Partilhar via

Write-back de grupo com o Microsoft Entra Cloud Sync

  • Artigo

Com o lançamento do agente de provisionamento 1.1.1370.0, a sincronização na nuvem agora tem a capacidade de executar write-back de grupo. Esse recurso significa que a sincronização na nuvem pode provisionar grupos diretamente para seu ambiente local do Ative Directory. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esta funcionalidade será descontinuada nesta data e não terá mais suporte para a Sincronização de Ligação para aprovisionar grupos de segurança na cloud para o Active Directory. A funcionalidade continuará a operar após a data de descontinuação. No entanto, deixará de receber suporte após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante na Sincronização da Cloud do Microsoft Entra chamada Aprovisionamento de Grupo para o Active Directory que pode utilizar em vez da Repetição de Escrita de Grupo v2 para aprovisionar grupos de segurança da cloud para o Active Directory. Estamos a trabalhar para melhorar esta funcionalidade na Sincronização da Cloud, juntamente com outras novas funcionalidades que estamos a desenvolver na Sincronização da Cloud.

Os clientes que usam esta funcionalidade de pré-visualização na Sincronização de Ligação devem alternar a sua configuração da Sincronização de Ligação para a Sincronização na Cloud. Pode optar por mover toda a sincronização híbrida para a Sincronização na Cloud (se esta atender às suas necessidades). Também pode executar a Sincronização na Cloud lado a lado e mover apenas o aprovisionamento do grupo de segurança da cloud para o Active Directory para a Sincronização na Cloud.

Para clientes que aprovisionam grupos do Microsoft 365 para o Active Directory, pode continuar a utilizar a Repetição de Escrita de Grupo v1 para esta capacidade.

Pode avaliar a mudança exclusivamente para a Sincronização na Cloud utilizando o assistente de sincronização do utilizador.

Provisionar o ID do Microsoft Entra para o Ative Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no Ative Directory.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, consulte Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
  • Ambiente local dos Serviços de Domínio Ative Directory com sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo Esquema do AD - msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com compilação versão 1.1.1370.0 ou posterior.

Nota

As permissões para a conta de serviço são atribuídas apenas durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir que Ler, Gravar, Criar e Excluir todas as propriedades de todos os Grupos descendentes e objetos de Usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão , cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell;

  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com build versão 2.2.8.0 ou posterior
    • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD:user:objectGUID com AAD:user:onPremisesObjectIdentifier

Grupos suportados e limites de escala

O seguinte é suportado:

  • Apenas os grupos de segurança criados na nuvem são suportados
  • Esses grupos podem ter grupos de associação atribuídos ou dinâmicos.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais sincronizadas e que são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • Esses grupos são reescritos com o escopo de grupos AD universal. Seu ambiente local deve oferecer suporte ao escopo de grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Ou seja, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150K objetos, o locatário não será suportado.
  • Cada grupo aninhado filho direto conta como um membro no grupo de referência
  • A reconciliação de grupos entre o Microsoft Entra ID e o Ative Directory não é suportada se o grupo for atualizado manualmente no Ative Directory.

Informações adicionais

A seguir estão informações adicionais sobre o provisionamento de grupos para o Ative Directory.

  • Os grupos provisionados para o AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários de nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
  • Se você estiver usando o Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuários, em vez do Microsoft Entra Cloud Sync, e quiser usar o Provisionamento para AD, ele deverá ser 2.2.8.0 ou posterior.
  • Somente locatários regulares do Microsoft Entra ID são suportados para provisionamento do Microsoft Entra ID para o Ative Directory. Locatários como B2C não são suportados.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar o write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync

Cenário: Migrar write-back de grupo usando o Microsoft Entra Connect Sync (anteriormente Azure AD Connect) para o Microsoft Entra Cloud Sync. Este cenário é apenas para clientes que estão usando o write-back de grupo do Microsoft Entra Connect v2. O processo descrito neste documento refere-se apenas a grupos de segurança criados na nuvem que são gravados de volta com um escopo universal. Não há suporte para grupos habilitados para email e DLs gravados novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Para obter mais informações, consulte Migrar write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync.

Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerencie aplicativos locais com grupos do Ative Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD enquanto aproveita os recursos de Governança de ID do Microsoft Entra para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governar aplicativos locais baseados no Ative Directory (Kerberos) usando a Governança de ID do Microsoft Entra .

Próximos passos