Configurazione del writeback dei gruppi all'interno della gestione dei diritti
Questo articolo illustra come configurare il writeback dei gruppi nella gestione delle autorizzazioni. Il writeback dei gruppi è una funzionalità che consente di scrivere di nuovo i gruppi cloud nell'istanza di Active Directory locale usando Microsoft Entra Cloud Sync.
Configurare il writeback dei gruppi nella gestione dei permessi
Per configurare il writeback dei gruppi di Microsoft 365 nei pacchetti di accesso, è necessario completare i prerequisiti seguenti:
- Configurare il writeback dei gruppi nell'interfaccia di amministrazione di Microsoft Entra.
- Unità organizzativa (OU) usata per configurare il writeback dei gruppi in Configurazione di Sincronizzazione Cloud di Microsoft Entra.
- Completare i passaggi di abilitazione del writeback del gruppo e per Microsoft Entra Cloud Sync.
Usando il writeback dei gruppi, è ora possibile sincronizzare i gruppi di sicurezza che fanno parte dei pacchetti di accesso ad Active Directory locale. Per sincronizzare i gruppi, seguire questa procedura:
Creare un gruppo di sicurezza Microsoft Entra.
Impostare il gruppo da riscrivere in Active Directory locale. Per istruzioni, vedere writeback del gruppo nell'interfaccia di amministrazione di Microsoft Entra.
Aggiungere il gruppo a un pacchetto di accesso come ruolo di risorsa. Per indicazioni, vedere Creare un nuovo pacchetto di accesso.
Avvia Utenti e computer di Active Directory e attendi la creazione del nuovo gruppo di Active Directory all'interno del dominio. Quando è presente, registrare il nome distinto, il dominio, il nome dell'account e il SID del nuovo gruppo di Active Directory.
Configurare l'applicazione per utilizzare il nuovo gruppo, aggiornando l'applicazione o aggiungendo il gruppo come membro di un gruppo esistente, come descritto in Gestire le applicazioni locali basate su Active Directory (Kerberos) utilizzando la Governance ID di Microsoft Entra.
Assegna l'utente al pacchetto di accesso. Per istruzioni su come assegnare direttamente un utente, vedere Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso.
Dopo aver assegnato un utente al pacchetto di accesso, verificare che l'utente sia ora membro del gruppo locale al termine del ciclo di Sincronizzazione Cloud di Microsoft Entra:
- Visualizzare la proprietà membro del gruppo nell'unità organizzativa locale O
- Esaminare il membro Of nell'oggetto utente.
Nota
La pianificazione predefinita del ciclo di sincronizzazione di Microsoft Entra Cloud Sync è ogni 30 minuti. Potrebbe essere necessario attendere fino a quando non si verifica il ciclo successivo per visualizzare i risultati in locale o scegliere di eseguire manualmente il ciclo di sincronizzazione per visualizzare i risultati prima.
Nel monitoraggio del dominio AD, consentire solo all'account gMSA che esegue l'agente di provisioning di avere l'autorizzazione a modificare l'appartenenza al nuovo gruppo di Active Directory.