Escritura diferida de grupos en el Centro de administración Microsoft Entra

  • Artículo

Nota:

En este artículo se describe cómo realizar operaciones en el Centro de administración Microsoft Entra con respecto a la escritura diferida de grupos. Para obtener información sobre la instalación y la configuración, consulte Aprovisionar grupos en Active Directory mediante Microsoft Entra Cloud Sync (versión preliminar)

Con el lanzamiento del agente de aprovisionamiento 1.1.1370.0, la sincronización en la nube ahora tiene la capacidad de aprovisionar grupos directamente en el entorno de Active Directory local. Con esta funcionalidad, puede usar características de gobernanza de identidades para controlar el acceso a aplicaciones basadas en Active Directory. Por ejemplo, puede incluir un grupo en un paquete de acceso de administración de derechos. Actualmente se encuentra en versión preliminar pública.

Para más información, consulte: Aprovisionamiento en AD de grupos y Control de aplicaciones locales basadas en Active Directory local (Kerberos) mediante Gobierno de id. de Microsoft Entra (versión preliminar).

Importante

La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory.

Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.

Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puede optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.

Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.

Puede evaluar el traslado exclusivo a Cloud Sync mediante el asistente de sincronización de usuario.

Si usa la escritura diferida v2 de grupo de sincronización de Microsoft Entra Connect tendrá que migrar a una sincronización en la nube aprovisionada en Active Directory antes de poder aprovechar el aprovisionamiento de grupo de sincronización en la nube. Para más información, vea Migrar la escritura diferida v2 de grupo de sincronización de Microsoft Entra Connect a Microsoft Entra Cloud Sync.

Nota:

Si anteriormente estaba escribiendo grupos de Microsoft 365 en Active Directory local como grupos de distribución universales, aparecen en Azure Portal como no habilitados para la escritura diferida en la página Grupos y en la página de propiedades de un grupo. Estas páginas muestran una nueva propiedad incorporada para la versión preliminar writeback enabled. Esta propiedad no la establece la versión actual de Escritura diferida de grupos para garantizar la compatibilidad con versiones anteriores para la versión heredada de la Escritura diferida de grupos y con el fin de mantener las configuraciones existentes del cliente.

Para comprender el comportamiento de No writeback en el portal, puede ver el estado de escritura diferida a través de Microsoft Graph. Para obtener más información, consulte Obtención de un grupo.

Portal Microsoft Graph Comportamiento
Escritura diferida isEnabled = null o true El grupo se escribirá de nuevo.
Sin escritura diferida isEnabled = false El grupo no se escribirá de nuevo.
Sin escritura diferida IsEnabled = null & onPremisesGroupType = null Si se trata de un grupo de Microsoft 365, se vuelve a escribir en Active Directory local como un grupo de distribución.
Si es un grupo de seguridad de Microsoft Entra, se escribe en Active Directory local.

La opción Group writeback state para los grupos se establece en No writeback de forma predeterminada. Esto significa lo siguiente:

  • Grupos de Microsoft 365: en el caso de los grupos IsEnabled = null y onPremisesGroupType = null, para garantizar la compatibilidad con versiones anteriores de la escritura diferida de grupo, el grupo se escribe en Active Directory local como un grupo de distribución.
  • Grupos de seguridad de Microsoft Entra: si el grupo es IsEnabled = null y onPremisesGroupType = null, el grupo se escribe de nuevo en Active Directory local.

Mostrar las columnas de escritura diferida

En la página de información general Todos los grupos, puede agregar las columnas de escritura diferida de grupos Tipo de reescritura de destino y Escritura diferida habilitada a la vista. Las columnas Tipo de reescritura de destino y Escritura diferida habilitada están disponibles para la vista tanto si tiene habilitada la escritura diferida en Microsoft Entra Connect como si no.

Screenshot that shows selecting columns for writeback in the All groups list.

Configuración de las columnas de escritura diferida

La columna Escritura diferida habilitada permite desactivar la funcionalidad de escritura diferida para grupos individuales. La columna Tipo de reescritura de destino permite especificar en qué tipo de grupo desea que se escriba este grupo en la nube en la instancia de Active Directory local. Para un grupo de Microsoft 365 de Microsoft Entra, puede realizar la escritura diferida como un grupo de seguridad, un grupo de distribución o un grupo de seguridad habilitado para correo. En el caso de un grupo de seguridad de Microsoft Entra, solo puede realizar la escritura diferida como un grupo de seguridad.

Screenshot that shows writeback settings columns that are visible on the All groups page.

Configuración de la escritura diferida en las propiedades del grupo

También puede configurar las opciones de escritura diferida de un grupo en la página de propiedades del grupo. La opción Group writeback state permite desactivar la escritura diferida para el grupo, o bien especificar el tipo de grupo de escritura diferida. Cuando se selecciona No writeback, no se realiza la escritura diferida para el grupo. Si selecciona uno de los otros tipos de escritura diferida como opción (por ejemplo, Seguridad), habrá:

  • Habilitado el grupo para la escritura diferida.
  • Establecido el destino del tipo de escritura diferida como un grupo de seguridad.

Screenshot that shows changing writeback settings in the group properties.

Lectura de la configuración de escritura diferida mediante el uso de PowerShell

Puede usar PowerShell para obtener una lista de grupos habilitados para escritura diferida mediante el siguiente cmdlet Get-MgGroup de PowerShell.

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

Lectura de la configuración de escritura diferida mediante el Explorador de gráficos

Abra el Explorador de Microsoft Graph y use el siguiente punto de conexión https://graph.microsoft.com/beta/groups/{Group_ID}.

Reemplace id. de grupo por un identificador de grupo en la nube y, a continuación, seleccione Ejecutar consulta. En la Vista previa de la respuesta, desplácese hasta el final para ver la parte del archivo JSON.

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

Pasos siguientes