Compartilhar via

Preparar seu ambiente para o SOA do usuário

Depois de decidir que deseja minimizar seu volume local usando a Fonte de Autoridade para usuários, você deve preparar seu ambiente do Active Directory com base em como os usuários estão configurados. A forma como você escolhe preparar seu ambiente é baseada em muitos fatores. Para outras coisas a serem consideradas, consulte: Pré-requisitos para transferir SOA do usuário e diretrizes para usar a SOA (Fonte de Autoridade do Usuário).

O fluxo de preparação para o SOA do usuário é o seguinte:

Captura de tela das etapas para se preparar para a origem de autoridade.

Este artigo explica o que precisa ser concluído para preparar o Microsoft Exchange, a integração de RH e os ambientes do Microsoft Identity Manager antes de mudar a responsabilidade de atendimento ao usuário (SOA).

Confirme se os objetos do AD estão prontos para ter o SOA alterado

Antes de transferir o SOA dos usuários, recupere os objetos do domínio do Active Directory e verifique se eles estão prontos para serem transferidos confirmando as seguintes informações:

  • Confirme se os objetos já estão sincronizados com o Microsoft Entra. Objetos administrativos ou objetos excluídos da sincronização não podem ter seu SOA alterado.
  • Confirme se todos os atributos que você tem ou planeja modificar nesses usuários estão sendo sincronizados com o Microsoft Entra e estão visíveis como atributos de diretório ou como extensões de esquema de diretório: /graph/api/resources/extensionproperty no Microsoft Graph.
  • Confirme se não há atributos com valor de referência preenchidos nesses objetos de usuário no Active Directory que não sejam o atributo do gerente do usuário e os backlinks do Active Directory, como memberof. Outros atributos de valor de referência não são suportados para transferência SOA.
  • Confirme que o valor dos atributos de gerente e membro, se estiverem definidos, devem ser referências a usuários no mesmo domínio do Active Directory e que eles estejam sincronizados com o Microsoft Entra. Eles não podem se referir a outros tipos de objeto ou a objetos que não são sincronizados desse domínio com o Microsoft Entra.
  • Confirme se não há atributos nos objetos que são atualizados por outra tecnologia local da Microsoft, além do próprio AD DS (Active Directory Domain Services). Por exemplo, não altere o SOA de um usuário cujo userCertificate atributo é mantido pelos Serviços de Certificados do Active Directory.

Atualizar o Active Directory

Se você estiver planejando alterar apenas o SOA para alguns usuários do Active Directory e todos os usuários estiverem atualmente em uma única Unidade Organizacional (UO) usando aplicativos Kerberos que não utilizam LDAP, recomendamos que você crie uma nova UO no Active Directory para esses objetos. Tê-los em uma UO separada permitirá que você evite fazer atualizações inadvertidamente no Active Directory após a alteração do SOA. Os usuários, cujo SOA não está sendo alterado, podem continuar a ser gerenciados usando usuários e computadores do Active Directory, o Módulo do Active Directory para PowerShell ou outras ferramentas de gerenciamento do Active Directory. Depois de criar uma UO, mova os objetos para essa UO. Para obter mais informações, consulte: Move-ADObject.

Preparar sua configuração do Microsoft Exchange

Caso você tenha configuração híbrida do Exchange com o Microsoft 365 Exchange Online, prepare o Exchange Server e o Exchange Online de acordo com as diretrizes a seguir antes de alternar o SOA de suas contas de usuário. Se você estiver executando uma configuração híbrida do Exchange, verifique se todas as suas caixas de correio são migradas para o Exchange Online antes de alternar o SOA para qualquer usuário para a nuvem. Após a migração da caixa de correio de todos os usuários, esses usuários podem ser gerenciados no Microsoft 365 e você pode mudar o SOA de usuários para a nuvem com segurança. Com o SOA alternado, você desabilitar o Exchange Hybrid concluindo as seguintes etapas:

  1. Direcione os registros DNS de MX e Autodiscover para o Exchange Online em vez do Exchange Server.

  2. Remova os valores do SCP (Ponto de Conexão de Serviço) em servidores Exchange. Esta etapa garante que nenhum SCP seja retornado e os clientes do Outlook usem o método DNS para Autodiscover.

