Writeback di gruppo con Microsoft Entra Cloud Sync
Con il rilascio dell'agente di provisioning 1.1.1370.0, la sincronizzazione cloud ha ora la possibilità di eseguire il writeback dei gruppi. Questa funzionalità significa che la sincronizzazione cloud può effettuare il provisioning dei gruppi direttamente nell'ambiente di Active Directory locale. È anche possibile usare le funzionalità di governance delle identità per gestire l'accesso alle applicazioni basate su ACTIVE Directory, ad esempio includendo un gruppo in un pacchetto di accesso di gestione entitlement.
Importante
L'anteprima pubblica del writeback dei gruppi v2 in Microsoft Entra Connect Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in tale data e non sarà più supportata in Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continuerà a funzionare oltre la data di interruzione; tuttavia, non riceverà più supporto dopo questa data e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.
È disponibile una funzionalità simile in Microsoft Entra Cloud Sync denominata Provisioning dei gruppi in Active Directory che è possibile usare al posto del writeback dei gruppi v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità che verranno sviluppate in Cloud Sync.
I clienti che usano questa funzionalità di anteprima in Connect Sync dovranno cambiare la configurazione da Connect Sync to Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se soddisfa specifiche esigenze). È anche possibile eseguire Cloud Sync affiancato e spostare in Cloud Sync solo il provisioning dei gruppi di sicurezza in Active Directory.
I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.
È possibile valutare lo spostamento esclusivo in Cloud Sync usando la procedura guidata di sincronizzazione utenti.
Effettuare il provisioning dell'ID Microsoft Entra in Active Directory - Prerequisiti
Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Requisiti generali
- Account Microsoft Entra con almeno un ruolo di amministratore delle identità ibride.
- Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versione successiva.
- Necessario per l'attributo dello schema di AD - msDS-ExternalDirectoryObjectId
- Agente di provisioning con build 1.1.1370.0 o successiva.
Nota
Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che lettura, scrittura, creazione ed eliminazione di tutte le proprietà per tutti i gruppi discendenti e gli oggetti utente.
Queste autorizzazioni non vengono applicate agli oggetti AdminSDHolder per impostazione predefinita cmdlet di PowerShell per l'agente di provisioning di Microsoft EntraA
- L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
- Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide
- Microsoft Entra Connect con build 2.2.8.0 o successiva
- Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connect
- Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier
Gruppi supportati
Sono supportati solo gli elementi seguenti:
- Sono supportati solo i gruppi di sicurezza creati dal cloud
- Questi gruppi possono avere un'appartenenza dinamica o assegnata.
- Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
- Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
- Questi gruppi vengono riscritto con l'ambito dei gruppi di Active Directory universale. L'ambiente locale deve supportare l'ambito del gruppo universale.
- I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
- Ogni gruppo annidato figlio diretto viene conteggiato come un membro nel gruppo di riferimento
- La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.
Informazioni aggiuntive
Di seguito sono riportate informazioni aggiuntive sui gruppi di provisioning in Active Directory.
- I gruppi di cui è stato effettuato il provisioning in Active Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
- Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul relativo account.
- L'attributo onPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente AD di destinazione.
- Un attributo objectGUID degli utenti locali può essere sincronizzato con un attributo onPremisesObjectIdentifier degli utenti cloud usando Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
- Se usi Microsoft Entra Connect Sync (2.2.8.0) per sincronizzare gli utenti, invece di Microsoft Entra Cloud Sync e vuoi usare Provisioning in AD, deve essere 2.2.8.0 o versione successiva.
- Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant, ad esempio B2C, non sono supportati.
- Il processo di provisioning del gruppo è pianificato per l'esecuzione ogni 20 minuti.
Scenari supportati per il writeback dei gruppi con Microsoft Entra Cloud Sync
Le sezioni seguenti descrivono gli scenari supportati per il writeback dei gruppi con Microsoft Entra Cloud Sync.
- Eseguire la migrazione del writeback del gruppo di sincronizzazione Microsoft Entra Connect V2 a Microsoft Entra Cloud Sync
- Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance
Eseguire la migrazione del writeback dei gruppi v2 di Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync
Scenario: eseguire la migrazione del writeback dei gruppi usando Microsoft Entra Connect Sync (in precedenza Azure AD Connect) a Microsoft Entra Cloud Sync. Questo scenario è destinato solo ai clienti che attualmente usano il writeback del gruppo Microsoft Entra Connect v2. Il processo descritto in questo documento riguarda solo i gruppi di sicurezza creati dal cloud di cui viene eseguito il writeback con un ambito universale. I gruppi abilitati alla posta e le liste di distribuzione di cui viene eseguito il writeback dei gruppi v1 o v2 di Microsoft Entra Connect non sono supportati.
Per altre informazioni, vedere Eseguire la migrazione del writeback del gruppo di sincronizzazione Microsoft Entra Connect V2 a Microsoft Entra Cloud Sync.
Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance
Scenario: gestire le applicazioni locali con gruppi di Active Directory di cui viene effettuato il provisioning e gestiti nel cloud. Microsoft Entra Cloud Sync consente di gestire completamente le assegnazioni di applicazioni in AD sfruttando al tempo stesso le funzionalità di governance di Microsoft Entra ID per controllare e correggere eventuali richieste correlate all'accesso.
Per altre informazioni, vedere Govern Active Directory locale based apps (Kerberos) using Microsoft Entra ID Governance .For more information see Govern Active Directory locale based apps (Kerberos) using Microsoft Entra ID Governance .
Passaggi successivi
- Effettuare il provisioning dei gruppi in Active Directory usando Microsoft Entra Cloud Sync
- Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance
- Eseguire la migrazione del writeback del gruppo di sincronizzazione Microsoft Entra Connect V2 a Microsoft Entra Cloud Sync
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per