Como configurar o write-back de grupo no gerenciamento de direitos

  • Artigo

Este artigo mostra como configurar o write-back de grupo no gerenciamento de direitos. O write-back de grupo é um recurso que permite que você grave grupos de nuvem de volta na sua instância do Active Directory local usando o Microsoft Entra Cloud Sync.

Configurar o write-back de grupo no gerenciamento de direitos

Para configurar o write-back para grupos do Microsoft 365 em pacotes de acesso, você precisa concluir os seguintes pré-requisitos:

  • Habilitar o write-back de grupo no Centro de administração do Microsoft Entra.
  • A Unidade Organizacional (UO) que será usada para configurar o write-back de grupo na Configuração do Microsoft Entra Cloud Sync.
  • Conclua as etapas de habilitação de write-back de grupo para o Microsoft Entra Cloud Sync.

Ao usar o write-back de grupo, agora você pode sincronizar grupos de segurança que fazem parte de pacotes de acesso com o Active Directory local. Para sincronizar os grupos, siga as etapas abaixo:

  1. Crie um grupo de segurança do Microsoft Entra.

  2. Defina o grupo em que o write-back será realizado no Active Directory local. Para obter instruções, consulte Write-back de grupo no Centro de administração do Microsoft Entra.

  3. Adicione o grupo a um pacote de acesso como uma função de recurso. Confira Criar um pacote de acesso para obter diretrizes.

  4. Inicie Usuários e Computadores do Active Directory e aguarde até que o novo grupo do AD resultante seja criado no domínio do AD. Quando estiver presente, registre o nome diferenciado, o domínio, o nome da conta e o SID do novo grupo do AD.

  5. Configure o aplicativo para usar o novo grupo, atualizando o aplicativo ou adicionando o grupo como membro de um grupo existente, conforme descrito em Como governar aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.

  6. Atribua o usuário ao pacote de acesso. Confira Exibir, adicionar e remover atribuições de um pacote de acesso para obter instruções para atribuir diretamente um usuário.

  7. Depois de atribuir um usuário ao pacote de acesso, confirme se o usuário já é membro do grupo local após concluir o ciclo do Microsoft Entra Cloud Sync:

    1. Exibir a propriedade membro do grupo na UO local OU
    2. Examinar o membro Do no objeto de usuário.

    Observação

    A agenda padrão do ciclo do Microsoft Entra Cloud Sync é a cada 30 minutos. Talvez seja necessário aguardar até que o próximo ciclo ocorra para ver os resultados localmente ou optar por executar o ciclo de sincronização manualmente para ver os resultados mais cedo.

  8. No monitoramento de domínio do AD, permita que apenas a conta gMSA que executa o agente de provisionamento tenha autorização para alterar a associação no novo grupo do AD.

Próximas etapas