Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra

Importante

A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory. O recurso continuará operando além da data de descontinuação; no entanto, ele não receberá mais suporte após essa data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.

Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.

Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.

Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.

O documento a seguir descreve como migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento pertence apenas a grupos de segurança criados na nuvem cujo write-back foi feito com um escopo universal.

Importante

Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect

Além disso, esse cenário só tem suporte para:

• Grupos de segurança criados na nuvem
• grupos gravados de volta no AD com escopo de universal.

Grupos habilitados para email e DLs gravados novamente no AD continuam a funcionar com write-back de grupo do Microsoft Entra Connect, mas serão revertidos para o comportamento do write-back de grupo V1, portanto, nesse cenário, depois de desabilitar o write-back de grupo V2, todos os grupos M365 serão gravados de volta no AD independentemente da configuração Habilitada para Write-back no Centro de administração do Entra. Para obter mais informações, consulte a seção Provisionamento para o Active Directory com Perguntas Frequentes do Microsoft Entra Cloud Sync.

Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar esse cenário.

• Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
• Uma conta do AD local com pelo menos permissões de administrador de domínio – necessária para acessar o atributo adminDescription e copiá-lo para o atributo msDS-ExternalDirectoryObjectId
• Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
• Agente de provisionamento com a versão de build 1.1.1367.0 ou posterior.
• O agente de provisionamento deve ser capaz de se comunicar com os controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas

Convenção de nomenclatura para grupos gravados de volta

Por padrão, o Microsoft Entra Connect Sync usa o seguinte formato ao nomear grupos que são gravados novamente.

• Formato padrão: CN=Group_<guid>,OU=<contêiner>,DC=<componente de domínio>,DC=<componente de domínio>

• Exemplo: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar a localização de grupos sendo gravados de volta do Microsoft Entra ID para o Active Directory, o Microsoft Entra Connect Sync adicionou uma opção para gravar o nome do grupo usando o nome de exibição na nuvem. Isso é feito selecionando o Nome diferenciado do grupo de write-back com o nome de exibição de nuvem durante a configuração inicial do write-back de grupo v2. Se esse recurso estiver habilitado, o Microsoft Entra Connect usará o novo formato a seguir, em vez do formato padrão:

• Novo formato: CN=<nome de exibição>_<últimos 12 dígitos da ID de objeto>,OU=<contêiner>,DC=<componente de domínio>,DC=<componente de domínio>

• Exemplo: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Importante

Por padrão, a sincronização de nuvem do Microsoft Entra usa o novo formato, mesmo que o recurso Nome Diferenciado do Grupo de Write-Back com o Nome de Exibição de nuvem não esteja habilitado no Microsoft Entra Connect Sync. Se você estiver usando a nomenclatura padrão do Microsoft Entra Connect Sync e migrar o grupo para que ele seja gerenciado pela sincronização de nuvem do Microsoft Entra, o grupo será renomeado para o novo formato. Use a seção a seguir para permitir que a sincronização de nuvem do Microsoft Entra use o formato padrão do Microsoft Entra Connect.

Usando o formato padrão

Se você quiser que a sincronização de nuvem use o mesmo formato padrão que o Microsoft Entra Connect Sync, será necessário modificar a expressão de fluxo de atributo para o atributo CN. Os dois mapeamentos possíveis são:

Expression	Sintaxe	Descrição
Expressão padrão de sincronização de nuvem usando DisplayName	Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	A expressão padrão usada pela sincronização de nuvem do Microsoft Entra (ou seja, o novo formato)
Nova expressão de sincronização de nuvem sem usar DisplayName	Append("Group_", [objectId])	A nova expressão para usar o formato padrão do Microsoft Entra Connect Sync.

Para obter mais informações, confira Adicionar um mapeamento de atributo – Microsoft Entra ID para Active Directory

Etapa 1 – Copiar adminDescription para msDS-ExternalDirectoryObjectID

Para validar referências de associação de grupo, o Microsoft Entra Cloud Sync deve consultar o Catálogo Global do Active Directory para o atributo msDS-ExternalDirectoryObjectID. Esse é um atributo indexado que é replicado em todos os Catálogos Globais na Floresta do Active Directory.

1. Em seu ambiente local, abra o Editor ADSI.

2. Copie o valor que está no atributo do grupo adminDescription

   

3. Cole no atributo msDS-ExternalDirectoryObjectID

   

O script do PowerShell a seguir pode ser usado para ajudar a automatizar esta etapa. Este script leva todos os grupos no contêiner UO=Groups,DC=Contoso,DC=com e copiará o valor do atributo adminDescription para o valor do atributo msDS-ExternalDirectoryObjectID. Antes de usar esse script, atualize a variável $gwbOU com o DistinguishedName da UO (unidade organizacional) de destino do write-back de grupo.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

O script do PowerShell a seguir pode ser usado para conferir os resultados do script acima ou confirmar se todos os grupos têm o valor de adminDescription igual ao valor de msDS-ExternalDirectoryObjectID.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Etapa 2 – Colocar o servidor do Microsoft Entra Connect Sync no modo de preparo e desabilitar o agendador de sincronização

1. Inicie o assistente do Microsoft Entra Connect

2. Clique em Configurar

3. Selecione Configurar modo de preparo e clique em Avançar

4. Digite suas credenciais do Microsoft Entra

5. Marque a caixa Habilitar modo de preparo e clique em Avançar

   

6. Clique em Configurar

7. Clique em Sair

   

8. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

9. Desabilite o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Etapa 3 – Criar uma regra de entrada de grupo personalizada

No editor de Regras de Sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre grupos que tenham NULL no atributo de email. A regra de sincronização de entrada é uma regra de junção com um atributo de destino de cloudNoFlow. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la por meio do PowerShell com o script fornecido.

