Migrar o write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não terá mais suporte no Connect Sync para provisionar grupos de segurança na nuvem para o Ative Directory. O recurso continuará a operar após a data de descontinuação; No entanto, deixará de receber apoio após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de Grupo para o Ative Directory que você pode usar em vez do Writeback de Grupo v2 para provisionar grupos de segurança de nuvem para o Ative Directory. Estamos a trabalhar para melhorar esta funcionalidade no Cloud Sync, juntamente com outras novas funcionalidades que estamos a desenvolver no Cloud Sync.

Os clientes que usam esse recurso de visualização no Connect Sync devem alternar sua configuração do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Você também pode executar o Cloud Sync lado a lado e mover apenas o provisionamento do grupo de segurança na nuvem para o Ative Directory para o Cloud Sync.

Para clientes que provisionam grupos do Microsoft 365 para o Ative Directory, você pode continuar usando o Write-back de Grupo v1 para esse recurso.

Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização do usuário.

O documento a seguir descreve como migrar o write-back de grupo usando o Microsoft Entra Connect Sync (anteriormente Azure AD Connect) para o Microsoft Entra Cloud Sync. Este cenário é apenas para clientes que estão usando o write-back de grupo do Microsoft Entra Connect v2. O processo descrito neste documento refere-se apenas a grupos de segurança criados na nuvem que são gravados de volta com um escopo universal. Não há suporte para grupos habilitados para email e DLs gravados novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Importante

Este cenário é apenas para clientes que estão usando o write-back de grupo do Microsoft Entra Connect v2

Além disso, este cenário só é suportado para:

• Grupos de segurança criados na nuvem
• esses grupos são escritos de volta com o escopo de grupos AD de universal.

Não há suporte para grupos habilitados para email e DLs gravados novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Para obter mais informações, consulte as Perguntas frequentes sobre provisionamento para Ative Directory com o Microsoft Entra Cloud Sync.

Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar esse cenário.

• Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
• Uma conta do AD local com pelo menos permissões de administrador de domínio - necessária para acessar o atributo adminDescription e copiá-lo para o atributo msDS-ExternalDirectoryObjectId
• Ambiente local dos Serviços de Domínio Ative Directory com sistema operacional Windows Server 2016 ou posterior.
  • Necessário para o atributo Esquema do AD - msDS-ExternalDirectoryObjectId
• Agente de provisionamento com compilação versão 1.1.1367.0 ou posterior.
• O agente de provisionamento deve ser capaz de se comunicar com o(s) controlador(es) de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas

Convenção de nomenclatura para grupos escritos de volta

O Microsoft Entra Connect Sync usa o seguinte formato ao nomear grupos que são gravados novamente.

• Formato padrão: CN=Group_guid,OU>=<container,DC>=<domain component,DC>=<domain component<>
• Exemplo: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar a localização de grupos que estão sendo gravados de volta do ID do Microsoft Entra para o Ative Directory, o Microsoft Entra Connect Sync adicionou uma opção para gravar novamente o nome distinto do grupo usando o nome de exibição na nuvem. Isso é feito selecionando o Nome Distinto do Grupo de Writeback com o Nome de Exibição na nuvem durante a configuração inicial do write-back de grupo v2. Se esse recurso não estiver habilitado, o formato padrão será usado.

Se o recurso Nome Distinto do Grupo de Write-Back com Nome de Exibição na nuvem estiver habilitado, o Microsoft Entra Connect usará o seguinte formato.

• Novo formato: CN=<display name>_<last 12 dígitos do ID> do objeto,OU=<container,DC>=<domain component,DC>=<domain component>
• Exemplo: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Ao migrar, a sincronização na nuvem usará o novo formato. Não importa se o recurso Nome Distinto do Grupo de Writeback com Nome de Exibição na nuvem está habilitado ou não.

Importante

Se você estiver usando a nomenclatura padrão do Microsoft Entra Connect e, em seguida, migrar o grupo para que ele seja gerenciado pela sincronização na nuvem do Microsoft Entra, ele renomeará o grupo para o novo formato. Use a seção abaixo para permitir que a sincronização na nuvem do Microsoft Entra use o formato antigo.

Usando o formato padrão

Se desejar que a sincronização na nuvem use o formato padrão, será necessário modificar a expressão de fluxo de atributos para o atributo CN. O mapeamento padrão é:

Expression	Sintaxe	Description
Expressão padrão	Append(Append(Esquerda(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	A expressão padrão usada pelo Microsoft Entra cloud sync.
Nova expressão	Append("Group_", [objectId])	Esta é a nova expressão que você pode usar o formato padrão usado pelo Microsoft Entra Connect.

Para obter mais informações, consulte Adicionar um mapeamento de atributo - ID do Microsoft Entra ao Ative Directory

Etapa 1 - Copiar adminDescription para msDS-ExternalDirectoryObjectID

1. Em seu ambiente local, abra o ADSI Edit.

2. Copie o valor que ele no atributo adminDescription do grupo

   

3. Cole no atributo msDS-ExternalDirectoryObjectID

   

O seguinte script do PowerShell pode ser usado para ajudar a automatizar esta etapa. Esse script usará todos os grupos no contêiner OU=Groups,DC=Contoso,DC=com e copiará o valor do atributo adminDescription para o valor do atributo msDS-ExternalDirectoryObjectID.

