Partilhar via

Provisionar o ID do Microsoft Entra para o Ative Directory - Configuração

  • Artigo

O documento a seguir irá guiá-lo através da configuração do Microsoft Entra Cloud Sync para provisionamento do Microsoft Entra ID para o Ative Directory. Se você estiver procurando informações sobre o provisionamento do AD para o ID do Microsoft Entra, consulte Configurar - Provisionando o Ative Directory para o Microsoft Entra ID usando o Microsoft Entra Cloud Sync

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não terá mais suporte no Connect Sync para provisionar grupos de segurança na nuvem para o Ative Directory. O recurso continuará a operar após a data de descontinuação; No entanto, deixará de receber apoio após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de Grupo para o Ative Directory que você pode usar em vez do Writeback de Grupo v2 para provisionar grupos de segurança de nuvem para o Ative Directory. Estamos a trabalhar para melhorar esta funcionalidade no Cloud Sync, juntamente com outras novas funcionalidades que estamos a desenvolver no Cloud Sync.

Os clientes que usam esse recurso de visualização no Connect Sync devem alternar sua configuração do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Você também pode executar o Cloud Sync lado a lado e mover apenas o provisionamento do grupo de segurança na nuvem para o Ative Directory para o Cloud Sync.

Para clientes que provisionam grupos do Microsoft 365 para o Ative Directory, você pode continuar usando o Write-back de Grupo v1 para esse recurso.

Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização do usuário.

Configurar o provisionamento

Para configurar o provisionamento, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.
  1. Selecione Nova configuração.
  2. Selecione Microsoft Entra ID para sincronização do AD.

Captura de tela da seleção de configuração.

  1. No ecrã de configuração, selecione o domínio e se quer ativar a sincronização do hash de palavras-passe. Clique em Criar.

Captura de ecrã de uma nova configuração.

  1. A tela Introdução será aberta. A partir daqui, você pode continuar a configurar a sincronização na nuvem.

Captura de tela das seções de configuração.

  1. A configuração é dividida nas seguintes 5 seções.
Secção Description
1. Adicione filtros de escopo Use esta seção para definir quais objetos aparecem no Microsoft Entra ID
2. Atributos do mapa Use esta seção para mapear atributos entre seus usuários/grupos locais com objetos do Microsoft Entra
3. Ensaio Teste sua configuração antes de implantá-la
4. Ver propriedades padrão Visualize a configuração padrão antes de ativá-las e faça alterações quando apropriado
5. Habilite sua configuração Uma vez pronto, habilite a configuração e os usuários/grupos começarão a sincronizar

Provisionamento de escopo para grupos específicos

Você pode definir o escopo do agente para sincronizar todos ou grupos de segurança específicos. Você pode configurar grupos e unidades organizacionais dentro de uma configuração.

  1. Na tela Configuração de introdução . Clique em Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo ou no clique em Filtros de escopo à esquerda em Gerenciar.

Captura de tela das seções de filtros de escopo.

  1. Selecione o filtro de escopo. O filtro pode ser um dos seguintes:
  • Todos os grupos de segurança: define o escopo da configuração a ser aplicada a todos os grupos de segurança na nuvem.
  • Grupos de segurança selecionados: define o escopo da configuração a ser aplicada a grupos de segurança específicos.
  1. Para grupos de segurança específicos, selecione Editar grupos e escolha os grupos desejados na lista.

Nota

Se você selecionar um grupo de segurança que tenha um grupo de segurança aninhado como membro, somente o grupo aninhado será regravado e não seus membros. Por exemplo, se um grupo de segurança Vendas for membro do grupo de segurança Marketing, somente o próprio grupo Vendas será regravado e não os membros do grupo Vendas.

Se você quiser aninhar grupos e provisioná-los AD, precisará adicionar todos os grupos de membros ao escopo também.

  1. Você pode usar a caixa Contêiner de Destino para definir o escopo de grupos que usam um contêiner específico. Realize essa tarefa usando o atributo parentDistinguishedName. Use um mapeamento constante, direto ou de expressão.

Vários contêineres de destino podem ser configurados usando uma expressão de mapeamento de atributos com a função Switch(). Com essa expressão, se o valor displayName for Marketing ou Sales, o grupo será criado na UO correspondente. Se não houver correspondência, o grupo será criado na UO padrão.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Captura de tela da expressão de filtros de escopo.

