Migrar o write-back de grupo V2 do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync
Importante
A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory.
Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.
Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.
O documento a seguir descreve como migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento pertence apenas a grupos de segurança criados na nuvem cujo write-back foi feito com um escopo universal. Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.
Importante
Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect
Além disso, esse cenário só tem suporte para:
- Grupos de segurança criados na nuvem
- o write-back desses grupos são feitos com o escopo de grupos AD universal.
Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.
Para obter mais informações, consulte a seção Provisionamento para o Active Directory com Perguntas Frequentes do Microsoft Entra Cloud Sync.
Pré-requisitos
Os pré-requisitos a seguir são necessários para implementar esse cenário.
- Conta do Microsoft Entra com pelo menos uma função de Administrador Híbrido.
- Uma conta do AD local com pelo menos permissões de administrador de domínio – necessária para acessar o atributo adminDescription e copiá-lo para o atributo msDS-ExternalDirectoryObjectId
- Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
- Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
- Agente de provisionamento com a versão de build 1.1.1367.0 ou posterior.
- O agente de provisionamento deve ser capaz de se comunicar com os controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
- Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
Etapa 1 – Copiar adminDescription para msDS-ExternalDirectoryObjectID
Em seu ambiente local, abra o Editor ADSI.
Copie o valor que está no atributo do grupo adminDescription
Cole no atributo msDS-ExternalDirectoryObjectID
Etapa 2 – Colocar o servidor do Microsoft Entra Connect Sync no modo de preparo e desabilitar o agendador de sincronização
Inicie o assistente do Microsoft Entra Connect
Clique em Configurar
Selecione Configurar modo de preparo e clique em Avançar
Digite suas credenciais do Microsoft Entra
Marque a caixa Habilitar modo de preparo e clique em Avançar
Clique em Configurar
Clique em Sair
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Desabilite o agendador de sincronização:
Set-ADSyncScheduler -SyncCycleEnabled $false
Etapa 3 – Criar uma regra de entrada de grupo personalizada
No editor de Regras de Sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre grupos que tenham NULL no atributo de email. A regra de sincronização de entrada é uma regra de junção com um atributo de destino de cloudNoFlow. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos.
Inicie o editor de sincronização no menu de aplicativo na área de trabalho conforme mostrado abaixo:
Selecione De entrada na lista suspensa para Direção e selecione Adicionar nova regra.
Na página Descrição, insira o seguinte e selecione Avançar:
Nome: Dê um nome significativo à regra
Descrição: Adicionar uma descrição significativa
Sistema Conectado: escolha o conector do Microsoft Entra para o qual você está gravando a regra de sincronização personalizada
Tipo de objeto do sistema conectado: grupo
Tipo de objeto do Metaverse: grupo
Tipo de Link: Join
Precedência: Forneça um valor que seja exclusivo no sistema
Marca: Deixar em branco
Na página Filtro de escopo, adicione o seguinte e selecione Avançar.
Atributo Operador Valor cloudMastered EQUAL true mail ISNULL 
Na página Regras de ingresso, selecione Avançar.
Na página Transformações, adicione uma transformação Constante: flow True para o atributo cloudNoFlow. Selecione Adicionar.
Etapa 4 – Criar uma regra de saída de grupo personalizada
Você também precisará de uma regra de sincronização de saída com um tipo de link JoinNoFlow e o filtro de escopo que tenha o atributo cloudNoFlow definido como True. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos.
Selecione De saída na lista suspensa para Direção e selecione Adicionar regra.
Na página Descrição, insira o seguinte e selecione Avançar:
- Nome: Dê um nome significativo à regra
- Descrição: Adicionar uma descrição significativa
- Sistema Conectado: escolha o conector do AD para o qual você está gravando a regra de sincronização personalizada
- Tipo de objeto do sistema conectado: grupo
- Tipo de objeto do Metaverse: grupo
- Tipo de Link: JoinNoFlow
- Precedência: Forneça um valor que seja exclusivo no sistema
- Marca: Deixar em branco
Na página de Filtro de escopo, escolha cloudNoFlow igual a True. Em seguida, selecione Avançar.
Na página Regras de ingresso, selecione Avançar.
Na página de Transformações, selecione Adicionar.
Etapa 5 – Usar o PowerShell para concluir a configuração
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Importe o módulo ADSync:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'Execute um ciclo de sincronização completo:
Start-ADSyncSyncCycle -PolicyType InitialDesabilite o recurso de write-back de grupo para o locatário:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseExecutar um ciclo de sincronização completo (sim novamente):
Start-ADSyncSyncCycle -PolicyType InitialReabilite o agendador de sincronização:
Set-ADSyncScheduler -SyncCycleEnabled $true
Etapa 6 – Remover o servidor do Microsoft Entra Connect Sync do modo de preparo
- Inicie o assistente do Microsoft Entra Connect
- Clique em Configurar
- Selecione Configurar modo de preparo e clique em Avançar
- Digite suas credenciais do Microsoft Entra
- Desmarque a caixa Habilitar modo de preparo e clique em Avançar
- Clique em Configurar
- Clique em Sair
Etapa 7 – Configurar a Sincronização na Nuvem do Microsoft Entra
Agora que você removeu com êxito os grupos do escopo da Sincronização do Microsoft Entra Connect, você pode configurar a Sincronização na nuvem do Microsoft Entra para assumir a sincronização. Confira Provisionar grupos no Active Directory usando a Sincronização na nuvem do Microsoft Entra.