Configurar a sincronização com escopo da ID do Microsoft Entra para os Serviços de Domínio do Microsoft Entra usando o centro de administração do Microsoft Entra

Artigo
10/19/2023

Para fornecer serviços de autenticação, os Serviços de Domínio do Microsoft Entra sincronizam usuários e grupos a partir da ID do Microsoft Entra. Em um ambiente híbrido, os usuários e grupos de um ambiente local dos Serviços de Domínio Ative Directory (AD DS) podem ser primeiro sincronizados com a ID do Microsoft Entra usando o Microsoft Entra Connect e, em seguida, sincronizados com um domínio gerenciado dos Serviços de Domínio.

Por padrão, todos os usuários e grupos de um diretório do Microsoft Entra são sincronizados com um domínio gerenciado. Se apenas alguns usuários precisarem usar os Serviços de Domínio, você poderá optar por sincronizar apenas grupos de usuários. Você pode filtrar a sincronização para grupos locais, somente na nuvem ou ambos.

Este artigo mostra como configurar a sincronização com escopo e, em seguida, alterar ou desabilitar o conjunto de usuários com escopo usando o centro de administração do Microsoft Entra. Você também pode concluir essas etapas usando o PowerShell.

Captura de ecrã da opção de filtro de grupo.

Antes de começar

Para concluir este artigo, você precisa dos seguintes recursos e privilégios:

Uma subscrição ativa do Azure.
- Se você não tiver uma assinatura do Azure, crie uma conta.
Um locatário do Microsoft Entra associado à sua assinatura, sincronizado com um diretório local ou um diretório somente na nuvem.
- Se necessário, crie um locatário do Microsoft Entra ou associe uma assinatura do Azure à sua conta.
Um domínio gerenciado dos Serviços de Domínio Microsoft Entra habilitado e configurado em seu locatário do Microsoft Entra.
- Se necessário, conclua o tutorial para criar e configurar um domínio gerenciado dos Serviços de Domínio Microsoft Entra.
Você precisa das funções de Administrador de Aplicativos e Administrador de Grupos Microsoft Entra em seu locatário para alterar o escopo de sincronização dos Serviços de Domínio.

Visão geral da sincronização com escopo

Por padrão, todos os usuários e grupos de um diretório do Microsoft Entra são sincronizados com um domínio gerenciado. Você pode sincronizar o escopo apenas com contas de usuário que foram criadas no Microsoft Entra ID ou sincronizar todos os usuários.

Se apenas alguns grupos de usuários precisarem acessar o domínio gerenciado, você poderá selecionar Filtrar por direito de grupo para sincronizar apenas esses grupos. Essa sincronização com escopo é baseada apenas em grupo. Quando você configura a sincronização de escopo baseada em grupo, somente as contas de usuário que pertencem aos grupos especificados são sincronizadas com o domínio gerenciado. Os grupos aninhados não são sincronizados; Somente os grupos especificados serão sincronizados.

Você pode alterar o escopo de sincronização antes ou depois de criar o domínio gerenciado. O escopo da sincronização é definido por uma entidade de serviço com o identificador 2565bd9d-da50-47d4-8b85-4c97f669dc36do aplicativo. Para evitar a perda de escopo, não exclua nem altere a entidade de serviço. Se ele for excluído acidentalmente, o escopo da sincronização não poderá ser recuperado.

Lembre-se das seguintes advertências se você alterar o escopo da sincronização:

Ocorre uma sincronização completa.
Os objetos que não são mais necessários no domínio gerenciado são excluídos. Novos objetos são criados no domínio gerenciado.

Para saber mais sobre o processo de sincronização, consulte Compreender a sincronização nos Serviços de Domínio do Microsoft Entra.

Habilitar a sincronização com escopo

Para habilitar a sincronização com escopo no centro de administração do Microsoft Entra, conclua as seguintes etapas:

No centro de administração do Microsoft Entra, procure e selecione Serviços de Domínio do Microsoft Entra. Escolha seu domínio gerenciado, como aaddscontoso.com.
Selecione Sincronização no menu do lado esquerdo.
Em Escopo de sincronização, selecione Tudo ou Somente nuvem.
Para filtrar a sincronização de grupos selecionados, clique em Mostrar grupos selecionados, escolha se deseja sincronizar grupos somente na nuvem, grupos locais ou ambos. Por exemplo, a captura de tela a seguir mostra como sincronizar apenas três grupos que foram criados no Microsoft Entra ID. Somente os usuários que pertencem a esses grupos terão suas contas sincronizadas com os Serviços de Domínio.
Para adicionar grupos, clique em Adicionar grupos e, em seguida, procure e escolha os grupos a adicionar.
Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado ressincronize todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Modificar a sincronização com escopo

Para modificar a lista de grupos cujos usuários devem ser sincronizados com o domínio gerenciado, conclua as seguintes etapas:

No centro de administração do Microsoft Entra, procure e selecione Serviços de Domínio do Microsoft Entra. Escolha seu domínio gerenciado, como aaddscontoso.com.
Selecione Sincronização no menu do lado esquerdo.
Para adicionar um grupo, escolha + Adicionar grupos na parte superior e, em seguida, escolha os grupos a serem adicionados.
Para remover um grupo do escopo de sincronização, selecione-o na lista de grupos atualmente sincronizados e escolha Remover grupos.
Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Desativar a sincronização com escopo

Para desabilitar a sincronização de escopo baseada em grupo para um domínio gerenciado, conclua as seguintes etapas:

No centro de administração do Microsoft Entra, procure e selecione Serviços de Domínio do Microsoft Entra. Escolha seu domínio gerenciado, como aaddscontoso.com.
Selecione Sincronização no menu do lado esquerdo.
Desmarque a caixa de seleção Mostrar grupos selecionados e clique em Salvar escopo de sincronização.

Próximos passos