Migración de la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync
Importante
La versión preliminar pública de Escritura diferida de grupos V2 en Sincronización de Microsoft Entra Connect ya no estará disponible después del 30 de junio de 2024. Esta característica se interrumpirá en esta fecha y ya no se admitirá en Sincronización Connect para aprovisionar grupos de seguridad en la nube en Active Directory. La característica seguirá funcionando más allá de la fecha de interrupción; sin embargo, ya no recibirá soporte técnico después de esta fecha y puede dejar de funcionar en cualquier momento sin previo aviso.
Ofrecemos una funcionalidad similar en Microsoft Entra Cloud Sync denominada Aprovisionamiento de grupos en Active Directory que puedes usar en lugar de Escritura diferida de grupos v2 para aprovisionar grupos de seguridad en la nube en Active Directory. Estamos trabajando para mejorar esta funcionalidad en Cloud Sync junto con otras nuevas características que estamos desarrollando en Cloud Sync.
Los clientes que usan esta característica en vista previa (GB) en Connect Sync deben cambiar su configuración de Connect Sync a Cloud Sync. Puedes optar por mover toda la sincronización híbrida a Cloud Sync (si es compatible con tus necesidades). También puedes ejecutar Sincronización en la nube en paralelo y mover solo el aprovisionamiento de grupos de seguridad en la nube en Active Directory a Sincronización en la nube.
Para los clientes que aprovisionan grupos de Microsoft 365 en Active Directory, puedes seguir usando Escritura diferida de grupos v1 para esta funcionalidad.
Puede evaluar el traslado exclusivo a Sincronización en la nube. mediante el asistente de sincronización del usuario.
En el siguiente documento se describe cómo migrar la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solopara los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo pertenece a los grupos de seguridad creados en la nube que se escriben con un ámbito universal.
Importante
Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2
Además, este escenario solo se admite para:
Los grupos y DL habilitados para correo escrito en AD siguen funcionando con la escritura diferida de grupos de Microsoft Entra Connect, pero volverán al comportamiento de la escritura diferida de grupos V1, por lo que, en este escenario, después de deshabilitar la reescritura de grupos V2, todos los grupos de M365 se volverán a escribir en AD independientemente de la configuración de la escritura diferida habilitada en el centro de administración de Entra. Para obtener más información, consulte las Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.
Requisitos previos
Los siguientes requisitos previos son necesarios para implementar este escenario.
- Cuenta de Microsoft Entra con al menos un rol de Administrador de identidad híbrida.
- Una cuenta de AD local con al menos permisos de administrador de dominio: es necesario para acceder al atributo adminDescription y copiarlo en el atributo msDS-ExternalDirectoryObjectId
- Entorno local de Active Directory Domain Services con el sistema operativo Windows Server 2016 o posterior.
- Se requiere para el atributo de esquema de AD: msDS-ExternalDirectoryObjectId
- Aprovisionamiento del agente con la versión de compilación 1.1.1367.0 o posterior.
- El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
- Se necesita para la búsqueda del catálogo global, para filtrar las referencias de pertenencia no válidas
Convención de nomenclatura para grupos escritos
De forma predeterminada, Microsoft Entra Connect Sync usa el siguiente formato al nombrar los grupos que se vuelven a escribir.
Formato predeterminado: CN=Group_<guid>,OU=<contenedor>,DC=<componente de dominio>,DC=<componente de dominio>
Ejemplo: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Para facilitar la búsqueda de los grupos que se están volviendo a escribir desde Microsoft Entra ID a Active Directory, Microsoft Entra Connect Sync ha agregado una opción para volver a escribir el nombre del grupo usando el nombre para mostrar de la nube. Para ello, seleccione el Nombre distintivo del grupo de reescritura con nombre para mostrar en la nube durante la configuración inicial de la reescritura de grupo v2. Si esta característica está habilitada, Microsoft Entra Connect usa el siguiente formato nuevo, en lugar del formato predeterminado:
Nuevo formato: CN=<nombre para mostrar>_<últimos 12 dígitos del id. del objeto>,OU=<contenedor>,DC=<componente de dominio>,DC=<componente de dominio>
Ejemplo: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Importante
De forma predeterminada, la sincronización en la nube de Microsoft Entra usa el nuevo formato, incluso si la característica Nombre distintivo del grupo de reescritura con nombre para mostrar en la nube no está habilitada en Sincronización de Microsoft Entra Connect. Si usa la nomenclatura predeterminada de Sincronización de Microsoft Entra Connect y, a continuación, migra el grupo para que esté administrado por la sincronización en la nube de Microsoft Entra, se cambia el nombre del grupo al nuevo formato. Use la sección siguiente para permitir que la sincronización en la nube de Microsoft Entra use el formato predeterminado de Microsoft Entra Connect.
