Write-back de grupo com o Microsoft Entra Cloud Sync
Com a versão do agente de provisionamento 1.1.1370.0, a sincronização de nuvem agora tem a capacidade de execução de write-back de grupo. Esse recurso significa que a sincronização de nuvem pode provisionar grupos diretamente para seu ambiente do Active Directory local. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.
Importante
A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory. O recurso continuará operando além da data de descontinuação; no entanto, ele não receberá mais suporte após essa data e poderá deixar de funcionar a qualquer momento sem aviso prévio.
Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.
Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.
Provisionar o Microsoft Entra ID no Active Directory – Pré-requisitos
Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.
Requisitos de licença
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Requisitos gerais
- Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
- Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
- Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
- Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.
Observação
As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Se as permissões forem definidas manualmente, você precisará garantir a definição todas as propriedades de Leitura, Gravação, Criação e Exclusão para todos os Grupos e objetos de usuário descendentes.
Essas permissões não são aplicadas a objetos AdminSDHolder por padrão cmdlets do PowerShell do agente de provisionamento gMSA do Microsoft Entra
- O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
- Necessário para pesquisa de catálogo global para filtrar referências de subscrição inválidas
- Sincronização do Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
- Necessário para dar suporte à subscrição de usuário local sincronizada usando a Sincronização do Microsoft Entra Connect
- Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier
Grupos com suporte e limites de escala
As seguintes ações são compatíveis:
- Há suporte apenas para os Grupos de segurança criados na nuvem
- Esses grupos podem ter uma associação atribuída ou dinâmica.
- Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
- As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
- O write-back desses grupos é feito com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
- Não há suporte para grupos com mais de 50.000 membros.
- Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
- Cada grupo filho aninhado de forma direta conta como um membro no grupo de referência
- Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.
Informações adicionais
A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.
- Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
- Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
- O atributo onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
- Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários na nuvem pode ser sincronizado usando a Sincronização na nuvem do Microsoft Entra (1.1.1370.0) ou a Sincronização do Microsoft Entra Connect (2.2.8.0)
- Se você estiver usando a Sincronização do Microsoft Entra Connect (2.2.8.0) para sincronizar usuários em vez da Sincronização na nuvem do Microsoft Entra e quiser usar o Provisionamento para o AD, deverá usar a versão 2.2.8.0 ou posterior.
- Há suporte somente para locatários regulares do Microsoft Entra ID para o provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para locatários como B2C.
- O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.
Cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync
As seções a seguir descrevem os cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync.
- Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra
- Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra
Cenário: migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento pertence apenas a grupos de segurança criados na nuvem cujo write-back foi feito com um escopo universal. Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.
Para obter mais informações, confira Migrar o write-back de grupo do Sincronização do Microsoft Entra Connect V2 para a Sincronização de nuvem do Microsoft Entra.
Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
Cenário: gerenciar aplicativos locais com grupos do Active Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD, aproveitando os recursos de Governança do Microsoft Entra ID para controlar e corrigir quaisquer solicitações relacionadas ao acesso.
Para obter mais informações, consulte Controlar aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.
Próximas etapas
- Provisionar grupos no Active Directory usando o Microsoft Entra Cloud Sync
- Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
- Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra