden kann. Ich hoffe ja darauf, dass Cloud Connect zukünftig noch viel mehr Objekte und deren Properties auch wieder ins lokale AD zurückschreiben kann, denn viele Einstellungen werden heute schon direkt in EntraID vorgenommen. Die für Group Writeback erforderliche EntraID P1-Lizenz sollte heute kein Problem mehr sein, denn die Security Defaults sind nachweislich nicht sicher genug.

Als Backend für ein OnPremises-PIM kann die Funktion Group Writeback nur genutzt werden, wenn Sie bis zu 20 Minuten Zeit haben und Security Groups statt der sichereren RoleGroups verwenden.

Weitere Links