  3. (Opcional) Para proteger seu ambiente, remova os conectores de entrada e saída criados pelo Assistente de Configuração Híbrida usados para o fluxo de email entre o Exchange Server e o Exchange online.

  4. (Opcional) Para proteger seu ambiente, remova a relação de organização, o Fed Trust e o oauth trust configurados entre o Exchange Server e o Exchange Online pelo HCW.

  5. Pare de gravar o objeto no Exchange local e sincronize-o com a nuvem para garantir que o EXO tenha as alterações mais recentes do Exchange local.

Para obter mais informações sobre como desabilitar o Exchange Hybrid, consulte: Gerenciar destinatários em ambientes híbridos do Exchange usando ferramentas de gerenciamento.

Alterar a configuração dos usuários para o provisionamento a partir do sistema de RH

A próxima etapa na configuração do SOA é determinar sua estratégia de provisionamento para seu sistema de RH. No mundo pré-SOA, os usuários do seu sistema de RH são provisionados primeiro no Active Directory local e depois sincronizados com a ID do Microsoft Entra usando a Sincronização do Microsoft Entra Connect ou a Sincronização de Nuvem. Se você estiver usando o serviço de provisionamento do Microsoft Entra, provavelmente configurou um dos seguintes aplicativos: provisionamento de usuário do Workday para provisionamento no AD, provisionamento de usuário do SAP SuccessFactors para provisionamento no AD ou provisionamento de usuário controlado por API para provisionamento no AD. O diagrama a seguir ilustra o fluxo de dados nesta configuração.

Captura de tela do sistema de RH antes de transferir a fonte de autoridade.

Para atualizar essa configuração, primeiro identifique os funcionários do sistema de RH que podem ser provisionados diretamente na ID do Microsoft Entra e não são mais necessários no Active Directory. Você pode adotar uma abordagem em fases para identificar esses funcionários usando construções de agrupamento disponíveis no RH, por exemplo: transferir SOA de usuários por departamento, centro de custos ou localização. Em seguida, atualize a configuração de provisionamento do Microsoft Entra, conforme descrito na seção a seguir:

Atualizar sua configuração de provisionamento de RH

Depois de identificar os funcionários para a conversão para SOA, siga estas etapas:

  1. Interrompa o trabalho de provisionamento "RH para o Active Directory local".

  2. Para usuários qualificados para conversão SOA, mude o SOA dos usuários do Active Directory local para o Entra ID.

  3. Crie um novo aplicativo de provisionamento "HR to Microsoft Entra ID" para provisionar usuários do sistema de RH para o Entra ID. Use filtros de escopo para restringir este aplicativo a lidar apenas com usuários convertidos para SOA. Por exemplo: na primeira fase, se você estiver convertendo SOA apenas para usuários no departamento "Finanças", defina o filtro de escopo como departamento IGUAL A "Finanças". Expanda o filtro de escopo em fases futuras para incluir mais usuários.

  4. Inicie a nova tarefa de provisionamento "HR to Microsoft Entra ID".

  5. Atualize a configuração do seu aplicativo de provisionamento "RH para Active Directory no local" para excluir os usuários convertidos SOA da sincronização com o AD. Certifique-se de que a marca para ignorar exclusões fora de escopo esteja definida no trabalho de provisionamento. Continuando com o exemplo acima, você pode excluir os usuários do departamento de "Finanças" da sincronização com o AD definindo o departamento de filtro NÃO IGUAL a "Finanças".

  6. Reinicie o trabalho de provisionamento de "RH para o Active Directory local".

  7. Atualize a configuração do aplicativo Entra Connect Sync/Cloud Sync para excluir os usuários convertidos pelo SOA da sincronização com a ID do Entra usando um filtro de escopo semelhante.

O diagrama a seguir descreve a nova configuração de provisionamento com reconhecimento SOA:

Captura de tela da fonte de autoridade do sistema de RH após a conversão.

Preparar a configuração do MIM

Para clientes que usam o Mim (Microsoft Identity Manager), você pode atualizar as regras de sincronização no MIM para determinar quais objetos continuam a ser provisionados no Active Directory e quais são provisionados na ID do Microsoft Entra.

Captura de tela da configuração do MIM para SOA.

Para preparar a configuração do MIM para o usuário SOA, execute as seguintes etapas:

  1. Selecione os atributos que serão os identificadores exclusivos para usuários que são iguais no Active Directory e no Microsoft Entra.

