Como configurar o write-back de grupo no gerenciamento de direitos

Este artigo mostra como configurar o write-back de grupo no gerenciamento de direitos. O write-back de grupo é um recurso que permite que você grave grupos de nuvem de volta na sua instância do Active Directory local usando o Microsoft Entra Cloud Sync.

Configurar o write-back de grupo no gerenciamento de direitos

Para configurar o write-back para grupos do Microsoft 365 em pacotes de acesso, você precisa concluir os seguintes pré-requisitos:

• Habilitar o write-back de grupo no Centro de administração do Microsoft Entra.
• A Unidade Organizacional (UO) que será usada para configurar o write-back de grupo na Configuração do Microsoft Entra Cloud Sync.
• Conclua as etapas de habilitação de write-back de grupo para o Microsoft Entra Cloud Sync.

Ao usar o write-back de grupo, agora você pode sincronizar grupos de segurança que fazem parte de pacotes de acesso com o Active Directory local. Para sincronizar os grupos, siga as etapas abaixo:

1. Crie um grupo de segurança do Microsoft Entra.

2. Defina o grupo em que o write-back será realizado no Active Directory local. Para obter instruções, consulte Write-back de grupo no Centro de administração do Microsoft Entra.

3. Adicione o grupo a um pacote de acesso como uma função de recurso. Confira Criar um pacote de acesso para obter diretrizes.

4. Inicie Usuários e Computadores do Active Directory e aguarde até que o novo grupo do AD resultante seja criado no domínio do AD. Quando estiver presente, registre o nome diferenciado, o domínio, o nome da conta e o SID do novo grupo do AD.

5. Configure o aplicativo para usar o novo grupo, atualizando o aplicativo ou adicionando o grupo como membro de um grupo existente, conforme descrito em Como governar aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.

6. Atribua o usuário ao pacote de acesso. Confira Exibir, adicionar e remover atribuições de um pacote de acesso para obter instruções para atribuir diretamente um usuário.

7. Depois de atribuir um usuário ao pacote de acesso, confirme se o usuário já é membro do grupo local após concluir o ciclo do Microsoft Entra Cloud Sync:

   1. Exibir a propriedade membro do grupo na UO local OU
   2. Examinar o membro Do no objeto de usuário.

   Observação

   A agenda padrão do ciclo do Microsoft Entra Cloud Sync é a cada 30 minutos. Talvez seja necessário aguardar até que o próximo ciclo ocorra para ver os resultados localmente ou optar por executar o ciclo de sincronização manualmente para ver os resultados mais cedo.

8. No monitoramento de domínio do AD, permita que apenas a conta gMSA que executa o agente de provisionamento tenha autorização para alterar a associação no novo grupo do AD.

Próximas etapas

• Criar e gerenciar um catálogo de recursos no gerenciamento de direitos
• Delegar controle de acesso para acessar gerenciadores de pacotes no gerenciamento de direitos