Compartilhar via

Provisionar o Microsoft Entra ID para o Active Directory - Configuração

O documento a seguir orientará você pelo escopo de atributo com a Sincronização na Nuvem do Microsoft Entra para provisionamento do Microsoft Entra ID para o Active Directory. Se você estiver procurando informações sobre o provisionamento do AD para o Microsoft Entra ID, consulte Configurar – Provisionando o Active Directory para a ID do Microsoft Entra usando o Microsoft Entra Cloud Sync

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não está mais disponível a partir de 30 de junho de 2024. Esse recurso foi descontinuado nesta data e você não tem mais suporte no Microsoft Entra Connect Sync para provisionar grupos de segurança na nuvem para o Active Directory. O recurso continua operando além da data de descontinuação; no entanto, ele não recebe mais suporte e pode deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante no Microsoft Entra Cloud Sync, chamada Provisionamento de Grupo para Active Directory, que você pode usar em vez de Group Writeback v2 para provisionar grupos de segurança de nuvem no Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Microsoft Entra Cloud Sync juntamente com outros novos recursos que estamos desenvolvendo no Microsoft Entra Cloud Sync.

Os clientes que usam esse recurso de visualização no Microsoft Entra Connect Sync devem mudar sua configuração do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Microsoft Entra Cloud Sync (se ele der suporte às suas necessidades). Você também pode executar o Microsoft Entra Cloud Sync simultaneamente e mover apenas o provisionamento de grupo de segurança da nuvem no Active Directory para o Microsoft Entra Cloud Sync.

Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.

Você pode avaliar a migração exclusivamente para o Microsoft Entra Cloud Sync usando o assistente de sincronização do usuário.

Configurar provisionamento

Para configurar o provisionamento, execute estas etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um administrador de identidade híbrida.

  2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

    Captura de tela que mostra a home page do Microsoft Entra Connect Cloud Sync.

  1. Selecione Nova configuração.
  2. Selecione a ID do Microsoft Entra para sincronização do AD.

Captura de tela da seleção de configuração.

  1. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Clique em Criar.

Captura de tela de uma nova configuração.

  1. A tela Introdução será aberta. Aqui, você pode continuar configurando a sincronização na nuvem.

Captura de tela das seções de configuração.

  1. A configuração é dividida nas cinco seções a seguir.
Seção Descrição
1. Adicionar filtros de escopo Use esta seção para definir quais objetos aparecem no Microsoft Entra ID
2. Mapear atributos Use esta seção para mapear atributos entre usuários/grupos locais com objetos do Microsoft Entra
3. Teste Teste sua configuração antes de implantá-la
4. Exibir propriedades padrão Veja a configuração padrão antes de habilitá-la e faça alterações quando apropriado
5. Habilitar sua configuração Depois de pronta, habilite a configuração e os usuários/grupos começarão a ser sincronizados

Provisionamento de escopo para grupos específicos

Você pode definir o escopo do agente para sincronizar todos os grupos de segurança ou somente alguns específicos.

Para obter mais informações, consulte Filtragem de escopo baseada em atributo e referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID e Cenário – Usando extensões de diretório com provisionamento de grupo para o Active Directory.

Você não pode configurar grupos e unidades organizacionais em uma configuração.

  1. Na tela de configuração Introdução. Clique em Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo ou clique em Filtros de escopo à esquerda em Gerenciar.

Captura de tela das seções de filtros de escopo.

  1. Selecione o filtro de escopo. O filtro pode ser um dos seguintes:
  • Todos os grupos de segurança: define o escopo da configuração a ser aplicada a todos os grupos de segurança de nuvem.
  • Grupos de segurança selecionados: define o escopo da configuração a ser aplicada a grupos de segurança específicos.
  1. Para grupos de segurança específicos, selecione Editar grupos e escolha os grupos desejados na lista.

Observação

Se você selecionar um grupo de segurança que tenha um grupo de segurança aninhado como membro, será feito write-back novamente apenas do grupo aninhado e não de seus membros. Por exemplo, se um grupo de segurança de Vendas for um membro do grupo de segurança de Marketing, será feito o write-back novamente apenas do próprio grupo Vendas e não dos membros do grupo Vendas.

Se você quiser aninhar grupos e provisioná-los no AD, precisará adicionar todos os grupos de membros ao escopo também.

  1. Você pode usar a caixa Contêiner de Destino para definir o escopo de grupos que usam um contêiner específico. Realize essa tarefa usando o atributo parentDistinguishedName. Use um mapeamento constante, direto ou de expressão.

Vários contêineres de destino podem ser configurados usando uma expressão de mapeamento de atributo com a função Switch(). Com essa expressão, se o valor displayName for Marketing ou Vendas, o grupo será criado na UO correspondente. Se não houver correspondência, o grupo será criado na UO padrão.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Captura de tela da expressão dos filtros de escopo.