  2. Adicione o conector do Microsoft Identity Manager para o Microsoft Graph à sincronização do MIM, configure uma integração dos usuários existentes do Active Directory provenientes desse conector.

  3. Verifique as configurações de precedência no usuário.

  4. Realize uma importação completa do Microsoft Entra usando o conector do Microsoft Graph.

  5. Confirme se todos os usuários planejados para a conversão SOA estão sincronizados entre o metaverso e o conector do Microsoft Graph.

  6. Atualize o sistema de gerenciamento para esses usuários (por exemplo, Portal e Serviço do MIM) para adicionar um rótulo aos objetos de usuário para os quais o SOA está mudando para a ID do Microsoft Entra.

  7. Atualize as regras de sincronização para que você não esteja mais sincronizando os objetos de usuário rotulados do MIM com o Active Directory, mas sincronizando com o conector do Microsoft Graph.

  8. Mantenha as regras de sincronização desativadas até que a transferência SOA seja concluída.

  9. Após a transferência do SOA, ressincronize os usuários. Confirme se não há exportações pendentes para o AD MA para usuários que tiveram o SOA alterado, e sim somente para o conector do Microsoft Graph.

  10. Adicione às agendas do seu perfil de execução uma execução de exportação de alterações do MIM para o Microsoft Entra ID usando o Microsoft Graph Connector.

  11. Se você não estiver mais exportando alterações para outros usuários no Active Directory, remova a exportação para o perfil de execução do AD de seus agendamentos de perfil de execução.

Depois que essas etapas forem concluídas, seu ambiente híbrido sincronizado com MIM deverá seguir este diagrama: captura de tela de um diagrama de um ambiente pronto para usar o SOA do usuário.

Sequência de etapas para usar SOA

Depois que o ambiente é preparado para transferir o SOA do usuário, a sequência para transferir SOA é a seguinte:

  1. Identifique os usuários e/ou grupos para os quais você vai alterar a origem da autoridade (SOA) para a Microsoft Entra ID. Verifique se esses usuários e grupos estão sendo sincronizados no momento usando o Microsoft Entra Connect Sync ou o Microsoft Entra Cloud Sync.

    Observação

    Altere o SOA de grupos antes de alterar o SOA de usuários.

  2. Remova esses usuários da configuração de provisionamento do App-> AD (por exemplo, Workday para AD ou MIM para AD etc.) para que eles não sejam mais sincronizados com o AD.

  3. Aguarde a conclusão do ciclo de sincronização e verifique se os dados do objeto são iguais entre o AD e a ID do Microsoft Entra.

  4. Pare de fazer alterações diretamente nesses usuários e/ou grupos no AD.

  5. Alterne o SOA dos usuários e/ou grupos.

  6. Confirme se os usuários e/ou grupos agora podem ser gerenciados da nuvem seguindo estas etapas.

    1. Vá para o centro de administração do Microsoft Entra e localize o usuário/grupo do qual você alternou o SOA e veja se ele é um objeto de nuvem e pode ser editado (ou)
    2. Execute esse script para verificar se o atributo "DirSync" e "isCloudManaged" ele definiu como nuvem.
    3. Verifique os eventos listados no Log de Auditoria para ver se o status SOA foi alterado.

  7. Continue a manter os usuários e/ou grupos no escopo do Connect/Cloud Sync. Isso será necessário se esses objetos tiverem referências a grupos, dispositivos e contatos gerenciados no AD.

  8. Altere a direção do provisionamento para os usuários que você parou de sincronizar a fim de garantir que essas alterações de usuário sejam provisionadas diretamente no Microsoft Entra ID dos respectivos sistemas de RH.

    1. Crie uma nova configuração de provisionamento para provisionar os usuários que não estão mais sendo sincronizados de um sistema de aplicativos na nuvem equivalente para o Microsoft Entra ID, usando a API de Provisionamento.
    2. Comece a provisionar os mesmos usuários do sistema de nuvem (RH ou outros aplicativos) diretamente no Microsoft Entra.
    3. Neste ponto, a transferência de SOA está concluída, e as identidades começaram a fluir do sistema de nuvem para o Microsoft Entra ID, e o Microsoft Entra ID é a fonte de autoridade.

Conteúdo relacionado

  • Last updated on