Criar uma regra de entrada de grupo personalizada na interface do usuário

1. Inicialize o Editor de Regras de Sincronização no menu Iniciar.

2. Selecione De entrada na lista suspensa para Direção e selecione Adicionar nova regra.

3. Na página Descrição, insira o seguinte e selecione Avançar:

   • Nome: Dê um nome significativo à regra

   • Descrição: Adicionar uma descrição significativa

   • Sistema Conectado: escolha o conector do Microsoft Entra para o qual você está gravando a regra de sincronização personalizada

   • Tipo de objeto do sistema conectado: grupo

   • Tipo de objeto do Metaverse: grupo

   • Tipo de Link: Join

   • Precedência: Forneça um valor que seja exclusivo no sistema. É recomendável que seja inferior a 100, de modo que tenha precedência sobre as regras padrão.

   • Marca: Deixar em branco

     

4. Na página Filtro de escopo, adicione o seguinte e selecione Avançar.

   Atributo	Operador	Valor
   cloudMastered	EQUAL	true
   email	ISNULL

   

5. Na página Regras de ingresso, selecione Avançar.

6. Na página Transformações, adicione uma transformação Constante: flow True para o atributo cloudNoFlow.

   

7. Selecione Adicionar.

Criar uma regra de entrada de grupo personalizado no PowerShell

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo .

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização [0-99].

   [int] $inboundSyncRulePrecedence = 88
   

4. Execute a consulta a seguir:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Etapa 4 – Criar uma regra de saída de grupo personalizada

Você também precisa de uma regra de sincronização de saída com um tipo de link JoinNoFlow e o filtro de escopo que tenha o atributo cloudNoFlow definido como True. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la por meio do PowerShell com o script fornecido.

Criar uma regra de saída de grupo personalizada na interface do usuário

1. Selecione De saída na lista suspensa para Direção e selecione Adicionar regra.

2. Na página Descrição, insira o seguinte e selecione Avançar:

   • Nome: Dê um nome significativo à regra
   • Descrição: Adicionar uma descrição significativa
   • Sistema Conectado: escolha o conector do AD para o qual você está gravando a regra de sincronização personalizada
   • Tipo de objeto do sistema conectado: grupo
   • Tipo de objeto do Metaverse: grupo
   • Tipo de Link: JoinNoFlow
   • Precedência: Forneça um valor que seja exclusivo no sistema. É recomendável que seja inferior a 100, de modo que tenha precedência sobre as regras padrão.
   • Marca: Deixar em branco

   

3. Na página de Filtro de escopo, escolha cloudNoFlow igual a True. Em seguida, selecione Avançar.

   

4. Na página Regras de ingresso, selecione Avançar.

5. Na página de Transformações, selecione Adicionar.

Criar uma regra de entrada de grupo personalizado no PowerShell

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo .

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização [0-99].

   [int] $outboundSyncRulePrecedence = 89
   

4. Obtenha o conector do Active Directory para write-back de grupo.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Execute a consulta a seguir:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Etapa 5 – Usar o PowerShell para concluir a configuração

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo ADSync:

   Import-Module ADSync
   

3. Execute um ciclo de sincronização completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Desabilite o recurso de write-back de grupo para o locatário:

   Aviso

   essa operação é irreversível. Depois de desabilitar o write-back de grupo V2, todos os grupos do Microsoft 365 serão gravados novamente no AD, independentemente da configuração Habilitada para Write-back no Centro de administração do Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Executar um ciclo de sincronização completo (sim novamente):

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Reabilite o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Etapa 6 – Remover o servidor do Microsoft Entra Connect Sync do modo de preparo

1. Inicie o assistente do Microsoft Entra Connect
2. Clique em Configurar
3. Selecione Configurar modo de preparo e clique em Avançar
4. Digite suas credenciais do Microsoft Entra
5. Desmarque a caixa Habilitar modo de preparo e clique em Avançar
6. Clique em Configurar
7. Clique em Sair

Etapa 7 – Configurar a Sincronização na Nuvem do Microsoft Entra

Agora que os grupos foram removidos do escopo de sincronização do Microsoft Entra Connect Sync, você pode definir e configurar o Microsoft Entra Cloud Sync para assumir a sincronização dos grupos de segurança. Confira Provisionar grupos no Active Directory usando a Sincronização na nuvem do Microsoft Entra.

Próximas etapas

• Provisionar grupos no Active Directory usando o Microsoft Entra Cloud Sync
• Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
• Provisionamento para o Active Directory com o Perguntas Frequentes do Microsoft Entra Cloud Sync