Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
A visualização pública do Write-back de Grupo V2 no Microsoft Entra Connect Sync não estará mais disponível a partir de 30 de junho de 2024. Esse recurso foi descontinuado nesta data e você não tem mais suporte no Microsoft Entra Connect Sync para provisionar grupos de segurança na nuvem para o Active Directory. O recurso continua operando além da data de descontinuação; no entanto, ele não recebe mais suporte e pode deixar de funcionar a qualquer momento sem aviso prévio.
Oferecemos uma funcionalidade semelhante na Sincronização na Nuvem do Microsoft Entra chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do Writeback de Grupo v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Microsoft Entra Cloud Sync juntamente com outros novos recursos que estamos desenvolvendo no Microsoft Entra Cloud Sync.
Os clientes que usam esse recurso de visualização no Microsoft Entra Connect Sync devem mudar sua configuração do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Microsoft Entra Cloud Sync (se ele der suporte às suas necessidades). Você também pode executar o Microsoft Entra Cloud Sync simultaneamente e mover apenas o provisionamento de grupo de segurança da nuvem no Active Directory para o Microsoft Entra Cloud Sync.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a migração exclusivamente para o Microsoft Entra Cloud Sync usando o assistente de sincronização do usuário.
O recurso de write-back de grupos é uma funcionalidade que você pode usar para gravar grupos de nuvem de volta na instância do Active Directory local usando o Microsoft Entra Connect Sync. A versão V2 da devolução de grupos usando o Microsoft Entra Connect foi descontinuada. Ainda funciona o recurso de write-back de grupo V1 usando o Microsoft Entra Connect, e você deve utilizá-la se estiver sincronizando grupos do Microsoft 365. Esta versão do recurso de write-back de grupo está sendo substituída pelo provisionamento de grupo do Microsoft Entra Cloud Sync para o Active Directory. A funcionalidade V1 continua funcionando até que o Microsoft Entra Cloud Sync dê suporte à sincronização de grupos do Microsoft 365.
Este artigo fornece informações e guia você em como habilitar o recurso de write-back de grupo V1.
Importante
Este artigo descreve como habilitar o write-back de grupo V1 com o Microsoft Entra Connect Sync. Somente os clientes que provisionam grupos do Microsoft 365 para o Active Directory devem usá-lo.
Pré-requisitos e informações
Para habilitar o write-back de grupo, você deve ter:
- Licenças do Microsoft Entra Premium para seu locatário.
- Uma implantação híbrida configurada entre sua organização local do Exchange e o Microsoft 365 e verifique se ela está funcionando corretamente.
- Uma versão com suporte do Exchange instalada localmente.
- Logon único configurado usando o Microsoft Entra Connect.
Considere as seguintes informações ao usar o write-back de grupo V1 com o Microsoft Entra Connect Sync:
- Os grupos do Microsoft 365 com até 250.000 membros podem ser gravados no local.
- Se você não quiser gravar todos os grupos existentes do Microsoft 365 no Active Directory, faça alterações no comportamento padrão de write-back de grupo antes de executar as etapas neste artigo para habilitar o recurso. Para obter mais informações, consulte Modificar grupos do Microsoft 365.
Habilitar write-back de grupo
Para habilitar a gravação reversa de grupo, siga estas etapas:
Abra o assistente do Microsoft Entra Connect , selecione Configurar e selecioneAvançar.
Selecione Personalizar opções de sincronização e selecioneAvançar.
Na página Conectar ao Azure AD , insira suas credenciais. Selecione Próximo.
Na página Recursos opcionais, verifique se as opções configuradas anteriormente ainda estão selecionadas.
Selecione Write-back de grupo e então selecione Avançar.
Na página Write-back de grupos, selecione uma unidade organizacional do Active Directory para armazenar objetos sincronizados do Microsoft 365 para sua organização local. Em seguida, selecione Avançar.
Para facilitar a localização de grupos que são gravados de volta do Microsoft Entra ID para o Active Directory, selecione a opção Nome Diferenciado do grupo de Write-back com Nome de Exibição na nuvem:
Formato padrão:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=comNovo formato:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Quando você configura o write-back de grupo, uma caixa de seleção aparece na parte inferior da janela de configuração. Selecione-o para ativar esse recurso.
Os grupos que são sincronizados de volta do Microsoft Entra ID para o Active Directory têm uma fonte de autoridade na nuvem. Quaisquer alterações feitas no local para grupos que são gravados de volta do Microsoft Entra ID são substituídas no próximo ciclo de sincronização.
Na página Pronto para configurar, selecione Configurar.
Quando o assistente for concluído, na página Configuração concluída, selecione Sair.
Abra o Windows PowerShell como administrador no servidor do Microsoft Entra Connect e execute os seguintes comandos:
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Para obter mais informações sobre como configurar grupos do Microsoft 365, consulte Configurar grupos do Microsoft 365 com o Exchange híbrido local.
Desabilitar o write-back de grupo
Para desativar write-back de grupo, siga estes passos:
Abra o assistente do Microsoft Entra Connect e vá para a página Tarefas adicionais . Selecione a tarefa Personalizar opções de sincronização e selecioneAvançar.
Na página Recursos opcionais, desmarque a caixa de seleção Write-back de grupo. Um aviso indica que você está prestes a excluir grupos. Selecione Sim.
Quando você desabilitar o write-back de grupo, todos os grupos criados anteriormente com esse recurso serão excluídos da instância local do Active Directory no próximo ciclo de sincronização.
Selecione Próximo.
Selecione Configurar.
Desabilitar o write-back de grupo ajusta os sinalizadores Full Import e Full Synchronization para true no Microsoft Entra Connector. As alterações de regra propagam-se no próximo ciclo de sincronização e excluem os grupos que foram gravados antes no Active Directory.
Modificar o comportamento padrão para grupos do Microsoft 365
As seções a seguir fornecem diretrizes sobre como modificar o comportamento padrão para grupos do Microsoft 365.
Grupos de write-back do Microsoft 365 com até 250.000 membros
Como a regra de sincronização padrão que limita o tamanho do grupo é criada quando o write-back de grupo está habilitado, você deve concluir as seguintes etapas depois de habilitar o write-back de grupo:
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Desabilitar o agendador Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $falseDefina a direção para Saída.
Localize e desative a regra de sincronização Out to AD – Group Writeback Member Limit.
Habilite o agendamento do Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $true
A criação da regra de sincronização define o sinalizador para sincronização completa para true no conector do Microsoft Entra. Essa alteração faz com que as alterações de regra se propaguem no próximo ciclo de sincronização.