Tutorial – Provisionar grupos no Active Directory usando a Sincronização na nuvem do Microsoft Entra

Este tutorial explica como criar e configurar a sincronização na nuvem para sincronizar grupos com o Active Directory local.

Provisionar o Microsoft Entra ID no Active Directory – Pré-requisitos

Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
• Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
  • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
• Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.

Anotação

As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir a definição de todas as propriedades de Leitura, Gravação, Criação e Exclusão para todos os Grupos e objetos de usuário descendentes.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão cmdlets do PowerShell do operador de provisionamento gMSA do Microsoft Entra

• O operador de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
• Sincronização do Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
  • Necessário para dar suporte à subscrição de usuário local sincronizada usando a sincronização do Microsoft Entra Connect
  • Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier

Grupos com suporte e limites de escala

As seguintes ações são compatíveis:

• Há suporte apenas para os Grupos de segurança criados na nuvem
• Esses grupos podem ter uma associação atribuída ou dinâmica.
• Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
• As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
• O write-back desses grupos é feito com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
• Não há suporte para grupos com mais de 50.000 membros.
• Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
• Cada grupo filho aninhado de forma direta conta como um membro no grupo de referência
• Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.

Informações adicionais

A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.

• Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
• Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
• O atributo onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
• Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários na nuvem pode ser sincronizado usando a Sincronização na nuvem do Microsoft Entra (1.1.1370.0) ou a Sincronização do Microsoft Entra Connect (2.2.8.0)
• Se você estiver usando a Sincronização do Microsoft Entra Connect (2.2.8.0) para sincronizar usuários em vez da Sincronização na nuvem do Microsoft Entra e quiser usar o Provisionamento para o AD, deverá usar a versão 2.2.8.0 ou posterior.
• Há suporte somente para locatários regulares do Microsoft Entra ID para o provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para locatários como B2C.
• O cargo de provisionamento de grupo está agendado para execução a cada 20 minutos.

Pressuposições

Este tutorial pressupõe o seguinte:

• Você tem um ambiente local do Active Directory
• Você tem a configuração de sincronização na nuvem para sincronizar usuários com o Microsoft Entra ID.
• Você tem dois usuários sincronizados. Brenda Fernandes e Lara Cardoso. Esses usuários existem no local e no Microsoft Entra ID.
• Três unidades organizacionais foram criadas no Active Directory – Grupos, Vendas e Marketing. Elas têm os seguintes distinguishedNames:
• OU=Marketing,DC=contoso,DC=com
• OU=Sales,DC=contoso,DC=com
• OU=Groups,DC=contoso,DC=com

Criar dois grupos no Microsoft Entra ID.

Para começar, criamos dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

1. Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de identidade híbrida.
2. Navegue até Identidade>Grupos>Todos os grupos.
3. Na parte superior, clique em Novo grupo.
4. Verifique se o Tipo de grupo está definido como de segurança.
5. Para o Nome do Grupo, insira Vendas
6. Para o Tipo de subscrição, mantenha-o atribuído.
7. Clique em Criar.
8. Repita esse processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

1. Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador de identidade híbrida.
2. Navegue até Identidade>Grupos>Todos os grupos.
3. Na parte superior, na caixa de pesquisa, insira Vendas.
4. Clique no novo grupo Vendas.
5. À esquerda, clique em Membros
6. Na parte superior, clique em Adicionar membros.
7. Na parte superior, na caixa de pesquisa, insira Brenda Fernandes.
8. Marque a caixa de seleção ao lado de Brenda Fernandes e clique em Selecionar
9. Isso deve adicioná-la com êxito ao grupo.
10. Na extrema esquerda, clique em Todos os grupos e repita esse processo usando o grupo Vendas e adicionando Lara Cardoso a esse grupo.

Configurar provisionamento

Para configurar o provisionamento, execute estas etapas.

1. Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador híbrido.
2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.

3. Escolha Nova configuração.

4. Escolha Sincronizar o Microsoft Entra ID ao AD.

5. Na tela de configuração, selecione seu domínio e se a sincronização de hash de senha deve ser habilitada. Clique em Criar.

6. A tela Introdução é aberta. Aqui, você pode continuar a configurar a sincronização na nuvem

7. À esquerda, clique em Filtros de escopo.

8. Em Escopo do grupo, defina-o como Todos os grupos de segurança

9. Em Contêiner de destino, clique em Editar mapeamento de atributo.

10. Altere Tipo de mapeamento para Expressão

11. Na caixa de expressão, insira o seguinte: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

12. Altere o Valor padrão para OU=Groups,DC=contoso,DC=com.

13. Clique em Aplicar – Isso altera o contêiner de destino dependendo do atributo displayName do grupo.

14. Clique em Salvar

15. À esquerda, clique em Visão geral

16. Na parte superior, clique em Revisar e habilitar

17. À direita, clique em Habilitar configuração

Configuração de teste

Anotação

Quando o provisionamento sob demanda é usado, os membros não são provisionados automaticamente. Você precisa selecionar em quais membros deseja fazer o teste e há um limite de cinco membros.

1. Iniciar sessão no centro de administração do Microsoft Entra como, pelo menos, Administrador híbrido.
2. Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.

3. Em Configuração, escolha sua configuração.

4. À esquerda, escolha Provisionar sob demanda.

5. Insira Vendas na caixa Grupo selecionado

6. Na seção Usuários selecionados, selecione alguns usuários para testar.

7. Clique em Provisionar.

8. Você deve ver o grupo provisionado.

Verificar no Active Directory

Agora você pode verificar se o grupo foi provisionado no Active Directory.

Faça o seguinte:

1. Iniciar sessão em seu ambiente local.
2. Inicie Usuários e Computadores do Active Directory
3. Verifique se o novo grupo foi provisionado.

Próximas etapas

• Write-back de grupo com a sincronização na nuvem do Microsoft Entra
• Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
• Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra