Partilhar via


Sincronização reversa de grupo com o Microsoft Entra Cloud Sync

Com o lançamento do agente de provisionamento 1.1.1370.0, a sincronização na nuvem agora tem a capacidade de executar write-back de grupo. Esse recurso significa que a sincronização na nuvem pode provisionar grupos diretamente para seu ambiente local do Ative Directory. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização pública do Group Writeback v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esta funcionalidade será descontinuada a partir desta data, e não terá mais suporte no Connect Sync para provisionar grupos de segurança na cloud para o Active Directory. A funcionalidade continuará a operar após a data de descontinuação. No entanto, deixará de receber suporte após esta data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos funcionalidade semelhante na Sincronização de Cloud do Microsoft Entra chamada Provisionamento de Grupo para Active Directory que pode utilizar em vez do Reenvio de Grupo v2 para provisionar grupos de segurança da nuvem para o Active Directory. Estamos a trabalhar para melhorar esta funcionalidade na Sincronização da Cloud, juntamente com outras novas funcionalidades que estamos a desenvolver na Sincronização da Cloud.

Os clientes que usam esta funcionalidade de pré-visualização na Sincronização de Ligação devem alternar a sua configuração da Sincronização de Ligação para a Sincronização na Cloud. Pode optar por mover toda a sincronização híbrida para a Sincronização na Cloud (se esta atender às suas necessidades). Também pode executar o Cloud Sync em paralelo e mover apenas o aprovisionamento do grupo de segurança da cloud para o Active Directory através do Cloud Sync.

Para os clientes que aprovisionam grupos do Microsoft 365 para o Active Directory, os clientes podem continuar a utilizar o Group Writeback v1 para esta capacidade.

Pode avaliar a mudança exclusivamente para Cloud Sync utilizando o assistente de sincronização do utilizador.

Provisionar o ID do Microsoft Entra para o Active Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no Ative Directory.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os requisitos, consulte Comparar as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
  • Ambiente local dos Serviços de Domínio Ative Directory com sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo do Esquema do Active Directory - msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com versão de compilação 1.1.1370.0 ou mais recente.

Nota

As permissões para a conta de serviço são atribuídas apenas durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, é necessário garantir Ler, Gravar, Criar e Apagar todas as propriedades de todos os Grupos descendentes e objetos de Utilizador.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell.

  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com versão de build 2.2.8.0 ou superior
    • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD:user:objectGUID com AAD:user:onPremisesObjectIdentifier

Grupos suportados e limites de escala

O seguinte é suportado:

  • Apenas os grupos de segurança criados na nuvem são suportados
  • Esses grupos podem ter grupos de associação atribuídos ou dinâmicos.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais sincronizadas e que são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • Esses grupos são reescritos no âmbito universal dos grupos do AD. Seu ambiente local deve oferecer suporte ao escopo de grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Ou seja, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150K objetos, o locatário não será suportado.
  • Cada subgrupo direto conta como um membro no grupo ao qual pertence.
  • A reconciliação de grupos entre o Microsoft Entra ID e o Ative Directory não é suportada se o grupo for atualizado manualmente no Ative Directory.

Informações adicionais

A seguir estão informações adicionais sobre o provisionamento de grupos para o Ative Directory.

  • Os grupos provisionados para o AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários de nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
  • Se você estiver usando o Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuários, em vez do Microsoft Entra Cloud Sync, e quiser usar o Provisionamento para AD, ele deverá ser 2.2.8.0 ou posterior.
  • Somente locatários regulares do Microsoft Entra ID são suportados para provisionamento do Microsoft Entra ID ao Active Directory. Locatários como B2C não são suportados.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar a funcionalidade de escrita em grupos do Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync

Cenário: Migrar o write-back de grupos do Microsoft Entra Connect Sync (anteriormente Azure AD Connect) para o Microsoft Entra Cloud Sync. Este cenário destina-se apenas a clientes que estão atualmente a utilizar a versão v2 do write-back de grupos do Microsoft Entra Connect. O processo descrito neste documento refere-se apenas a grupos de segurança criados na nuvem que são escritos novamente com um escopo universal. Não há suporte para grupos habilitados para email e listas de distribuição (DLs) escritos novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Para obter mais informações, consulte Migrar a funcionalidade de retorno de escrita do grupo do Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync.

Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerencie aplicativos locais com grupos do Ative Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD enquanto aproveita os recursos de Governança de ID do Microsoft Entra para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Gerir aplicativos baseados em Active Directory locais (Kerberos) usando a Governança de ID do Microsoft Entra.

Próximos passos