Configurazione del writeback dei gruppi all'interno della gestione entitlement

Questo articolo illustra come configurare il writeback dei gruppi nella gestione entitlement. Il writeback dei gruppi è una funzionalità che consente di eseguire il writeback dei gruppi cloud nell'istanza di Active Directory locale usando la sincronizzazione cloud di Microsoft Entra.

Configurare il writeback dei gruppi nella gestione entitlement

Per configurare il writeback dei gruppi di Microsoft 365 nei pacchetti di accesso, è necessario completare i prerequisiti seguenti:

• Configurare il writeback dei gruppi nell'interfaccia di amministrazione di Microsoft Entra.
• L’Unità organizzativa (OU) usata per configurare il writeback dei gruppi in Configurazione della sincronizzazione cloud di Microsoft Entra.
• Completare i passaggi di abilitazione del writeback dei gruppi per la sincronizzazione cloud di Microsoft Entra.

Usando il writeback dei gruppi, è ora possibile sincronizzare i gruppi di sicurezza che fanno parte dei pacchetti di accesso ad Active Directory locale. Per sincronizzare i gruppi, seguire queste fasi:

1. Creare un gruppo di sicurezza Microsoft Entra.

2. Impostare il gruppo da riscrivere in Active Directory locale. Per istruzioni, vedere writeback dei gruppi nell'interfaccia di amministrazione di Microsoft Entra.

3. Aggiungere il gruppo a un pacchetto di accesso come ruolo risorsa. Per materiale sussidiario, vedere Creare un nuovo pacchetto di accesso.

4. Avviare Utenti e computer di Active Directory e attendere la creazione del nuovo gruppo Active Directory nel dominio Active Directory. Quando è presente, registrare il nome distinto, il dominio, il nome dell'account e il SID del nuovo gruppo di Active Directory.

5. Configurare l'applicazione per l'uso del nuovo gruppo, aggiornando l'applicazione o aggiungendo il gruppo come membro di un gruppo esistente, come descritto in Governare le applicazioni basate su Active Directory locale (Kerberos) utilizzando Microsoft Entra ID Governance.

6. Assegnare l'utente al pacchetto di accesso. Vedere Visualizzare, aggiungere e rimuovere assegnazioni per un pacchetto di accesso per istruzioni su come assegnare direttamente un utente.

7. Dopo aver assegnato un utente al pacchetto di accesso, verificare che l'utente sia ora membro del gruppo locale al termine del ciclo di sincronizzazione Cloud di Microsoft Entra:

   1. Visualizzare la proprietà membro del gruppo nell'OR dell’unità organizzativa locale
   2. Rivedere il membro Of nell'oggetto utente.

   Nota

   La pianificazione predefinita del ciclo di sincronizzazione di Microsoft Entra è ogni 30 minuti. Potrebbe essere necessario attendere fino a quando non si verifica il ciclo successivo per visualizzare i risultati in locale o scegliere di eseguire manualmente il ciclo di sincronizzazione per visualizzare i risultati in anticipo.

8. Nel monitoraggio del dominio di Active Directory, consentire solo all'account del servizio gestito del gruppo che esegue l'agente di provisioning di disporre dell'autorizzazione per modificare l'appartenenza al nuovo gruppo di Active Directory.

Passaggi successivi

• Creare e gestire un catalogo di risorse nella gestione entitlement
• Delegare la governance dell'accesso ai responsabili dei pacchetti di accesso nella gestione entitlement