Compartir vía


Migración de la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync

Importante

La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory. La característica seguirá funcionando más allá de la fecha de interrupción; sin embargo, ya no recibirá soporte técnico después de esta fecha y puede dejar de funcionar en cualquier momento sin previo aviso.

Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puedes usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.

Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puedes optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con tus necesidades). También puedes ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.

Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puedes seguir usando Escritura diferida de grupos v1 para esta funcionalidad.

Puede evaluar el traslado exclusivo a Sincronización en la nube. mediante el asistente de sincronización del usuario.

En el siguiente documento se describe cómo migrar la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solopara los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo pertenece a los grupos de seguridad creados en la nube que se escriben con un ámbito universal.

Importante

Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2

Además, este escenario solo se admite para:

  • grupos de seguridad creados en la nube
  • grupos escritos de nuevo en AD con ámbito universal.

Los grupos y DL habilitados para correo escrito en AD siguen funcionando con la escritura diferida de grupos de Microsoft Entra Connect, pero volverán al comportamiento de la escritura diferida de grupos V1, por lo que, en este escenario, después de deshabilitar la reescritura de grupos V2, todos los grupos de M365 se volverán a escribir en AD independientemente de la configuración de la escritura diferida habilitada en el centro de administración de Entra. Para obtener más información, consulte las Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.

Requisitos previos

Los siguientes requisitos previos son necesarios para implementar este escenario.

  • Cuenta de Microsoft Entra con al menos un rol de Administrador de identidad híbrida.
  • Una cuenta de AD local con al menos permisos de administrador de dominio: es necesario para acceder al atributo adminDescription y copiarlo en el atributo msDS-ExternalDirectoryObjectId
  • Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
    • Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
  • Aprovisionamiento del agente con la versión de compilación 1.1.1367.0 o posterior.
  • El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
    • Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas

Convención de nomenclatura para grupos escritos

De forma predeterminada, Microsoft Entra Connect Sync usa el siguiente formato al nombrar los grupos que se vuelven a escribir.

  • Formato predeterminado: CN=Group_<guid>,OU=<contenedor>,DC=<componente de dominio>,DC=<componente de dominio>

  • Ejemplo: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar la búsqueda de los grupos que se están volviendo a escribir desde Microsoft Entra ID a Active Directory, Microsoft Entra Connect Sync ha agregado una opción para volver a escribir el nombre del grupo usando el nombre para mostrar de la nube. Para ello, seleccione el Nombre distintivo del grupo de reescritura con nombre para mostrar en la nube durante la configuración inicial de la reescritura de grupo v2. Si esta característica está habilitada, Microsoft Entra Connect usa el siguiente formato nuevo, en lugar del formato predeterminado:

  • Nuevo formato: CN=<nombre para mostrar>_<últimos 12 dígitos del id. del objeto>,OU=<contenedor>,DC=<componente de dominio>,DC=<componente de dominio>

  • Ejemplo: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Importante

De forma predeterminada, la sincronización en la nube de Microsoft Entra usa el nuevo formato, incluso si la característica Nombre distintivo del grupo de reescritura con nombre para mostrar en la nube no está habilitada en Sincronización de Microsoft Entra Connect. Si usa la nomenclatura predeterminada de Sincronización de Microsoft Entra Connect y, a continuación, migra el grupo para que esté administrado por la sincronización en la nube de Microsoft Entra, se cambia el nombre del grupo al nuevo formato. Use la sección siguiente para permitir que la sincronización en la nube de Microsoft Entra use el formato predeterminado de Microsoft Entra Connect.

Uso del formato predeterminado

Si desea que la sincronización en la nube use el mismo formato predeterminado que Sincronización de Microsoft Entra Connect, debe modificar la expresión de flujo de atributo para el atributo CN. Las dos posibles asignaciones son:

Expression Sintaxis Descripción
Expresión predeterminada de sincronización en la nube mediante DisplayName Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) Expresión predeterminada usada por Sincronización de Microsoft Entra Connect (es decir, el nuevo formato)
Nueva expresión de sincronización en la nube sin usar DisplayName Append("Group_", [objectId]) Nueva expresión para usar el formato predeterminado de Sincronización de Microsoft Entra Connect.