    Import-module ActiveDirectory

   $groups = Get-ADGroup -Filter * -SearchBase "OU=Groups,DC=Contoso,DC=com" -Properties * | Where-Object {$_.adminDescription -ne $null} |
      Select-Object Samaccountname, adminDescription, msDS-ExternalDirectoryObjectID

   foreach ($group in $groups) 
    {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
    } 

Etapa 2 - Coloque o servidor Microsoft Entra Connect Sync no modo de preparo e desative o agendador de sincronização

1. Inicie o assistente de sincronização do Microsoft Entra Connect

2. Clique em Configurar

3. Selecione Configurar modo de preparo e clique em Avançar

4. Insira as credenciais do Microsoft Entra

5. Marque a caixa Ativar modo de preparo e clique em Avançar

   

6. Clique em Configurar

7. Clique em Sair

   

8. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

9. Desative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Etapa 3 - Criar uma regra de entrada de grupo personalizada

No editor de Regras de Sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre os grupos que têm NULL para o atributo de email. A regra de sincronização de entrada é uma regra de junção com um atributo de destino do cloudNoFlow. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos.

1. Inicie o editor de sincronização a partir do menu do aplicativo na área de trabalho, conforme mostrado abaixo:

2. Selecione Entrada na lista suspensa Direção e selecione Adicionar nova regra.

3. Na página Descrição, digite o seguinte e selecione Avançar:

   • Nome: dê à regra um nome significativo

   • Descrição: adicionar uma descrição significativa

   • Sistema conectado: escolha o conector do Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada

   • Tipo de objeto do sistema conectado: Grupo

   • Tipo de objeto do metaverso: Grupo

   • Tipo de link: Junte-se

   • Precedência: Forneça um valor que seja exclusivo no sistema. Recomenda-se um valor inferior a 100, para que tenha precedência sobre as regras padrão.

   • Tag: Deixar vazio

     

4. Na página Filtro de escopo, adicione o seguinte e selecione Avançar.

   Atributo	Operador	Value
   cloudMastered	IGUAL	verdadeiro
   correio	ISNULO

   

5. Na página Regras de adesão , selecione Avançar.

6. Na página Transformações, adicione um atributo Constant transformation: flow True to cloudNoFlow. Selecione Adicionar.

   

Etapa 4 - Criar uma regra de saída de grupo personalizada

Você também precisará de uma regra de sincronização de saída com um tipo de link de JoinNoFlow e o filtro de escopo que tem o atributo cloudNoFlow definido como True. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos.

1. Selecione Saída na lista suspensa Direção e selecione Adicionar regra.

2. Na página Descrição, digite o seguinte e selecione Avançar:

   • Nome: dê à regra um nome significativo
   • Descrição: adicionar uma descrição significativa
   • Sistema conectado: escolha o conector do AD para o qual você está escrevendo a regra de sincronização personalizada
   • Tipo de objeto do sistema conectado: Grupo
   • Tipo de objeto do metaverso: Grupo
   • Tipo de link: JoinNoFlow
   • Precedência: Forneça um valor que seja exclusivo no sistema. Recomenda-se um valor inferior a 100, para que tenha precedência sobre as regras padrão.
   • Tag: Deixar vazio

   

3. Na página Filtro de escopo, escolha cloudNoFlow igual a True. Em seguida, selecione Seguinte.

   

4. Na página Regras de adesão , selecione Avançar.

5. Na página Transformações, selecione Adicionar.

Etapa 5 - Usar o PowerShell para concluir a configuração

1. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. Execute um ciclo de sincronização completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Desative o recurso de write-back de grupo para o locatário:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Execute um ciclo de sincronização completo (sim novamente):

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Reative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Etapa 6 - Remover o servidor Microsoft Entra Connect Sync do modo de preparo

1. Inicie o assistente de sincronização do Microsoft Entra Connect
2. Clique em Configurar
3. Selecione Configurar modo de preparo e clique em Avançar
4. Insira as credenciais do Microsoft Entra
5. Remova a seleção da caixa Ativar modo de preparo e clique em Avançar
6. Clique em Configurar
7. Clique em Sair

Etapa 7 - Configurar o Microsoft Entra Cloud Sync

Agora que você removeu com êxito os grupos do escopo do Microsoft Entra Connect Sync, você pode configurar o Microsoft Entra Cloud Sync para assumir a sincronização. Consulte Provisionar grupos para o Ative Directory usando o Microsoft Entra Cloud Sync.

Passos Seguintes

• Provisionar grupos para o Ative Directory usando o Microsoft Entra Cloud Sync
• Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance
• Perguntas frequentes sobre provisionamento para o Ative Directory com o Microsoft Entra Cloud Sync