Provisionar o Microsoft Entra ID para o Active Directory - Configuração
O documento a seguir orientará você pelo escopo de atributo com a Sincronização na Nuvem do Microsoft Entra para provisionamento do Microsoft Entra ID para o Active Directory. Se você estiver procurando informações sobre o provisionamento do Microsoft Entra ID para o AD, consulte Configurar – provisionamento do Active Directory para o Microsoft Entra ID usando o Microsoft Entra Cloud Sync
Importante
A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory. O recurso continuará operando além da data de descontinuação; no entanto, ele não receberá mais suporte após essa data e poderá deixar de funcionar a qualquer momento sem aviso prévio.
Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.
Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.
Configurar provisionamento
Para configurar o provisionamento, execute estas etapas:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
- Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.
- Selecione Nova configuração.
- Selecione Sincronizar o Microsoft Entra ID ao AD.
- Na tela de configuração, selecione seu domínio e se a sincronização de hash de senha deve ser habilitada. Clique em Criar.
- A tela Introdução será aberta. Aqui, você pode continuar configurando a sincronização na nuvem.
- A configuração é dividida nas cinco seções a seguir.
Seção | Descrição |
---|---|
1. Adicionar filtros de escopo | Use esta seção para definir quais objetos aparecem no Microsoft Entra ID |
2. Mapear atributos | Use esta seção para mapear atributos entre usuários/grupos locais com objetos do Microsoft Entra |
3. Testar | Teste sua configuração antes de implantá-la |
4. Exibir propriedades padrão | Veja a configuração padrão antes de habilitá-la e faça alterações quando apropriado |
5. Habilitar sua configuração | Depois de pronta, habilite a configuração e os usuários/grupos começarão a ser sincronizados |
Provisionamento de escopo para grupos específicos
Você pode definir o escopo do agente para sincronizar todos os grupos de segurança ou somente alguns específicos. Você não pode configurar grupos e unidades organizacionais em uma configuração.
- Na tela de configuração de Introdução. Clique em Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo ou clique em Filtros de escopo à esquerda, em Gerenciar.
- Selecione o filtro de escopo. O filtro pode ser um dos seguintes:
- Todos os grupos de segurança: define o escopo da configuração para ser aplicada a todos os grupos de segurança da nuvem.
- Grupos de segurança selecionados: define o escopo da configuração para ser aplicada a grupos de segurança específicos.
- Para grupos de segurança específicos, selecione Editar grupos e escolha os grupos desejados na lista.
Observação
Se você selecionar um grupo de segurança que tenha um grupo de segurança aninhado como membro, será feito write-back novamente apenas do grupo aninhado e não de seus membros. Por exemplo, se um grupo de segurança de Vendas for um membro do grupo de segurança de Marketing, será feito o write-back novamente apenas do próprio grupo Vendas e não dos membros do grupo Vendas.
Se você quiser aninhar grupos e provisioná-los no AD, precisará adicionar todos os grupos de membros ao escopo também.
- Você pode usar a caixa Contêiner de Destino para definir o escopo de grupos que usam um contêiner específico. Realize essa tarefa usando o atributo parentDistinguishedName. Use um mapeamento constante, direto ou de expressão.
Vários contêineres de destino podem ser configurados usando uma expressão de mapeamento de atributo com a função Switch(). Com essa expressão, se o valor displayName for Marketing ou Vendas, o grupo será criado na UO correspondente. Se não houver correspondência, o grupo será criado na UO padrão.
Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")
- Há suporte para filtragem de escopo baseada em atributo. Para obter mais informações, confira Filtragem de escopo baseada em atributos, Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID e Cenário: uso de extensões de diretório com provisionamento de grupos para o Active Directory.
- Quando os filtros de escopo forem configurados, clique em Salvar.
- Depois de salvar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar.
