Configurando write-back de grupo no gerenciamento de direitos

Este artigo mostra como configurar o write-back de grupo no gerenciamento de direitos. O write-back de grupo é um recurso que permite gravar grupos de nuvem de volta à sua instância local do Ative Directory usando o Microsoft Entra Cloud Sync.

Configurar write-back de grupo no gerenciamento de direitos

Para configurar write-back de grupo para grupos do Microsoft 365 em pacotes de acesso, você deve concluir os seguintes pré-requisitos:

• Configure o write-back do grupo no centro de administração do Microsoft Entra.
• A Unidade Organizacional (UO) usada para configurar o write-back de grupo na Configuração do Microsoft Entra Cloud Sync.
• Conclua as etapas de ativação de write-back de grupo para o Microsoft Entra Cloud Sync.

Usando write-back de grupo, agora você pode sincronizar grupos de segurança que fazem parte de pacotes de acesso ao Ative Directory local. Para sincronizar os grupos, siga os passos:

1. Crie um grupo de segurança do Microsoft Entra.

2. Defina o grupo a ser gravado novamente no Ative Directory local. Para obter instruções, consulte Write-back de grupo no centro de administração do Microsoft Entra.

3. Adicione o grupo a um pacote de acesso como uma função de recurso. Consulte Criar um novo pacote de acesso para obter orientações.

4. Inicie Usuários e Computadores do Ative Directory e aguarde até que o novo grupo do AD resultante seja criado no domínio do AD. Quando estiver presente, registre o nome distinto, o domínio, o nome da conta e o SID do novo grupo do AD.

5. Configure o aplicativo para usar o novo grupo, atualizando o aplicativo ou adicionando o grupo como membro de um grupo existente, conforme descrito em Governar aplicativos locais baseados no Ative Directory (Kerberos) usando a Governança de ID do Microsoft Entra.

6. Atribua o usuário ao pacote de acesso. Consulte Exibir, adicionar e remover atribuições de um pacote de acesso para obter instruções sobre como atribuir diretamente um usuário.

7. Depois de atribuir um usuário ao pacote de acesso, confirme se o usuário agora é membro do grupo local assim que o ciclo do Microsoft Entra Cloud Sync for concluído:

   1. Exibir a propriedade membro do grupo na UO local OU
   2. Revise o membro Of no objeto de usuário.

   Nota

   O cronograma de ciclo de sincronização padrão do Microsoft Entra Cloud Sync é a cada 30 minutos. Talvez seja necessário aguardar até que o próximo ciclo ocorra para ver os resultados no local ou optar por executar o ciclo de sincronização manualmente para ver os resultados mais cedo.

8. No monitoramento de domínio do AD, permita que apenas a conta gMSA que executa o agente de provisionamento tenha autorização para alterar a associação no novo grupo do AD.

Próximos passos

• Criar e gerenciar um catálogo de recursos no gerenciamento de direitos
• Delegar a governança de acesso aos gerenciadores de pacotes de acesso no gerenciamento de direitos