Migración de la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync
Importante
La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory.
Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.
Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puede optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.
Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.
Puede evaluar el traslado exclusivo a Sincronización en la nube. mediante el asistente de sincronización del usuario.
En el siguiente documento se describe cómo migrar la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solopara los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo pertenece a los grupos de seguridad creados en la nube que se escriben con un ámbito universal. No se admiten grupos habilitados para correo y direcciones URL escritas mediante la escritura diferida de grupos V1 o V2 de Microsoft Entra Connect.
Importante
Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2
Además, este escenario solo se admite para:
- grupos de seguridad creados en la nube
- estos grupos se vuelven a escribir con el ámbito de grupos de AD universal.
No se admiten grupos habilitados para correo y direcciones URL escritas mediante la escritura diferida de grupos V1 o V2 de Microsoft Entra Connect.
Para obtener más información, consulte las Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.
Requisitos previos
Los siguientes requisitos previos son necesarios para implementar este escenario.
- Cuenta de Microsoft Entra con al menos un rol de administrador híbrido.
- Una cuenta de AD local con al menos permisos de administrador de dominio: es necesario para acceder al atributo adminDescription y copiarlo en el atributo msDS-ExternalDirectoryObjectId
- Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
- Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
- Aprovisionamiento del agente con la versión de compilación 1.1.1367.0 o posterior.
- El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
- Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas
Paso 1: Copiar adminDescription en msDS-ExternalDirectoryObjectID
En el entorno local, abra ADSI Editar.
Copie el valor que se encuentra en el atributo adminDescription del grupo.
Péguelo en el atributo msDS-ExternalDirectoryObjectID
Paso 2: Colocar el servidor de sincronización de Microsoft Entra Connect en modo de almacenamiento provisional y deshabilitar el programador de sincronización
Iniciar el Asistente para sincronización de Microsoft Entra Connect
Haga clic en Configurar.
Seleccione Configurar el modo de ensayo y haga clic en Siguiente
Escriba las credenciales de Microsoft Entra
Active la casilla en el cuadro Habilitar el modo de ensayoy haga clic en Siguiente
Haga clic en Configurar.
Haga clic en Salir
En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.
Deshabilite el programador de sincronización:
Set-ADSyncScheduler -SyncCycleEnabled $false
Paso 3: Creación de una regla de entrada de grupo personalizada
En el editor de reglas de sincronización de Microsoft Entra Connect, debe crear una regla de sincronización de entrada que filtre los grupos que tienen NULL para el atributo mail. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos.
Inicie el editor de sincronización desde el menú de la aplicación de escritorio, tal como se muestra a continuación:
Seleccione Entrante en la lista desplegable Dirección y luego Agregar nueva regla.
En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:
Nombre: asigne un nombre descriptivo a la regla.
Descripción: agregue una descripción significativa.
Sistema conectado: elija el conector de Microsoft Entra para el que va a escribir la regla de sincronización personalizada
Tipo de objeto del sistema conectado: Grupo
Tipo de objeto de metaverso: Grupo
Tipo de vínculo: Join
Prioridad: especifique un valor que sea único en el sistema.
Tag (Etiqueta): deje este campo en blanco.
En la página Filtro de ámbito, Agregar a continuación, seleccione Siguiente.
Atributo Operador Value cloudMastered EQUAL true mail ISNULL En la página de reglas Unión, seleccione Siguiente.
En la página Transformations (Transformaciones), agregue una transformación de tipo Constant, con el atributo cloudNoFlow establecido en True. Seleccione Agregar.
Paso 4: Creación de una regla de salida de grupo personalizada
También necesitará una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos.
Seleccione Saliente en la lista desplegable Dirección y seleccione Agregar regla.
En la página Descripción, especifique los elementos siguientes y seleccione Siguiente:
- Nombre: asigne un nombre descriptivo a la regla.
- Descripción: agregue una descripción significativa.
- Sistema conectado: elija el conector de AD para el que va a escribir la regla de sincronización personalizada.
- Tipo de objeto del sistema conectado: Grupo
- Tipo de objeto de metaverso: Grupo
- Tipo de vínculo: JoinNoFlow
- Prioridad: especifique un valor que sea único en el sistema.
- Tag (Etiqueta): deje este campo en blanco.
En la página Scoping filter (Filtro de ámbito), elija cloudNoFlow igual a True. Luego, seleccione Siguiente.
En la página de reglas Unión, seleccione Siguiente.
En la página Transformaciones, seleccione Agregar.
Paso 5: Uso de PowerShell para finalizar la configuración
En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.
Importe el módulo ADSync:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'
Ejecute un ciclo de sincronización completo:
Start-ADSyncSyncCycle -PolicyType Initial
Deshabilite la característica de escritura diferida de grupos para el inquilino:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
Ejecute un ciclo de sincronización completo (sí de nuevo):
Start-ADSyncSyncCycle -PolicyType Initial
Vuelva a habilitar el programador de sincronización:
Set-ADSyncScheduler -SyncCycleEnabled $true
Paso 6: Quitar el servidor de sincronización de Microsoft Entra Connect del modo de almacenamiento provisional
- Iniciar el Asistente para sincronización de Microsoft Entra Connect
- Haga clic en Configurar.
- Seleccione Configurar el modo de ensayo y haga clic en Siguiente
- Escriba las credenciales de Microsoft Entra
- Quite la marca de la casilla Habilitar modo de ensayo y haga clic en Siguiente
- Haga clic en Configurar.
- Haga clic en Salir
Paso 7: Configurar Microsoft Entra Cloud Sync
Ahora que ha quitado correctamente los grupos del ámbito de Microsoft Entra Connect Sync, puede configurar Microsoft Entra Cloud Sync para asumir la sincronización. Consulte Aprovisionar grupos en Active Directory mediante Microsoft Entra Cloud Sync.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de