Habilitar la escritura diferida de grupos de Microsoft Entra Connect

  • Artículo

Importante

La versión preliminar pública de Escritura diferida de grupos v2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización de Connect para aprovisionar grupos de seguridad en la nube en Active Directory.

Ofrecemos una funcionalidad similar en Sincronización en la nube de Microsoft Entra denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad junto con otras nuevas características que estamos desarrollando en Sincronización en la nube.

Los clientes que usan esta característica en vista previa en Sincronización de Connect deben cambiar su configuración de Sincronización de Connect a Sincronización en la nube. Puede optar por mover toda la sincronización híbrida a Sincronización en la nube (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.

Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.

Puede evaluar el traslado exclusivo a Sincronización en la nube. mediante el asistente de sincronización del usuario.

La escritura diferida de grupos es una característica que permite reescribir grupos en la nube en la instancia local de Active Directory mediante Sincronización de Microsoft Entra Connect.

En este artículo se explica cómo habilitar la escritura diferida de grupos.

Pasos de implementación

La escritura diferida de grupos requiere habilitar las versiones originales y nuevas de la característica. Si la versión original se ha habilitado anteriormente en su entorno, solo tendrá que seguir el primer conjunto de pasos, ya que el segundo conjunto de pasos ya se ha completado.

Nota

Recomendamos seguir el método de migración oscilante para implementar la nueva característica de escritura diferida de grupos en su entorno. Este método proporcionará un plan de contingencia claro en el caso de que sea necesario realizar una reversión importante.

La característica de escritura diferida de grupos mejorada se habilita en el inquilino, y no por cada instancia de cliente de Microsoft Entra Connect. Asegúrese de que todas las instancias de cliente de Microsoft Entra Connect estén actualizadas con una versión de compilación mínima de 1.6.4.0 o posterior.

Nota:

Si no quiere realizar escritura diferida de todos los grupos de Microsoft 365 existentes en Active Directory, debe realizar cambios en el comportamiento predeterminado de escritura diferida de grupos antes de seguir los pasos de este artículo para habilitar la característica. Consulte Modificar el comportamiento predeterminado de la escritura diferida de grupos de Microsoft Entra Connect. También es necesario habilitar las versiones nuevas y originales de la característica en el orden documentado. Si la característica original está habilitada en primer lugar, todos los grupos de Microsoft 365 existentes se escribirán de forma diferida en Active Directory.

Habilitación de la escritura diferida de grupos mediante PowerShell

  1. En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.

  2. Deshabilite el programador de sincronización después de comprobar que no se está ejecutando ninguna operación de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Importe el módulo ADSync:

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. Habilite la característica de escritura diferida de grupos para el inquilino:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Vuelva a habilitar el programador de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Ejecute un ciclo de sincronización completo si la escritura diferida de grupos se configuró anteriormente y no se configurará en el asistente de Microsoft Entra Connect:

    Start-ADSyncSyncCycle -PolicyType Initial

Habilitación de la escritura diferida de grupos mediante el asistente de Microsoft Entra Connect

Si la versión original de la escritura diferida de grupos no se habilitó anteriormente, continúe con los pasos siguientes:

  1. En el servidor de Microsoft Entra Connect, abra el asistente de Microsoft Entra Connect.
  2. Seleccione Configurar y, a continuación, seleccione Siguiente.
  3. Seleccione Personalizar las opciones de sincronización y, después, seleccione Siguiente.
  4. En la página Conectarse a Microsoft Entra ID, escriba sus credenciales. Seleccione Siguiente.
  5. En la página Características opcionales, compruebe que las opciones que configuró anteriormente sigan estando seleccionadas.
  6. Seleccione Reescritura de grupos y, a continuación, seleccione Siguiente.
  7. En la página Escritura diferida, seleccione una unidad organizativa (UO) de Active Directory para almacenar los objetos que se sincronizan entre Microsoft 365 y la organización local. Seleccione Next (Siguiente).
  8. En la página Listo para configurar, seleccione Configurar.
  9. En la página Configuración completada, seleccione Salir.

Después de finalizar este procedimiento, la escritura diferida de grupos se configura automáticamente. Si experimenta problemas de permisos al exportar el objeto a Active Directory, abra Windows PowerShell como administrador en el servidor de Microsoft Entra Connect. Luego, ejecute los siguientes comandos: Este paso es opcional.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Configuración opcional

Para facilitar la búsqueda de grupos que se reescriben desde Microsoft Entra ID hasta Active Directory, hay una opción para reescribir el nombre distintivo del grupo mediante el nombre para mostrar en la nube:

  • Formato predeterminado: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Formato nuevo: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

Al configurar la escritura diferida de grupos, aparece una casilla en la parte inferior de la ventana de configuración. Selecciónela para habilitar esta característica.

Nota:

Los grupos que se reescriben desde Microsoft Entra ID en Active Directory tendrán un origen de autoridad de la nube. Los cambios realizados de forma local en los grupos que se reescriben desde Microsoft Entra ID se sobrescribirán en el siguiente ciclo de sincronización.

Pasos siguientes