Compartilhar via


Write-back de grupo com o Microsoft Entra Cloud Sync

Com a versão do agente de provisionamento 1.1.1370.0, a sincronização de nuvem agora tem a capacidade de execução de write-back de grupo. Esse recurso significa que a sincronização de nuvem pode provisionar grupos diretamente para seu ambiente do Active Directory local. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização pública do Write-back de Grupo V2 no Microsoft Entra Connect Sync não estará mais disponível a partir de 30 de junho de 2024. Esse recurso foi descontinuado nesta data e você não tem mais suporte no Microsoft Entra Connect Sync para provisionar grupos de segurança na nuvem para o Active Directory. O recurso continua operando além da data de descontinuação; no entanto, ele não recebe mais suporte e pode deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de Grupos para o Active Directory, que pode ser usada em vez do Group Writeback v2 para provisionar grupos de segurança na nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Microsoft Entra Cloud Sync juntamente com outros novos recursos que estamos desenvolvendo no Microsoft Entra Cloud Sync.

Os clientes que usam esse recurso de visualização no Microsoft Entra Connect Sync devem mudar sua configuração do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Microsoft Entra Cloud Sync (se ele der suporte às suas necessidades). Você também pode executar o Microsoft Entra Cloud Sync simultaneamente e mover apenas o provisionamento de grupo de segurança da nuvem no Active Directory para o Microsoft Entra Cloud Sync.

Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.

Você pode avaliar a migração exclusivamente para o Microsoft Entra Cloud Sync usando o assistente de sincronização do usuário.

Provisionar o Microsoft Entra ID no Active Directory – Pré-requisitos

Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

  • Conta Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
  • Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir a definição todas as propriedades de Leitura, Gravação, Criação e Exclusão para todos os Grupos e objetos de usuário descendentes.

Essas permissões não são aplicadas aos objetos AdminSDHolder por padrão cmdlets do PowerShell gMSA do agente de provisionamento do Microsoft Entra

  • O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de subscrição inválidas
  • Sincronização do Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
    • Necessário para dar suporte a membros de usuários locais sincronizados usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier

Grupos com suporte e limites de escala

Há suporte para o seguinte:

  • Há suporte apenas para os Grupos de segurança criados na nuvem
  • Esses grupos podem ter grupos de associação atribuída ou dinâmica.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • Esses grupos são gravados novamente com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
  • Cada grupo aninhado filho direto conta como um membro no grupo de referência
  • Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.

Informações adicionais

A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.

  • Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
  • O atributo onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Atributo objectGUID de usuários locais pode ser sincronizado com o atributo onPremisesObjectIdentifier de usuários na nuvem usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0).
  • Se você estiver usando a Sincronização do Microsoft Entra Connect (2.2.8.0) para sincronizar usuários em vez da Sincronização na nuvem do Microsoft Entra e quiser usar o Provisionamento para o AD, deverá usar a versão 2.2.8.0 ou posterior.
  • Somente locatários regulares do Microsoft Entra ID têm suporte para provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para locatários como B2C.
  • O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.

Cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar o grupo de write-back V2 do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync

Cenário: migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento se aplica apenas a grupos de segurança criados na nuvem com write-back realizado em um escopo universal. Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.

Para obter mais informações, confira Migrar o write-back de grupo do Sincronização do Microsoft Entra Connect V2 para a Sincronização de nuvem do Microsoft Entra.

Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerenciar aplicativos locais com grupos do Active Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD, aproveitando os recursos de Governança do Microsoft Entra ID para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governança de aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.

Próximas etapas