Para más información, consulta Agregar una asignación de atributos: Microsoft Entra ID a Active Directory

Paso 1: Copiar adminDescription en msDS-ExternalDirectoryObjectID

Para validar las referencias de pertenencia a grupos, Sincronización de Microsoft Entra Cloud debe consultar el catálogo global de Active Directory para el atributo msDS-ExternalDirectoryObjectID. Se trata de un atributo indexado que se replica en todos los catálogos globales dentro del bosque de Active Directory.

  1. En el entorno local, abre ADSI Editar.

  2. Copia el valor que se encuentra en el atributo adminDescription del grupo.

    Captura de pantalla del atributo adminDescription.

  3. Pégalo en el atributo msDS-ExternalDirectoryObjectID

    Captura de pantalla del atributo msDS-ExternalDirectoryObjectID.

El siguiente script de PowerShell se puede usar para ayudar a automatizar este paso. Este script toma todos los grupos del contenedor OU=Groups,DC=Contoso,DC=com y copiará el valor del atributo adminDescription en el valor del atributo msDS-ExternalDirectoryObjectID. Antes de usar este script, actualiza la variable $gwbOU con DistinguishedName de la unidad organizativa (OU) de destino de la escritura diferida de grupo.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

El siguiente script de PowerShell se puede usar para comprobar los resultados del script anterior o confirmar que todos los grupos tienen el valor adminDescription igual a msDS-ExternalDirectoryObjectID.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Paso 2: Colocar el servidor de sincronización de Microsoft Entra Connect en modo de almacenamiento provisional y deshabilitar el programador de sincronización

  1. Iniciar el Asistente para sincronización de Microsoft Entra Connect

  2. Haz clic en Configurar.

  3. Selecciona Configurar el modo de ensayo y haz clic en Siguiente

  4. Escribe las credenciales de Microsoft Entra

  5. Activa la casilla Habilitar el modo de ensayo y haz clic en Siguiente

    Captura de pantalla de la habilitación del modo de almacenamiento provisional.

  6. Haz clic en Configurar.

  7. Haz clic en Salir

    Captura de pantalla del éxito del modo de almacenamiento provisional.

  8. En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.

  9. Deshabilita el programador de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    

Paso 3: Crear una regla de entrada de grupo personalizada

En el editor de reglas de sincronización de Microsoft Entra Connect, debes crear una regla de sincronización de entrada que filtre los grupos que tienen NULL para el atributo mail. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.

Creación de una regla de entrada de grupo personalizada en la interfaz de usuario

  1. Inicia el Editor de reglas de sincronización desde el menú Inicio.

  2. Selecciona Entrante en la lista desplegable Dirección y luego Agregar nueva regla.

  3. En la página Descripción, especifica los elementos siguientes y selecciona Siguiente:

    • Nombre: asigna un nombre descriptivo a la regla.

    • Descripción: agrega una descripción significativa

    • Sistema conectado: elige el conector de Microsoft Entra para el que vas a escribir la regla de sincronización personalizada

    • Tipo de objeto del sistema conectado: Grupo

    • Tipo de objeto de metaverso: Grupo

    • Tipo de vínculo: Join

    • Precedencia: proporciona un valor que sea único en el sistema. Se recomienda un valor inferior a 100, de modo que tenga prioridad sobre las reglas predeterminadas.

    • Etiqueta: deja este campo en blanco

      Captura de pantalla de la regla de sincronización de entrada.

  4. En la página Filtro de ámbito, agrega lo siguiente y luego selecciona Siguiente.

    Atributo Operador Value
    cloudMastered EQUAL true
    mail ISNULL

    Captura de pantalla del filtro de ámbito.

  5. En la página de reglas Unión, selecciona Siguiente.

  6. En la página Transformations (Transformaciones), agrega una transformación de tipo Constant, con el atributo cloudNoFlow establecido en True.

    Captura de pantalla de la transformación.