Uso del formato predeterminado
Si desea que la sincronización en la nube use el mismo formato predeterminado que Sincronización de Microsoft Entra Connect, debe modificar la expresión de flujo de atributo para el atributo CN. Las dos posibles asignaciones son:
Expression | Sintaxis | Descripción |
---|---|---|
Expresión predeterminada de sincronización en la nube mediante DisplayName | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | Expresión predeterminada usada por Sincronización de Microsoft Entra Connect (es decir, el nuevo formato) |
Nueva expresión de sincronización en la nube sin usar DisplayName | Append("Group_", [objectId]) | Nueva expresión para usar el formato predeterminado de Sincronización de Microsoft Entra Connect. |
Para más información, consulta Agregar una asignación de atributos: Microsoft Entra ID a Active Directory
Paso 1: Copiar adminDescription en msDS-ExternalDirectoryObjectID
Para validar las referencias de pertenencia a grupos, Sincronización de Microsoft Entra Cloud debe consultar el catálogo global de Active Directory para el atributo msDS-ExternalDirectoryObjectID. Se trata de un atributo indexado que se replica en todos los catálogos globales dentro del bosque de Active Directory.
En el entorno local, abre ADSI Editar.
Copia el valor que se encuentra en el atributo adminDescription del grupo.
Pégalo en el atributo msDS-ExternalDirectoryObjectID
El siguiente script de PowerShell se puede usar para ayudar a automatizar este paso. Este script toma todos los grupos del contenedor OU=Groups,DC=Contoso,DC=com y copiará el valor del atributo adminDescription en el valor del atributo msDS-ExternalDirectoryObjectID. Antes de usar este script, actualiza la variable $gwbOU
con DistinguishedName de la unidad organizativa (OU) de destino de la escritura diferida de grupo.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
El siguiente script de PowerShell se puede usar para comprobar los resultados del script anterior o confirmar que todos los grupos tienen el valor adminDescription igual a msDS-ExternalDirectoryObjectID.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
Paso 2: Colocar el servidor de sincronización de Microsoft Entra Connect en modo de almacenamiento provisional y deshabilitar el programador de sincronización
Iniciar el Asistente para sincronización de Microsoft Entra Connect
Haz clic en Configurar.
Selecciona Configurar el modo de ensayo y haz clic en Siguiente
Escribe las credenciales de Microsoft Entra
Activa la casilla Habilitar el modo de ensayo y haz clic en Siguiente
Haz clic en Configurar.
Haz clic en Salir
En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.
Deshabilita el programador de sincronización:
Set-ADSyncScheduler -SyncCycleEnabled $false
Paso 3: Crear una regla de entrada de grupo personalizada
En el editor de reglas de sincronización de Microsoft Entra Connect, debes crear una regla de sincronización de entrada que filtre los grupos que tienen NULL para el atributo mail. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.
Creación de una regla de entrada de grupo personalizada en la interfaz de usuario
Inicia el Editor de reglas de sincronización desde el menú Inicio.
Selecciona Entrante en la lista desplegable Dirección y luego Agregar nueva regla.
En la página Descripción, especifica los elementos siguientes y selecciona Siguiente:
Nombre: asigna un nombre descriptivo a la regla.
Descripción: agrega una descripción significativa
Sistema conectado: elige el conector de Microsoft Entra para el que vas a escribir la regla de sincronización personalizada
Tipo de objeto del sistema conectado: Grupo
Tipo de objeto de metaverso: Grupo
Tipo de vínculo: Join
Precedencia: proporciona un valor que sea único en el sistema. Se recomienda un valor inferior a 100, de modo que tenga prioridad sobre las reglas predeterminadas.
