Escritura diferida de grupos con Microsoft Entra Cloud Sync
Con el lanzamiento del agente de aprovisionamiento 1.1.1370.0, la sincronización en la nube ahora tiene la capacidad de realizar la escritura diferida de grupos. Esta característica significa que la sincronización en la nube puede aprovisionar grupos directamente en el entorno de Active Directory local. Ahora también puede utilizar las características de gobernanza de identidades para controlar el acceso a las aplicaciones basadas en AD, por ejemplo, incluyendo un grupo en un paquete de acceso de administración de derechos.
Importante
La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory. La característica seguirá funcionando más allá de la fecha de interrupción; sin embargo, ya no recibirá soporte técnico después de esta fecha y puede dejar de funcionar en cualquier momento sin previo aviso.
Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puede usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.
Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puede optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con sus necesidades). También puede ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.
Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puede seguir usando Escritura diferida de grupos v1 para esta funcionalidad.
Puede evaluar el traslado exclusivo a Cloud Sync mediante el asistente de sincronización de usuario.
Aprovisionamiento de Microsoft Entra ID en Active Directory: Requisitos previos
Los siguientes requisitos previos son necesarios para implementar grupos de aprovisionamiento en Active Directory.
Requisitos de licencia
El uso de esta característica requiere una licencia P1 de Microsoft Entra ID. Para encontrar la licencia que más se ajuste a sus requisitos, vea la Comparación de las características de disponibilidad general de Microsoft Entra ID.
Requisitos generales
- Cuenta de Microsoft Entra con al menos un rol de Administrador de identidad híbrida.
- Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
- Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
- Aprovisionamiento del agente con la versión de compilación 1.1.1370.0 o posterior.
Nota
Los permisos para la cuenta de servicio se asignan solo durante la instalación limpia. En caso de que esté actualizando desde la versión anterior, los permisos deben asignarse manualmente mediante un cmdlet de PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si los permisos se establecen manualmente, debe asegurarse de que las propiedades Leer, Escribir, Crear y Eliminar estén disponibles para todos los objetos de usuario y grupos descendientes.
Estos permisos no se aplican a objetos AdminSDHolder de forma predeterminada cmdlets de PowerShell gMSA del agente de aprovisionamiento de Microsoft Entra
- El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
- Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas
- Microsoft Entra Connect Sync, con la versión de compilación 2.2.8.0 o posterior
- Se necesita para admitir la pertenencia de usuarios locales sincronizados mediante Microsoft Entra Connect Sync
- Se necesita para sincronizar AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier
Grupos admitidos y límites de escalado
Lo siguiente es compatible:
- Solo se admiten Grupos de seguridad creados en la nube
- Estos grupos pueden tener grupos de pertenencia dinámica o asignados.
- Estos grupos solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
- Las cuentas de usuario locales que se sincronizan y son miembros de este grupo de seguridad creado en la nube pueden ser del mismo dominio o entre dominios, pero todos deben ser del mismo bosque.
- Estos grupos se vuelven a escribir con el ámbito de grupos de AD universal. El entorno local debe admitir el ámbito del grupo universal.
- No se admiten grupos con más de 50 000 miembros.
- No se admiten los inquilinos que tienen más de 150 000 objetos. Es decir, si un inquilino tiene cualquier combinación de usuarios y grupos que supere los 150 000 objetos, no se admite el inquilino.
- Cada grupo anidado secundario directo cuenta como un miembro del grupo de referencia
- No se admite la conciliación de grupos entre Microsoft Entra ID y Active Directory si el grupo se actualiza manualmente en Active Directory.
Información adicional
A continuación se muestra información adicional sobre el aprovisionamiento de grupos en Active Directory.
- Los grupos aprovisionados en AD mediante la sincronización en la nube solo pueden contener usuarios sincronizados locales o grupos de seguridad creados en la nube adicionales.
- Estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
- onPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD de destino.
- Se puede sincronizar un atributo objectGUID de usuarios locales a usuarios en la nube onPremisesObjectIdentifier mediante Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
- Si usa Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuarios, en lugar de Microsoft Entra Cloud Sync, y quiere usar el aprovisionamiento en AD, debe ser 2.2.8.0 o posterior.
- Solo se admiten inquilinos normales de Microsoft Entra ID para el aprovisionamiento de Microsoft Entra ID a Active Directory. No se admiten inquilinos como B2C.
- El trabajo de aprovisionamiento de grupos está programado para ejecutarse cada 20 minutos.
Escenarios admitidos para la escritura diferida de grupos con Microsoft Entra Cloud Sync
En las secciones siguientes se describen los escenarios admitidos para la escritura diferida de grupos con Microsoft Entra Cloud Sync.
- Migrar la escritura diferida de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync
- Controlar aplicaciones locales basadas en Active Directory (Kerberos) mediante la gobernanza de Microsoft Entra ID
Migrar la escritura diferida de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync
Escenario: Migración de la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo pertenece a los grupos de seguridad creados en la nube que se escriben con un ámbito universal. No se admiten grupos habilitados para correo y direcciones URL escritas mediante la escritura diferida de grupos V1 o V2 de Microsoft Entra Connect.
Para obtener más información, vea Migración de la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync.
Controlar aplicaciones locales basadas en Active Directory (Kerberos) mediante la gobernanza de Microsoft Entra ID
Escenario: administre aplicaciones locales con grupos de Active Directory aprovisionados desde la nube y administrados en ella. La sincronización en la nube de Microsoft Entra permite controlar completamente las asignaciones de aplicaciones en AD mientras aprovecha las características de Gobierno de Microsoft Entra ID para controlar y corregir las solicitudes relacionadas con el acceso.
Para obtener más información, vea Controlar aplicaciones basadas en Active Directory (Kerberos) locales mediante el Gobierno de Microsoft Entra ID.