  7. Seleccione Agregar.

Creación de una regla de entrada de grupo personalizada en PowerShell

  1. En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.

  2. Importa el módulo.

    Import-Module ADSync
    
  3. Proporciona un valor único para la prioridad de la regla de sincronización [0-99].

    [int] $inboundSyncRulePrecedence = 88
    
  4. Ejecuta el siguiente script:

     New-ADSyncRule  `
     -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Inbound' `
     -Precedence $inboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
     -LinkType 'Join' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     Add-ADSyncAttributeFlowMapping  `
     -SynchronizationRule $syncRule[0] `
     -Source @('true') `
     -Destination 'cloudNoFlow' `
     -FlowType 'Constant' `
     -ValueMergeType 'Update' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudMastered','true','EQUAL' `
     -OutVariable condition0
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'mail','','ISNULL' `
     -OutVariable condition1
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0],$condition1[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
    

Paso 4: Crear una regla de salida de grupo personalizada

También necesitas una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.

Creación de una regla de salida de grupo personalizada en la interfaz de usuario

  1. Selecciona Saliente en la lista desplegable Dirección y seleccione Agregar regla.

  2. En la página Descripción, especifica los elementos siguientes y selecciona Siguiente:

    • Nombre: asigna un nombre descriptivo a la regla.
    • Descripción: agrega una descripción significativa.
    • Sistema conectado: elige el conector de AD para el que vas a escribir la regla de sincronización personalizada.
    • Tipo de objeto del sistema conectado: Grupo
    • Tipo de objeto de metaverso: Grupo
    • Tipo de vínculo: JoinNoFlow
    • Precedencia: proporciona un valor que sea único en el sistema. Se recomienda un valor inferior a 100, de modo que tenga prioridad sobre las reglas predeterminadas.
    • Tag (Etiqueta): deja este campo en blanco

    Captura de pantalla de la regla de sincronización de salida.

  3. En la página Scoping filter (Filtro de ámbito), elige cloudNoFlow igual a True. Luego, selecciona Siguiente.

    Captura de pantalla del filtro de ámbito de salida.

  4. En la página de reglas Unión, selecciona Siguiente.

  5. En la página Transformaciones, selecciona Agregar.

Creación de una regla de entrada de grupo personalizada en PowerShell

  1. En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.

  2. Importa el módulo.

    Import-Module ADSync
    
  3. Proporciona un valor único para la prioridad de la regla de sincronización [0-99].

    [int] $outboundSyncRulePrecedence = 89
    
  4. Obtén el conector de Active Directory para la escritura diferida de grupos.

    $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
    
  5. Ejecuta el siguiente script:

     New-ADSyncRule  `
     -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Outbound' `
     -Precedence $outboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector $connectorAD.Identifier `
     -LinkType 'JoinNoFlow' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudNoFlow','true','EQUAL' `
     -OutVariable condition0
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
    

Paso 5: Usar PowerShell para finalizar la configuración

  1. En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.

  2. Importa el módulo ADSync:

    Import-Module ADSync
    
  3. Ejecuta un ciclo de sincronización completo:

    Start-ADSyncSyncCycle -PolicyType Initial
    
  4. Deshabilita la característica de escritura diferida de grupos para el inquilino:

    Advertencia

    Esta operación es irreversible. Después de deshabilitar la escritura diferida de grupos V2, todos los grupos de Microsoft 365 se volverán a escribir en AD, independientemente de la configuración de la escritura diferida habilitada en el Centro de administración de Entra.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
    
  5. Ejecute un ciclo de sincronización completo (sí de nuevo):

    Start-ADSyncSyncCycle -PolicyType Initial
    
  6. Vuelva a habilitar el programador de sincronización:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

    Captura de pantalla de la ejecución de PowerShell.

Paso 6: Quitar el servidor de sincronización de Microsoft Entra Connect del modo de almacenamiento provisional

  1. Iniciar el Asistente para sincronización de Microsoft Entra Connect
  2. Haz clic en Configurar.
  3. Selecciona Configurar el modo de ensayo y haz clic en Siguiente
  4. Escriba las credenciales de Microsoft Entra
  5. Quite la marca de la casilla Habilitar modo de ensayo y haga clic en Siguiente
  6. Haga clic en Configurar.
  7. Haga clic en Salir

Paso 7: Configurar Microsoft Entra Cloud Sync

Ahora que los grupos se quitan del ámbito de sincronización de Sincronización de Microsoft Entra Connect, puede configurar Sincronización de Microsoft Entra Connect para asumir la sincronización de los grupos de seguridad. Consulte Aprovisionar grupos en Active Directory mediante Microsoft Entra Cloud Sync.

Pasos siguientes