Condividi tramite

Writeback dei gruppi con Microsoft Entra Cloud Sync

  • Articolo

Con il rilascio dell'agente di provisioning 1.1.1370.0, la sincronizzazione cloud ha ora la capacità di eseguire il writeback dei gruppi. Questa funzionalità indica che la sincronizzazione cloud può provisionare i gruppi direttamente nell'ambiente di Active Directory locale. Ora è possibile usare anche le funzionalità di governance delle identità per gestire l'accesso alle applicazioni basate su AD, ad esempio includendo un gruppo in un pacchetto di accesso di gestione delle autorizzazioni.

Diagramma del writeback di gruppo con la sincronizzazione cloud.

Importante

L'anteprima pubblica di Group Writeback v2 in Microsoft Entra Connect Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in tale data e non sarà più supportata in Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continuerà a essere utilizzabile oltre la data di interruzione; tuttavia, dopo tale data non riceverà più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

È disponibile in Microsoft Entra Cloud Sync una funzionalità simile, denominata Provisioning dei gruppi su Active Directory, che è possibile utilizzare al posto di Group Writeback v2 per il provisioning di gruppi di sicurezza cloud su Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità che verranno sviluppate in Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Connect Sync dovranno cambiare la configurazione da Connect Sync to Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se soddisfa specifiche esigenze). È anche possibile eseguire Cloud Sync in modalità affiancata e spostare solo il provisioning dei gruppi di sicurezza cloud su Cloud Sync per Active Directory.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare lo spostamento esclusivo in Cloud Sync usando la procedura guidata di sincronizzazione utenti.

Effettuare il provisioning di Microsoft Entra ID in Active Directory - Prerequisiti

Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.

Requisiti di licenza

L'uso di questa funzionalità richiede le licenze di Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Requisiti generali

  • Account Microsoft Entra con almeno un ruolo di Amministratore di Identità Ibride.
  • Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versioni successive.
    • Necessario per l'attributo dello schema di Active Directory: msDS-ExternalDirectoryObjectId
  • Agente di provisioning con versione build 1.1.1370.0 o versioni successive.

Nota

Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che tutte le proprietà di lettura, scrittura, creazione ed eliminazione siano applicate per tutti i gruppi e gli oggetti utente discendenti.

Queste autorizzazioni non vengono applicate per impostazione predefinita agli oggetti AdminSDHolder cmdlet di PowerShell gMSA per l'agente di provisioning di Microsoft Entra

  • L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
    • Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide
  • Microsoft Entra Connect Sync con la versione build 2.2.8.0 o versioni successive
    • Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connect Sync
    • Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier

Gruppi supportati e limiti di scalabilità

Quanto segue è supportato:

  • Sono supportati solo i gruppi di sicurezza creati nel cloud
  • Questi gruppi possono avere gruppi di appartenenza dinamica o assegnata.
  • Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
  • Questi gruppi vengono sottoposti a writeback con l'ambito dei gruppi universale di Active Directory. L'ambiente in sede deve supportare l'ambito del gruppo universale.
  • I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
  • I tenant con più di 150.000 oggetti non sono supportati. Ciò significa che se un tenant ha una combinazione di utenti e gruppi che supera i 150.000 oggetti, il tenant non è supportato.
  • Ogni gruppo figlio diretto annidato è conteggiato come un membro nel gruppo di riferimento.
  • La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.

Informazioni aggiuntive

Di seguito sono riportate ulteriori informazioni sulla gestione dei gruppi in Active Directory.

  • I gruppi di cui è stato effettuato il provisioning in Active Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul relativo account.
  • L'attributo onPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente di Active Directory di destinazione.
  • Un attributo objectGUID degli utenti locali può essere sincronizzato con un attributo onPremisesObjectIdentifier degli utenti cloud utilizzando Microsoft Entra Cloud Sync (1.1.1370.0) oppure Microsoft Entra Connect Sync (2.2.8.0)
  • Se si utilizza Microsoft Entra Connect Sync (2.2.8.0) per sincronizzare gli utenti, invece di Microsoft Entra Cloud Sync, e si desidera utilizzare il provisioning in AD, deve essere 2.2.8.0 o una versione successiva.
  • Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant come B2C non sono supportati.
  • Il processo di provisioning del gruppo è programmato per essere eseguito ogni venti minuti.

Scenari supportati per il writeback dei gruppi con Microsoft Entra Sync Cloud

Le sezioni seguenti descrivono gli scenari supportati per il writeback di gruppo con Microsoft Entra Cloud Sync.

Eseguire la migrazione della funzionalità di riscrittura dei gruppi v2 da Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync

Scenario: Eseguire la migrazione del writeback dei gruppi utilizzando Microsoft Entra Connect Sync (in precedenza Azure AD Connect) a Microsoft Entra Cloud Sync. Questo scenario è solo per i clienti che attualmente usano il writeback dei gruppi v2 di Microsoft Entra Connect. Il processo descritto in questo documento riguarda solo i gruppi di sicurezza creati dal cloud di cui viene eseguito il writeback con un ambito universale. I gruppi abilitati alle email e le liste di distribuzione, per cui viene eseguito il writeback usando Microsoft Entra Connect group writeback V1 o V2, non sono supportati.

Per altre informazioni, fare riferimento a Eseguire la migrazione del writeback dei gruppi v2 di Microsoft Entra Connect Sync alla sincronizzazione cloud di Microsoft Entra.

Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance

Scenario: gestire le applicazioni locali con gruppi di Active Directory di cui viene effettuato il provisioning e gestiti nel cloud. La sincronizzazione in cloud di Microsoft Entra consente di gestire completamente le assegnazioni di applicazioni in AD sfruttando al tempo stesso le funzionalità di Microsoft Entra ID Governance per controllare e correggere eventuali richieste correlate all'accesso.

Per altre informazioni, fare riferimento a Gestire le app locali basate su Active Directory locale (Kerberos) usando Microsoft Entra ID Governance.

Passaggi successivi