  1. Há suporte para filtragem de escopo baseada em atributo. Para obter mais informações, consulte Filtragem de escopo baseada em atributo e referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID e Cenário – Usando extensões de diretório com provisionamento de grupo para o Active Directory.
  2. Depois que os filtros de escopo estiverem configurados, clique em Salvar.
  3. Depois de salvar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar. Captura de tela do empurrão para filtros de escopo.

Provisionamento de escopo para grupos específicos usando extensões de diretório

Para criar escopos e filtragem mais avançados, você pode configurar o uso de extensões de diretório. Para obter uma visão geral das extensões de diretório, consulte as extensões do Diretório para provisionar a ID do Microsoft Entra no Active Directory

Para obter um tutorial passo a passo sobre como estender o esquema e, em seguida, usar o atributo de extensão de diretório com provisionamento de sincronização de nuvem para o AD, consulte Cenário – Usando extensões de diretório com provisionamento de grupo para o Active Directory.

Mapeamento de atributos

A Sincronização na Nuvem do Microsoft Entra permite que você mapeie facilmente atributos entre seus objetos de usuário/grupo local e os objetos no Microsoft Entra ID.

Captura de tela dos mapeamentos de atributo padrão.

Você pode personalizar mapeamentos de atributo padrão de acordo com suas necessidades comerciais. Sendo assim, você pode alterar ou excluir mapeamentos de atributos existentes ou criar mapeamentos.

Depois de salvar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar.

Para obter mais informações, consulte mapeamento de atributo e referência para escrever expressões para mapeamentos de atributos na ID do Microsoft Entra.

Extensões de diretório e mapeamento de atributos personalizados.

A Sincronização na Nuvem do Microsoft Entra permite estender o diretório com extensões e fornece mapeamento de atributos personalizados. Para obter mais informações , consulte extensões de diretório e mapeamento de atributo personalizado.

Provisionamento sob demanda

A Sincronização na Nuvem do Microsoft Entra permite que você teste as alterações de configuração, aplicando essas alterações a um único usuário ou grupo.

Captura de tela do provisionamento sob demanda.

Você pode usar isso para validar e verificar se as alterações feitas na configuração foram aplicadas corretamente e estão sendo sincronizadas corretamente com o Microsoft Entra.

Depois de testar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar.

Para obter mais informações, consulte provisionamento sob demanda.

Exclusões acidentais e notificações por email

A seção de propriedades padrão fornece informações sobre exclusões acidentais e notificações por email.

O recurso de exclusão acidental foi projetado para protegê-lo contra alterações de configuração acidentais e alterações em seu diretório local que afetariam muitos usuários e grupos.

Esse recurso permite que você:

  • Configure a capacidade de impedir exclusões acidentais automaticamente.
  • Defina o número de objetos (limite) para além do qual a configuração entrará em vigor
  • Configure um endereço de email de notificação para possibilitar receber uma notificação por email assim que o trabalho de sincronização em questão for colocado em quarentena para esse cenário

Para obter mais informações, consulte Exclusões acidentais

Clique no lápis ao lado do Básico para alterar os padrões em uma configuração.

Habilitar sua configuração

Depois de finalizar e testar a configuração, você poderá habilitá-la.

Clique em Habilitar configuração para habilitá-la.

Quarentenas

A sincronização de nuvem monitora a integridade de sua configuração e coloca objetos não íntegros em um estado de quarentena. Se a maioria ou todas as chamadas feitas no sistema de destino falharem regularmente por causa de um erro, por exemplo, credenciais de administrador inválidas, o trabalho de sincronização será marcado como em quarentena. Para obter mais informações, consulte a seção de solução de problemas em quarentenas.

Reiniciar o provisionamento

Se você não quiser aguardar a próxima execução agendada, dispare a execução do provisionamento usando o botão Reiniciar sincronização .

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um administrador de identidade híbrida.

  2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

    Captura de tela que mostra a home page do Microsoft Entra Connect Cloud Sync.

  1. Em Configuração, selecione sua configuração.

  2. Na parte superior, selecione Reiniciar sincronização.

Remover uma configuração

Para excluir uma configuração, siga estas etapas:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos um administrador de identidade híbrida.

  2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

    Captura de tela que mostra a home page do Microsoft Entra Connect Cloud Sync.

  1. Em Configuração, selecione sua configuração.

  2. Na parte superior da tela de configuração, selecione Excluir configuração.

Importante

Não há nenhuma confirmação antes de excluir uma configuração. Verifique se essa é a ação que você deseja executar antes de selecionar Excluir.

Próximas etapas