  1. Há suporte para filtragem de escopo baseada em atributos. Para obter mais informações, consulte Filtragem de escopo baseada em atributo e Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID e Cenário - Usando extensões de diretório com provisionamento de grupo para o Ative Directory.
  2. Depois que os filtros de escopo estiverem configurados, clique em Salvar.
  3. Depois de salvar, você verá uma mensagem informando o que ainda precisa fazer para configurar a sincronização na nuvem. Você pode clicar no link para continuar. Captura de tela do empurrão para filtros de escopo.

Provisionamento de escopo para grupos específicos usando extensões de diretório

Para definir o escopo e a filtragem mais avançados, você pode configurar o uso de extensões de diretório. Para obter uma visão geral das extensões de diretório, consulte Extensões de diretório para provisionamento do Microsoft Entra ID para o Ative Directory

Para obter um tutorial passo a passo sobre como estender o esquema e, em seguida, usar o atributo de extensão de diretório com provisionamento de sincronização na nuvem para o AD, consulte Cenário - Usando extensões de diretório com provisionamento de grupo para o Ative Directory.

Mapeamento de atributos

O Microsoft Entra Cloud Sync permite mapear facilmente atributos entre seus objetos de usuário/grupo locais e os objetos no ID do Microsoft Entra.

Captura de tela dos mapeamentos de atributos padrão.

Você pode personalizar os mapeamentos de atributos padrão de acordo com suas necessidades de negócios. Portanto, você pode alterar ou excluir mapeamentos de atributos existentes ou criar novos mapeamentos de atributos.

Depois de salvar, você verá uma mensagem informando o que ainda precisa fazer para configurar a sincronização na nuvem. Você pode clicar no link para continuar.

Para obter mais informações, consulte Mapeamento de atributos e Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.

Extensões de diretório e mapeamento de atributos personalizados.

O Microsoft Entra Cloud Sync permite estender o diretório com extensões e fornece mapeamento de atributos personalizados. Para obter mais informações, consulte Extensões de diretório e mapeamento de atributos personalizados.

Aprovisionamento a pedido

O Microsoft Entra Cloud Sync permite testar as alterações de configuração, aplicando-as a um único utilizador ou grupo.

Captura de tela do provisionamento sob demanda.

Você pode usar isso para validar e verificar se as alterações feitas na configuração foram aplicadas corretamente e estão sendo sincronizadas corretamente com o ID do Microsoft Entra.

Após o teste, você verá uma mensagem informando o que ainda precisa fazer para configurar a sincronização na nuvem. Você pode clicar no link para continuar.

Para obter mais informações, consulte Provisionamento sob demanda.

Exclusões acidentais e notificações por e-mail

A seção de propriedades padrão fornece informações sobre exclusões acidentais e notificações por e-mail.

O recurso de exclusão acidental foi projetado para protegê-lo contra alterações acidentais de configuração e alterações no diretório local que afetariam muitos usuários e grupos.

Esta funcionalidade permite-lhe:

  • Configure a capacidade de evitar exclusões acidentais automaticamente.
  • Defina o # de objetos (limite) além do qual a configuração terá efeito
  • Configure um endereço de e-mail de notificação para que eles possam receber uma notificação por e-mail assim que o trabalho de sincronização em questão for colocado em quarentena para este cenário

Para obter mais informações, consulte Exclusões acidentais

Clique no lápis ao lado de Noções básicas para alterar os padrões em uma configuração.

Habilite sua configuração

Depois de finalizar e testar sua configuração, você pode ativá-la.

Clique em Ativar configuração para ativá-la.

Quarentenas

A sincronização na nuvem monitoriza o estado de funcionamento da sua configuração e coloca objetos não íntegros num estado de quarentena. Se a maioria ou todas as chamadas feitas no sistema de destino falharem consistentemente devido a um erro, por exemplo, credenciais de administrador inválidas, o trabalho de sincronização será marcado como em quarentena. Para obter mais informações, consulte a seção de solução de problemas sobre quarentenas.

Reiniciar o aprovisionamento

Se você não quiser esperar pela próxima execução agendada, acione a execução de provisionamento usando o botão Reiniciar sincronização .

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.

  1. Em Configuração, selecione sua configuração.

  2. Na parte superior, selecione Reiniciar sincronização.

Remover uma configuração

Para excluir uma configuração, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.

  1. Em Configuração, selecione sua configuração.

  2. Na parte superior da tela de configuração, selecione Excluir configuração.

Importante

Não há confirmação antes de excluir uma configuração. Certifique-se de que esta é a ação que pretende executar antes de selecionar Eliminar.

Próximos passos