Habilitar o write-back do grupo Microsoft Entra Connect
Importante
A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível depois de 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory.
Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync, chamada Provisionamento de grupos para o Active Directory. Você pode usá-la no lugar do Group Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.
Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.
O write-back de grupo é um recurso que permite que você grave grupos de nuvem de volta na sua instância do Active Directory local usando a Sincronização do Microsoft Entra Connect.
Este artigo orienta você sobre como habilitar o write-back de grupo.
Etapas de implantação
O write-back de grupo requer a habilitação das versões original e nova do recurso. Se a versão original foi habilitada anteriormente em seu ambiente, você precisa usar apenas o primeiro conjunto de etapas a seguir, pois o segundo conjunto de etapas já foi concluído.
Observação
Recomendamos que você siga o método de migração swing para implantar o novo recurso de write-back de grupo em seu ambiente. Esse método fornecerá um plano de contingência claro no caso de uma reversão importante ser necessária.
O recurso de write-back de grupo aprimorado é ativado no locatário e não por instância do cliente Microsoft Entra Connect. Certifique-se de que todas as instâncias de cliente do Microsoft Entra Connect sejam atualizadas para uma versão mínima de build 1.6.4.0 ou posterior.
Observação
Caso não deseje fazer write-back de todos os grupos existentes do Microsoft 365 no Active Directory, precisará fazer alterações no comportamento padrão de write-back de grupo antes de executar as etapas deste artigo para habilitar o recurso. Consulte Modificar o comportamento padrão de write-back de grupo do Microsoft Entra Connect. Além disso, as versões novas e originais do recurso precisam ser habilitadas na ordem documentada. Se o recurso original for habilitado primeiro, todos os grupos existentes do Microsoft 365 serão gravados novamente no Active Directory.
Habilitar o write-back de grupo usando o PowerShell
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Desative o agendador de sincronização depois de verificar se nenhuma operação de sincronização está em execução:
Set-ADSyncScheduler -SyncCycleEnabled $false
Importe o módulo ADSync:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
Habilite o recurso de write-back de grupo para o locatário:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Reabilite o agendador de sincronização:
Set-ADSyncScheduler -SyncCycleEnabled $true
Execute um ciclo de sincronização completo se o write-back de grupo tiver sido configurado anteriormente e não for configurado no assistente do Microsoft Entra Connect:
Start-ADSyncSyncCycle -PolicyType Initial
Habilitar o write-back de grupo usando o assistente do Microsoft Entra Connect
Se a versão original do write-back de grupo não tiver sido habilitada anteriormente, continue com as seguintes etapas:
- No servidor do seu Microsoft Entra Connect, abra o assistente do Microsoft Entra Connect.
- Selecione Configurar e selecione Avançar.
- Selecione Personalizar opções de sincronização e selecione Avançar.
- Na página Conectar-se à ID do Microsoft Entra, insira suas credenciais. Selecione Avançar.
- Na página Recursos opcionais, verifique se as opções configuradas anteriormente ainda estão selecionadas.
- Selecione write-back de grupo e, em seguida, selecione Avançar.
- Na página Write-back, selecione uma unidade organizacional (OU) do Active Directory para armazenar objetos sincronizados do Microsoft 365 para sua organização local. Selecione Avançar.
- Na página Pronto para configurar, selecione Configurar.
- Na página Configuração completa, selecione Sair.
Depois de concluir esse procedimento, o write-back de grupo será configurado automaticamente. Se você tiver problemas de permissão ao exportar o objeto para o Active Directory, abra o Windows PowerShell como administrador no servidor Microsoft Entra Connect. Em seguida, execute o comando a seguir. Esta etapa é opcional.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Configuração opcional
Para facilitar a localização dos grupos que estão sendo gravados de volta da ID do Microsoft Entra para o Active Directory, há uma opção para gravar de volta o nome distinto do grupo usando o nome de exibição da nuvem:
Formato padrão:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Novo formato:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Ao configurar o write-back de grupo, uma caixa de seleção aparece na parte inferior da janela de configuração. Selecione-o para ativar esse recurso.
Observação
Os grupos que estão sendo gravados de volta da ID do Microsoft Entra para o Active Directory terão uma fonte de autoridade na nuvem. Todas as alterações feitas no local nos grupos que são gravadas de volta da ID do Microsoft Entra serão substituídas no próximo ciclo de sincronização.