Compartir a través de

Migración de la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync

  • Artículo

Importante

La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory.

Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.

Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puede optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.

Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.

Puede evaluar el traslado exclusivo a Sincronización en la nube. mediante el asistente de sincronización del usuario.

En el siguiente documento se describe cómo migrar la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solopara los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo pertenece a los grupos de seguridad creados en la nube que se escriben con un ámbito universal. No se admiten grupos habilitados para correo y direcciones URL escritas mediante la escritura diferida de grupos V1 o V2 de Microsoft Entra Connect.

Importante

Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2

Además, este escenario solo se admite para:

  • grupos de seguridad creados en la nube
  • estos grupos se vuelven a escribir con el ámbito de grupos de AD universal.

No se admiten grupos habilitados para correo y direcciones URL escritas mediante la escritura diferida de grupos V1 o V2 de Microsoft Entra Connect.

Para obtener más información, consulte las Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.

Requisitos previos

Los siguientes requisitos previos son necesarios para implementar este escenario.

  • Cuenta de Microsoft Entra con al menos un rol de administrador híbrido.
  • Una cuenta de AD local con al menos permisos de administrador de dominio: es necesario para acceder al atributo adminDescription y copiarlo en el atributo msDS-ExternalDirectoryObjectId
  • Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
    • Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
  • Aprovisionamiento del agente con la versión de compilación 1.1.1367.0 o posterior.
  • El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
    • Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas

Paso 1: Copiar adminDescription en msDS-ExternalDirectoryObjectID

  1. En el entorno local, abra ADSI Editar.

  2. Copie el valor que se encuentra en el atributo adminDescription del grupo.

    Captura de pantalla del atributo adminDescription.

  3. Péguelo en el atributo msDS-ExternalDirectoryObjectID

    Captura de pantalla del atributo msDS-ExternalDirectoryObjectID.

Paso 2: Colocar el servidor de sincronización de Microsoft Entra Connect en modo de almacenamiento provisional y deshabilitar el programador de sincronización

  1. Iniciar el Asistente para sincronización de Microsoft Entra Connect

  2. Haga clic en Configurar.

  3. Seleccione Configurar el modo de ensayo y haga clic en Siguiente

  4. Escriba las credenciales de Microsoft Entra

  5. Active la casilla en el cuadro Habilitar el modo de ensayoy haga clic en Siguiente

    Captura de pantalla de la habilitación del modo de almacenamiento provisional.

  6. Haga clic en Configurar.

  7. Haga clic en Salir

    Captura de pantalla del éxito del modo de almacenamiento provisional.

  8. En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.

  9. Deshabilite el programador de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $false

Paso 3: Creación de una regla de entrada de grupo personalizada

En el editor de reglas de sincronización de Microsoft Entra Connect, debe crear una regla de sincronización de entrada que filtre los grupos que tienen NULL para el atributo mail. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos.

  1. Inicie el editor de sincronización desde el menú de la aplicación de escritorio, tal como se muestra a continuación:

  2. Seleccione Entrante en la lista desplegable Dirección y luego Agregar nueva regla.

  3. En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:

    • Nombre: asigne un nombre descriptivo a la regla.

    • Descripción: agregue una descripción significativa.

    • Sistema conectado: elija el conector de Microsoft Entra para el que va a escribir la regla de sincronización personalizada

    • Tipo de objeto del sistema conectado: Grupo

    • Tipo de objeto de metaverso: Grupo

    • Tipo de vínculo: Join

    • Prioridad: especifique un valor que sea único en el sistema.

    • Tag (Etiqueta): deje este campo en blanco.

      Captura de pantalla de la regla de sincronización de entrada.

  4. En la página Filtro de ámbito, Agregar a continuación, seleccione Siguiente.

    Atributo Operador Value
    cloudMastered EQUAL true
    mail ISNULL

    Captura de pantalla del filtro de ámbito.

  5. En la página de reglas Unión, seleccione Siguiente.

  6. En la página Transformations (Transformaciones), agregue una transformación de tipo Constant, con el atributo cloudNoFlow establecido en True. Seleccione Agregar.

    Captura de pantalla de la transformación.

Paso 4: Creación de una regla de salida de grupo personalizada

También necesitará una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos.

  1. Seleccione Saliente en la lista desplegable Dirección y seleccione Agregar regla.

  2. En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:

    • Nombre: asigne un nombre descriptivo a la regla.
    • Descripción: agregue una descripción significativa.
    • Sistema conectado: elija el conector de AD para el que va a escribir la regla de sincronización personalizada.
    • Tipo de objeto del sistema conectado: Grupo
    • Tipo de objeto de metaverso: Grupo
    • Tipo de vínculo: JoinNoFlow
    • Prioridad: especifique un valor que sea único en el sistema.
    • Tag (Etiqueta): deje este campo en blanco.

    Captura de pantalla de la regla de sincronización de salida.

  3. En la página Scoping filter (Filtro de ámbito), elija cloudNoFlow igual a True. Luego, seleccione Siguiente.

    Captura de pantalla del filtro de ámbito de salida.

  4. En la página de reglas Unión, seleccione Siguiente.

  5. En la página Transformaciones, seleccione Agregar.

Paso 5: Uso de PowerShell para finalizar la configuración

  1. En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.

  2. Importe el módulo ADSync:

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'

  3. Ejecute un ciclo de sincronización completo:

    Start-ADSyncSyncCycle -PolicyType Initial

  4. Deshabilite la característica de escritura diferida de grupos para el inquilino:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

  5. Ejecute un ciclo de sincronización completo (sí de nuevo):

    Start-ADSyncSyncCycle -PolicyType Initial

  6. Vuelva a habilitar el programador de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $true

    Captura de pantalla de la ejecución de PowerShell.

Paso 6: Quitar el servidor de sincronización de Microsoft Entra Connect del modo de almacenamiento provisional

  1. Iniciar el Asistente para sincronización de Microsoft Entra Connect
  2. Haga clic en Configurar.
  3. Seleccione Configurar el modo de ensayo y haga clic en Siguiente
  4. Escriba las credenciales de Microsoft Entra
  5. Quite la marca de la casilla Habilitar modo de ensayo y haga clic en Siguiente
  6. Haga clic en Configurar.
  7. Haga clic en Salir

Paso 7: Configurar Microsoft Entra Cloud Sync

Ahora que ha quitado correctamente los grupos del ámbito de Microsoft Entra Connect Sync, puede configurar Microsoft Entra Cloud Sync para asumir la sincronización. Consulte Aprovisionar grupos en Active Directory mediante Microsoft Entra Cloud Sync.

Pasos siguientes