Etiqueta: deja este campo en blanco
En la página Filtro de ámbito, agrega lo siguiente y luego selecciona Siguiente.
Atributo Operador Value cloudMastered EQUAL true mail ISNULL En la página de reglas Unión, selecciona Siguiente.
En la página Transformations (Transformaciones), agrega una transformación de tipo Constant, con el atributo cloudNoFlow establecido en True.
Seleccione Agregar.
Creación de una regla de entrada de grupo personalizada en PowerShell
En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.
Importa el módulo.
Import-Module ADSync
Proporciona un valor único para la prioridad de la regla de sincronización [0-99].
[int] $inboundSyncRulePrecedence = 88
Ejecuta el siguiente script:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
Paso 4: Crear una regla de salida de grupo personalizada
También necesitas una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.
Creación de una regla de salida de grupo personalizada en la interfaz de usuario
Selecciona Saliente en la lista desplegable Dirección y seleccione Agregar regla.
En la página Descripción, especifica los elementos siguientes y selecciona Siguiente:
- Nombre: asigna un nombre descriptivo a la regla.
- Descripción: agrega una descripción significativa.
- Sistema conectado: elige el conector de AD para el que vas a escribir la regla de sincronización personalizada.
- Tipo de objeto del sistema conectado: Grupo
- Tipo de objeto de metaverso: Grupo
- Tipo de vínculo: JoinNoFlow
- Precedencia: proporciona un valor que sea único en el sistema. Se recomienda un valor inferior a 100, de modo que tenga prioridad sobre las reglas predeterminadas.
- Tag (Etiqueta): deja este campo en blanco
En la página Scoping filter (Filtro de ámbito), elige cloudNoFlow igual a True. Luego, selecciona Siguiente.
En la página de reglas Unión, selecciona Siguiente.
En la página Transformaciones, selecciona Agregar.
Creación de una regla de entrada de grupo personalizada en PowerShell
En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.
Importa el módulo.
Import-Module ADSync
Proporciona un valor único para la prioridad de la regla de sincronización [0-99].
[int] $outboundSyncRulePrecedence = 89
Obtén el conector de Active Directory para la escritura diferida de grupos.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"
Ejecuta el siguiente script:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
Paso 5: Usar PowerShell para finalizar la configuración
En el servidor de Microsoft Entra Connect, abre un símbolo del sistema de PowerShell como administrador.
Importa el módulo ADSync:
Import-Module ADSync
Ejecuta un ciclo de sincronización completo:
Start-ADSyncSyncCycle -PolicyType Initial
Deshabilita la característica de escritura diferida de grupos para el inquilino:
Advertencia
Esta operación es irreversible. Después de deshabilitar la escritura diferida de grupos V2, todos los grupos de Microsoft 365 se volverán a escribir en AD, independientemente de la configuración de la escritura diferida habilitada en el Centro de administración de Entra.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
Ejecute un ciclo de sincronización completo (sí de nuevo):
Start-ADSyncSyncCycle -PolicyType Initial
Vuelva a habilitar el programador de sincronización:
Set-ADSyncScheduler -SyncCycleEnabled $true
Paso 6: Quitar el servidor de sincronización de Microsoft Entra Connect del modo de almacenamiento provisional
- Iniciar el Asistente para sincronización de Microsoft Entra Connect
- Haz clic en Configurar.
- Selecciona Configurar el modo de ensayo y haz clic en Siguiente
- Escriba las credenciales de Microsoft Entra
- Quite la marca de la casilla Habilitar modo de ensayo y haga clic en Siguiente
- Haga clic en Configurar.
- Haga clic en Salir
Paso 7: Configurar Microsoft Entra Cloud Sync
Ahora que los grupos se quitan del ámbito de sincronización de Sincronización de Microsoft Entra Connect, puede configurar Sincronización de Microsoft Entra Connect para asumir la sincronización de los grupos de seguridad. Consulte Aprovisionar grupos en Active Directory mediante Microsoft Entra Cloud Sync.