Partilhar via


Write-back de grupo com o Microsoft Entra Cloud Sync

Com o lançamento do agente de provisionamento 1.1.1370.0, a sincronização na nuvem agora tem a capacidade de executar write-back de grupo. Esse recurso significa que a sincronização na nuvem pode provisionar grupos diretamente para seu ambiente local do Ative Directory. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não terá mais suporte no Connect Sync para provisionar grupos de segurança na nuvem para o Ative Directory. O recurso continuará a operar após a data de descontinuação; No entanto, deixará de receber apoio após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de Grupo para o Ative Directory que você pode usar em vez do Writeback de Grupo v2 para provisionar grupos de segurança de nuvem para o Ative Directory. Estamos a trabalhar para melhorar esta funcionalidade no Cloud Sync, juntamente com outras novas funcionalidades que estamos a desenvolver no Cloud Sync.

Os clientes que usam esse recurso de visualização no Connect Sync devem alternar sua configuração do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Você também pode executar o Cloud Sync lado a lado e mover apenas o provisionamento do grupo de segurança na nuvem para o Ative Directory para o Cloud Sync.

Para clientes que provisionam grupos do Microsoft 365 para o Ative Directory, você pode continuar usando o Write-back de Grupo v1 para esse recurso.

Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização do usuário.

Provisionar o ID do Microsoft Entra para o Ative Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no Ative Directory.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
  • Ambiente local dos Serviços de Domínio Ative Directory com sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo Esquema do AD - msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com compilação versão 1.1.1370.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas apenas durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir que Ler, Gravar, Criar e Excluir todas as propriedades de todos os Grupos descendentes e objetos de Usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão , cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell;

  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com build versão 2.2.8.0 ou posterior
    • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD:user:objectGUID com AAD:user:onPremisesObjectIdentifier

Grupos suportados e limites de escala

O seguinte é suportado:

  • Apenas os grupos de segurança criados na nuvem são suportados
  • Esses grupos podem ter grupos de associação atribuídos ou dinâmicos.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais sincronizadas e que são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • Esses grupos são reescritos com o escopo de grupos AD universal. Seu ambiente local deve oferecer suporte ao escopo de grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Ou seja, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150K objetos, o locatário não será suportado.
  • Cada grupo aninhado filho direto conta como um membro no grupo de referência
  • A reconciliação de grupos entre o Microsoft Entra ID e o Ative Directory não é suportada se o grupo for atualizado manualmente no Ative Directory.

Informações adicionais

A seguir estão informações adicionais sobre o provisionamento de grupos para o Ative Directory.

  • Os grupos provisionados para o AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários de nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
  • Se você estiver usando o Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuários, em vez do Microsoft Entra Cloud Sync, e quiser usar o Provisionamento para AD, ele deverá ser 2.2.8.0 ou posterior.
  • Somente locatários regulares do Microsoft Entra ID são suportados para provisionamento do Microsoft Entra ID para o Ative Directory. Locatários como B2C não são suportados.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar o write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync

Cenário: Migrar write-back de grupo usando o Microsoft Entra Connect Sync (anteriormente Azure AD Connect) para o Microsoft Entra Cloud Sync. Este cenário é apenas para clientes que estão usando o write-back de grupo do Microsoft Entra Connect v2. O processo descrito neste documento refere-se apenas a grupos de segurança criados na nuvem que são gravados de volta com um escopo universal. Não há suporte para grupos habilitados para email e DLs gravados novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Para obter mais informações, consulte Migrar write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync.

Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerencie aplicativos locais com grupos do Ative Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD enquanto aproveita os recursos de Governança de ID do Microsoft Entra para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governar aplicativos locais baseados no Ative Directory (Kerberos) usando a Governança de ID do Microsoft Entra .

Próximos passos