Writeback di gruppo con Microsoft Entra Cloud Sync

  • Articolo

Con il rilascio dell'agente di provisioning 1.1.1370.0, la sincronizzazione cloud ha ora la possibilità di eseguire il writeback dei gruppi. Questa funzionalità significa che la sincronizzazione cloud può effettuare il provisioning dei gruppi direttamente nell'ambiente di Active Directory locale. È anche possibile usare le funzionalità di governance delle identità per gestire l'accesso alle applicazioni basate su ACTIVE Directory, ad esempio includendo un gruppo in un pacchetto di accesso di gestione entitlement.

Diagramma del writeback di gruppo con la sincronizzazione cloud.

Importante

L'anteprima pubblica del writeback del gruppo v2 in Microsoft Entra Connessione Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in questa data e non sarà più supportata in Connessione Sincronizzazione per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory.

Microsoft Entra Cloud Sync offre funzionalità simili, denominate Provisioning di gruppo in Active Directory , che è possibile usare invece di Writeback di gruppo v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità sviluppate in Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Connessione Sincronizzazione devono passare dalla sincronizzazione Connessione alla sincronizzazione cloud. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se supporta le proprie esigenze). È anche possibile eseguire La sincronizzazione cloud affiancata e spostare solo il provisioning del gruppo di sicurezza cloud in Active Directory in Sincronizzazione cloud.

Per i clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory, è possibile continuare a usare group writeback v1 per questa funzionalità.

È possibile valutare lo spostamento esclusivo in Cloud Sync usando la sincronizzazione guidata dell'utente.

Guardare il video di writeback del gruppo

Per una panoramica generale del provisioning del gruppo di sincronizzazione cloud in Active Directory e delle operazioni che può essere eseguita, vedere il video seguente.

Effettuare il provisioning dell'ID Microsoft Entra in Active Directory - Prerequisiti

Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.

Requisiti di licenza

L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Requisiti generali

  • Account Microsoft Entra con almeno un ruolo ibrido Amministrazione istrator.
  • Ambiente Dominio di Active Directory Services locale con sistema operativo Windows Server 2016 o versione successiva.
    • Obbligatorio per l'attributo schema di ACTIVE Directory - msDS-ExternalDirectoryObjectId
  • Agente di provisioning con build 1.1.1370.0 o successiva.

Nota

Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che lettura, scrittura, creazione ed eliminazione di tutte le proprietà per tutti i gruppi discendenti e gli oggetti utente.

Queste autorizzazioni non vengono applicate agli oggetti Amministrazione SDHolder per impostazione predefinita cmdlet di PowerShell per l'agente di provisioning di Microsoft EntraA

  • L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
    • Obbligatorio per la ricerca del catalogo globale per escludere riferimenti di appartenenza non validi
  • Microsoft Entra Connessione con build 2.2.8.0 o successiva
    • Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connessione
    • Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier

Gruppi supportati

Sono supportati solo gli elementi seguenti:

  • Sono supportati solo i gruppi di sicurezza creati dal cloud
  • Questi gruppi possono avere un'appartenenza dinamica o assegnata.
  • Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
  • Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
  • Questi gruppi vengono riscritto con l'ambito dei gruppi di Active Directory universale. L'ambiente locale deve supportare l'ambito del gruppo universale.
  • I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
  • Ogni gruppo annidato figlio diretto viene conteggiato come un membro nel gruppo di riferimento
  • La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.

Informazioni aggiuntive

Di seguito sono riportate informazioni aggiuntive sui gruppi di provisioning in Active Directory.

  • I gruppi di cui è stato effettuato il provisioning in ACTIVE Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul proprio account.
  • OnPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente AD di destinazione.
  • Un attributo objectGUID degli utenti locali per un utente cloud suPremisesObjectIdentifier può essere sincronizzato usando Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connessione Sync (2.2.8.0)
  • Se usi Microsoft Entra Connessione Sync (2.2.8.0) per sincronizzare gli utenti, invece di Microsoft Entra Cloud Sync e vuoi usare Provisioning in AD, deve essere 2.2.8.0 o versione successiva.
  • Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant, ad esempio B2C, non sono supportati.
  • Il processo di provisioning del gruppo è pianificato per l'esecuzione ogni 20 minuti.

Scenari supportati per il writeback dei gruppi con Microsoft Entra Cloud Sync

Le sezioni seguenti descrivono gli scenari supportati per il writeback dei gruppi con Microsoft Entra Cloud Sync.

Eseguire la migrazione del writeback del gruppo Microsoft Entra Connessione Sync V2 a Microsoft Entra Cloud Sync

Scenario: eseguire la migrazione del writeback dei gruppi usando Microsoft Entra Connessione Sync (in precedenza Azure AD Connessione) a Microsoft Entra Cloud Sync. Questo scenario è destinato solo ai clienti che usano attualmente Microsoft Entra Connessione writeback del gruppo v2. Il processo descritto in questo documento riguarda solo i gruppi di sicurezza creati dal cloud che vengono riscritto con un ambito universale. I gruppi abilitati alla posta elettronica e gli elenchi di dati scritti tramite Microsoft Entra Connessione writeback del gruppo V1 o V2 non sono supportati.

Per altre informazioni, vedere Eseguire la migrazione di Microsoft Entra Connessione Sync group writeback V2 a Microsoft Entra Cloud Sync.

Gestire le app basate su Active Directory locale (Kerberos) usando Microsoft Entra ID Governance

Scenario: gestire le applicazioni locali con gruppi di Active Directory di cui viene effettuato il provisioning e gestiti nel cloud. Microsoft Entra Cloud Sync consente di gestire completamente le assegnazioni di applicazioni in AD sfruttando al tempo stesso le funzionalità di governance di Microsoft Entra ID per controllare e correggere eventuali richieste correlate all'accesso.

Per altre informazioni, vedere Govern Active Directory locale based apps (Kerberos) using Microsoft Entra ID Governance .For more information see Govern Active Directory locale based apps (Kerberos) using Microsoft Entra ID Governance .

Passaggi successivi