Provisionamento de escopo para grupos específicos usando extensões de diretório
Para criar escopos e filtragem mais avançados, você pode configurar o uso de extensões de diretório. Para obter uma visão geral das extensões de diretório, confira Extensões do diretório para provisionar o Microsoft Entra ID no Active Directory
Para obter um tutorial passo a passo sobre como estender o esquema e, em seguida, usar o atributo de extensão de diretório com provisionamento de sincronização de nuvem para o AD, consulte Cenário – Como suar extensões de diretório com provisionamento de grupo para o Active Directory.
Mapeamento de atributos
A Sincronização na Nuvem do Microsoft Entra permite que você mapeie facilmente atributos entre seus objetos de usuário/grupo local e os objetos no Microsoft Entra ID.
Você pode personalizar mapeamentos de atributo padrão de acordo com suas necessidades comerciais. Sendo assim, você pode alterar ou excluir mapeamentos de atributos existentes ou criar mapeamentos.
Depois de salvar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar.
Para obter mais informações, consulte mapeamento de atributo e Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.
Extensões de diretório e mapeamento de atributos personalizados.
A Sincronização na Nuvem do Microsoft Entra permite estender o diretório com extensões e fornece mapeamento de atributos personalizados. Para obter mais informações, consulte Extensões de diretório e mapeamento de atributos personalizados.
Provisionamento sob demanda
A Sincronização na Nuvem do Microsoft Entra permite que você teste as alterações de configuração, aplicando essas alterações a um único usuário ou grupo.
Você pode usar isso para validar e verificar se as alterações feitas na configuração foram aplicadas corretamente e estão sendo sincronizadas corretamente com o Microsoft Entra.
Depois de testar, você deverá ver uma mensagem informando o que ainda precisa fazer para configurar a sincronização de nuvem. Você pode clicar no link para continuar.
Para obter mais informações, confira o provisionamento sob demanda.
Exclusões acidentais e notificações por email
A seção de propriedades padrão fornece informações sobre exclusões acidentais e notificações por email.
O recurso de exclusão acidental foi projetado para protegê-lo contra alterações de configuração acidentais e alterações em seu diretório local que afetariam muitos usuários e grupos.
Esse recurso permite que você:
- Configure a capacidade de impedir exclusões acidentais automaticamente.
- Defina o número de objetos (limite) para além do qual a configuração entrará em vigor
- Configure um endereço de email de notificação para possibilitar receber uma notificação por email assim que o trabalho de sincronização em questão for colocado em quarentena para esse cenário
Para obter mais informações, confira Exclusões acidentais
Clique no lápis ao lado de Básico para alterar os padrões em uma configuração.
Habilitar sua configuração
Depois de finalizar e testar a configuração, você poderá habilitá-la.
Clique em Habilitar configuração para habilitá-la.
Quarentenas
A sincronização de nuvem monitora a integridade de sua configuração e coloca objetos não íntegros em um estado de quarentena. Se a maioria ou todas as chamadas feitas no sistema de destino falharem regularmente por causa de um erro, por exemplo, credenciais de administrador inválidas, o trabalho de sincronização será marcado como em quarentena. Para obter mais informações, confira a seção de solução de problemas sobre quarentenas.
Reiniciar o provisionamento
Se você não quiser aguardar a próxima execução agendada, acione o provisionamento executado usando o botão Reiniciar sincronização.
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
- Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.
Em Configuração, selecione sua configuração.
Na parte superior, selecione Reiniciar sincronização.
Remover uma configuração
Para excluir uma configuração, siga estas etapas:
- Entre no Centro de administração do Microsoft Entra como, no mínimo, um administrador híbrido.
- Navegue até Identidade>Gerenciamento híbrido>Microsoft Entra Connect>Sincronização na nuvem.
Em Configuração, selecione sua configuração.
Na parte superior da tela de configuração, selecione Excluir configuração.
Importante
Não há nenhuma confirmação antes de excluir uma configuração. Certifique-se de que essa seja a ação que você deseja realizar antes de selecionar Excluir.