Share via

Topologias e cenários com suporte para sincronização na nuvem do Microsoft Entra

  • Artigo

Este artigo descreve várias topologias locais e do Microsoft Entra que usam a Sincronização na Nuvem do Microsoft Entra. Este artigo inclui apenas configurações e cenários com suporte.

Importante

A Microsoft não oferece suporte à modificação ou à operação da Sincronização de Nuvem do Microsoft Entra fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte da Sincronização na Nuvem do Microsoft Entra. Consequentemente, a Microsoft não pode fornecer suporte técnico para essas implantações.

Para obter mais informações, consulte o vídeo a seguir.

Lembretes sobre todos os cenários e topologias

As informações abaixo deverão ser consideradas ao selecionar uma solução.

  • Usuários e grupos devem ser exclusivamente identificados em todas as florestas.
  • A correspondência entre florestas não ocorre com a sincronização na nuvem.
  • A âncora de origem dos objetos é escolhida automaticamente. Ela usa ms-DS-ConsistencyGuid, se presente, caso contrário, objectGUID é usado.
  • Não é possível alterar o atributo usado para âncora de origem.

Topologias com suporte do Active Directory para o Microsoft Entra ID

As topologias a seguir têm suporte para provisionamento do Active Directory para o Microsoft Entra ID.

Floresta única, locatário do Microsoft Entra único

Diagrama mostrando a topologia de uma única floresta e um único locatário.

A topologia mais simples é uma floresta única local, com um ou vários domínios e um único locatário do Microsoft Entra. Para ver um exemplo desse cenário, confira Tutorial: uma única floresta com um único locatário do Microsoft Entra

Floresta múltipla, locatário do Microsoft Entra único

Topologia de uma multifloresta e um único locatário

Várias florestas do AD são uma topologia comum, com um ou vários domínios e um único locatário do Microsoft Entra.

Floresta existente com o Microsoft Entra Connect, nova floresta com provisionamento de nuvem

Diagrama mostrando a topologia de uma floresta existente e de uma nova floresta.

Esse cenário tem uma topologia semelhante ao cenário de várias florestas. No entanto, este envolve um ambiente existente do Microsoft Entra Connect e, em seguida, integra uma nova floresta usando a Sincronização na Nuvem do Microsoft Entra. Para ver um exemplo desse cenário, confira Tutorial: uma floresta existente com um único locatário do Microsoft Entra

Testar a Sincronização na Nuvem do Microsoft Entra em uma floresta de AD híbrida existente

Topologia para uma única floresta e um único locatário O cenário do piloto envolve a existência do Microsoft Entra Connect e da Sincronização na Nuvem do Microsoft Entra na mesma floresta, e o escopo dos usuários e grupos é ajustado conforme necessário. Observação: um objeto deve estar no escopo em apenas uma das ferramentas.

Para um exemplo desse cenário, consulte Tutorial: criar um piloto da Sincronização na Nuvem do Microsoft Entra em uma floresta do AD sincronizada existente

Mesclar objetos de fontes desconectadas

(Versão prévia pública)

Diagrama para mesclar objetos de fontes desconectadas Nesse cenário, os atributos de um usuário são contribuídos por duas florestas desconectadas do Active Directory.

Um exemplo seria:

  • Uma floresta (1) contém a maioria dos atributos.
  • Uma segunda floresta (2) contém alguns atributos.

Como a segunda floresta não tem conectividade de rede com o servidor Microsoft Entra Connect, o objeto não poderá ser mesclado por meio do Microsoft Entra Connect. A sincronização na nuvem na segunda floresta permite que o valor do atributo seja recuperado da segunda floresta. Em seguida, o valor pode ser mesclado com o objeto no Microsoft Entra ID sincronizado pelo Microsoft Entra Connect.

Essa configuração é avançada e há algumas ressalvas para essa topologia:

  1. Você deverá usar ms-DS-ConsistencyGuid como âncora de origem na configuração de sincronização na nuvem.
  2. O ms-DS-ConsistencyGuid do objeto de usuário na segunda floresta deverá corresponder ao objeto correspondente no Microsoft Entra ID.
  3. Você deverá preencher o atributo UserPrincipalName e o atributo Alias na segunda floresta e deve corresponder aos que são sincronizados da primeira floresta.
  4. Você deverá remover todos os atributos do mapeamento de atributos na configuração de sincronização na nuvem que não tenham um valor ou possam ter um valor diferente na segunda floresta, ou seja, não será possível ter mapeamentos de atributos sobrepostos entre a primeira floresta e a segunda.
  5. Se não houver objetos correspondentes na primeira floresta, para um objeto sincronizado da segunda floresta, a sincronização na nuvem ainda criará o objeto no Microsoft Entra ID. O objeto terá apenas os atributos definidos na configuração de mapeamento da sincronização na nuvem para a segunda floresta.
  6. Se você excluir o objeto da segunda floresta, ocorrerá a exclusão temporária do objeto no Microsoft Entra ID. Ele será restaurado automaticamente após o próximo ciclo de sincronização do Microsoft Entra Connect.
  7. Se você excluir o objeto da primeira floresta, ele será excluído do Microsoft Entra ID. O objeto não será restaurado, exceto se fizer uma alteração no objeto na segunda floresta. Após 30 dias, o objeto será excluído do Microsoft Entra ID e, se uma alteração for feita no objeto na segunda floresta, ele será criado como um novo objeto no Microsoft Entra ID.

Topologias com suporte do Microsoft Entra ID para Active Directory

As topologias a seguir têm suporte para provisionamento do Microsoft Entra ID para o Active Directory.

Provisionamento de grupo de floresta única no Active Directory

Diagrama conceitual de write-back de floresta única.

A topologia de provisionamento de grupo mais simples é uma floresta única local, com um ou vários domínios e um único locatário do Microsoft Entra. Para obter um exemplo desse cenário, consulte Provisionar grupos no Active Directory

Provisionamento de grupo de várias florestas no Active Directory

Diagrama conceitual de write-back de várias florestas.

Uma topologia de provisionamento de grupo mais avançada consiste em várias florestas locais do AD compartilhando um único locatário do Microsoft Entra ID.

Essa configuração é avançada e há algumas coisas a serem lembradas com essa topologia:

  • Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
  • Todos esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
  • O atributo onPremisesObjectIdentifier deve corresponde a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários na nuvem pode ser sincronizado usando a Sincronização na nuvem do Microsoft Entra (1.1.1370.0) ou a Sincronização do Microsoft Entra Connect (2.2.8.0)
  • Dentro de seu locatário, você pode compartilhar um grupo comum que contém usuários de ambas as florestas.
  • No entanto, os usuários que não existem na outra floresta, NÃO serão provisionados como membros do grupo quando ele for provisionado localmente. Portanto, se você tiver um grupo no Microsoft Entra ID que contenha usuários de contoso.com e fabrikam.com, somente os usuários que existem na floresta contoso.com serão membros do grupo quando ele for provisionado em contoso.com. O mesmo ocorrerá com fabrikam.

Próximas etapas