Write-back de grupo no centro de administração do Microsoft Entra
Observação
Este artigo explica como executar operações no centro de administração do Microsoft Entra no que se refere ao write-back em grupo. Para obter informações sobre instalação e configuração, confira Provisionar grupos para o Active Directory usando a Sincronização na Nuvem do Microsoft Entra (Versão Prévia)
Com a versão do agente de provisionamento 1.1.1370.0, O Cloud Sync agora tem a capacidade de provisionar grupos diretamente para seu ambiente do Active Directory local. Com esse recurso, você pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados no Active Directory. Por exemplo, você pode incluir um grupo em um pacote de acesso de gerenciamento de direitos. No momento, esse serviço está em visualização pública.
Para obter mais informações, consulte: Provisionamento de grupos para o Active Directory e Controlar aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance (Preview)
Importante
A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory.
Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.
Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.
Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.
Você pode avaliar a realização de uma mudança exclusivamente para o Cloud Sync usando o assistente de sincronização do usuário.
Se você estiver usando o Writeback v2 do grupo de sincronização do Microsoft Entra Connect, precisa mudar para o provisionamento do Cloud Sync para o Active Directory antes de poder aproveitar o provisionamento do grupo Cloud Sync. Para obter mais informações, consulte Como migrar o Writeback v2 do grupo de sincronização do Microsoft Entra Connect para o Microsoft Entra Cloud Sync.
Observação
Se você estava executando write-back de grupos do Microsoft 365 para o Active Directory local como grupos de distribuição universais, eles aparecem no portal do Azure como não habilitados para write-back na página Grupos e na página de propriedades de um grupo. Essas páginas exibem uma nova propriedade introduzida para a versão prévia, writeback enabled. Essa propriedade não é definida pela versão atual do write-back de grupo para garantir a compatibilidade com a versão herdada do write-back de grupo e evitar a interrupção das configurações existentes do cliente.
Para entender o comportamento do No writeback no portal, você pode exibir o estado de write-back por meio do Microsoft Graph. Para obter mais informações, consulte Obter grupo.
| Portal | Microsoft Graph | Comportamental |
|---|---|---|
| Write-back | isEnabled = null ou true | Será feito write-back do grupo. |
| Sem write-back | isEnabled = false | Não será feito write-back do grupo. |
| Sem write-back | IsEnabled = null e onPremisesGroupType = null | Se for um grupo do Microsoft 365, será feito o write-back dele para o Active Directory local como um grupo de distribuição. Se for um grupo de segurança do Microsoft Entra, o write-back do grupo será feito no Active Directory local. |
Por padrão, o Estado de write-back de grupo é definido como Sem write-back. Isso significa que:
- Grupos do Microsoft 365: se for o grupo
IsEnabled = nulleonPremisesGroupType = null, para garantir a compatibilidade com versões anteriores do write-back do grupo, será feito write-back do grupo no seu Active Directory local como um grupo de distribuição. - Grupos de segurança do Microsoft Entra: se o grupo for
IsEnabled = nulleonPremisesGroupType = null, será feito write-back do grupo no Active Directory local.
Mostrar colunas de write-back
Na página de visão geral Todos os grupos, você pode adicionar as colunas de write-back de grupo Tipo de write-back de destino e Write-back habilitado para a exibição. As colunas Tipo de write-back de destino e Write-back habilitado estão disponíveis para a exibição, tenha você ou não o write-back habilitado no Microsoft Entra Connect.
Configurações da coluna de write-back
A coluna Write-back habilitado permite desativar o recurso de write-back para grupos individuais. A coluna Tipo de write-back de destino permite especificar para qual tipo de grupo você deseja que esse grupo de nuvem execute write-back no seu Active Directory local. No caso de um grupo do Microsoft 365 no Microsoft Entra, você pode executar write-back como grupo de segurança, de distribuição ou de segurança habilitado para email. Para um grupo de segurança do Microsoft Entra, você pode gravá-lo novamente apenas como um grupo de segurança.
Configurações de write-back em propriedades de grupo
Você também pode definir configurações de write-back para um grupo na página de propriedades desse grupo. Há uma configuração de Estado de write-back de grupo que permite desligar o write-back do grupo ou especificar o tipo de grupo de write-back. Quando Sem write-back está selecionado, não é feito write-back desse grupo. Se você selecionar um dos outros tipos de write-back como opção (por exemplo, segurança), terá:
- Habilitado o grupo para write-back:
- Direcionado ao tipo de write-back como grupo de segurança.
Ler a configuração de write-back usando o PowerShell
Você pode usar o PowerShell para obter uma lista de grupos habilitados para write-back usando o cmdlet Get-MgGroup do PowerShell a seguir.
Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}
DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1 True
CloudGroup2 True
Ler a configuração de write-back usando o Explorador do Graph
Abra o Explorador do Microsoft Graph e execute o ponto de extremidade https://graph.microsoft.com/beta/groups/{Group_ID}.
Substitua o ID do grupo por uma ID de grupo de nuvem e selecione Executar consulta. Na Pré-visualização de Resposta, role até o final para ver a parte do arquivo JSON.
"writebackConfiguration": {
"isEnabled": true,
...
}
Próximas etapas
- Confira a documentação da API REST do grupo para obter a propriedade de write-back em versão prévia no modelo de configurações.
- Para obter mais informações sobre operações de write-back de grupo, consulte Write-back de grupo do Microsoft Entra Connect.
- Para obter mais informações sobre o recurso
writebackConfiguration, vejawritebackConfigurationtipo de recurso.