Ativar write-back de grupo do Microsoft Entra Connect

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esta funcionalidade será descontinuada nesta data e não terá mais suporte para a Sincronização de Ligação para aprovisionar grupos de segurança na cloud para o Active Directory. A funcionalidade continuará a operar após a data de descontinuação. No entanto, deixará de receber suporte após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante na Sincronização da Cloud do Microsoft Entra chamada Aprovisionamento de Grupo para o Active Directory que pode utilizar em vez da Repetição de Escrita de Grupo v2 para aprovisionar grupos de segurança da cloud para o Active Directory. Estamos a trabalhar para melhorar esta funcionalidade na Sincronização da Cloud, juntamente com outras novas funcionalidades que estamos a desenvolver na Sincronização da Cloud.

Os clientes que usam esta funcionalidade de pré-visualização na Sincronização de Ligação devem alternar a sua configuração da Sincronização de Ligação para a Sincronização na Cloud. Pode optar por mover toda a sincronização híbrida para a Sincronização na Cloud (se esta atender às suas necessidades). Também pode executar a Sincronização na Cloud lado a lado e mover apenas o aprovisionamento do grupo de segurança da cloud para o Active Directory para a Sincronização na Cloud.

Para clientes que aprovisionam grupos do Microsoft 365 para o Active Directory, pode continuar a utilizar a Repetição de Escrita de Grupo v1 para esta capacidade.

Pode avaliar a mudança exclusivamente para a Sincronização na Cloud utilizando o assistente de sincronização do utilizador.

O write-back de grupo é um recurso que permite gravar grupos de nuvem de volta à sua instância local do Ative Directory usando o Microsoft Entra Connect Sync.

Este artigo orienta você na habilitação do write-back de grupo.

Passos de implementação

O write-back de grupo requer a habilitação das versões original e nova do recurso. Se a versão original foi habilitada anteriormente em seu ambiente, você precisará usar apenas o primeiro conjunto das etapas a seguir, porque o segundo conjunto de etapas já foi concluído.

Nota

Recomendamos que você siga o método de migração de balanço para implantar o novo recurso de write-back de grupo em seu ambiente. Este método fornecerá um plano de contingência claro se for necessário um desmantelamento importante.

O recurso de write-back de grupo avançado está habilitado no locatário e não por instância do cliente Microsoft Entra Connect. Certifique-se de que todas as instâncias do cliente Microsoft Entra Connect sejam atualizadas para uma versão de compilação mínima da versão 1.6.4.0 ou posterior.

Nota

Se você não quiser gravar todos os grupos existentes do Microsoft 365 no Ative Directory, precisará fazer alterações no comportamento padrão de write-back do grupo antes de executar as etapas neste artigo para habilitar o recurso. Consulte Modificar o comportamento padrão de write-back do grupo Microsoft Entra Connect. Além disso, as versões novas e originais do recurso precisam ser ativadas na ordem documentada. Se o recurso original for habilitado primeiro, todos os grupos existentes do Microsoft 365 serão gravados novamente no Ative Directory.

Habilitar write-back de grupo usando o PowerShell

1. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Desative o agendador de sincronização depois de verificar se nenhuma operação de sincronização está em execução:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importe o módulo ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Habilite o recurso de write-back de grupo para o locatário:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Reative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Execute um ciclo de sincronização completo se o write-back do grupo tiver sido configurado anteriormente e não for configurado no assistente do Microsoft Entra Connect:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Habilitar write-back de grupo usando o assistente do Microsoft Entra Connect

Se a versão original do write-back de grupo não tiver sido habilitada anteriormente, continue com as seguintes etapas:

1. No servidor Microsoft Entra Connect, abra o assistente Microsoft Entra Connect.
2. Selecione Configurar e, em seguida, selecione Avançar.
3. Selecione Personalizar opções de sincronização e, em seguida, selecione Avançar.
4. Na página Conectar ao Microsoft Entra ID, insira suas credenciais. Selecione Seguinte.
5. Na página Recursos opcionais, verifique se as opções configuradas anteriormente ainda estão selecionadas.
6. Selecione Write-back de grupo e, em seguida, selecione Avançar.
7. Na página Write-back, selecione uma unidade organizacional (UO) do Ative Directory para armazenar objetos sincronizados do Microsoft 365 para sua organização local. Selecione Seguinte.
8. Na página Pronto para configurar, selecione Configurar.
9. Na página Configuração concluída, selecione Sair.

Depois de concluir este procedimento, o write-back do grupo é configurado automaticamente. Se você tiver problemas de permissão ao exportar o objeto para o Ative Directory, abra o Windows PowerShell como administrador no servidor Microsoft Entra Connect. Em seguida, execute os seguintes comandos. Este passo é opcional.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Configuração opcional

Para facilitar a localização de grupos que estão sendo gravados de volta da ID do Microsoft Entra para o Ative Directory, há uma opção para reescrever o nome distinto do grupo usando o nome de exibição na nuvem:

• Formato padrão: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Novo formato: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Quando você estiver configurando o write-back de grupo, uma caixa de seleção aparecerá na parte inferior da janela de configuração. Selecione-o para ativar esse recurso.

Nota

Os grupos que estão sendo gravados de volta do Microsoft Entra ID para o Ative Directory terão uma fonte de autoridade na nuvem. Quaisquer alterações feitas no local em grupos que são gravados de volta a partir da ID do Microsoft Entra serão substituídas no próximo ciclo de sincronização.

Próximos passos

• Repetição de escrita de grupos do Microsoft Entra Connect
• Modificar o comportamento padrão de write-back do grupo Microsoft Entra Connect
• Desativar write-back do grupo Microsoft Entra Connect