Writeback dei gruppi con la sincronizzazione cloud di Microsoft Entra

Con la pubblicazione dell'agente di provisioning 1.1.1370.0, la sincronizzazione cloud ha ora la possibilità di eseguire il writeback dei gruppi. Grazie a questa funzionalità, la sincronizzazione cloud può effettuare il provisioning dei gruppi direttamente nell'ambiente di Active Directory locale. È anche possibile usare le funzionalità di governance delle identità per gestire l'accesso alle applicazioni basate su Active Directory, ad esempio includendo un gruppo in un pacchetto di accesso di gestione entitlement.

Diagramma del writeback di gruppo con la sincronizzazione cloud.

Importante

L'anteprima pubblica del writeback dei gruppi v2 in Microsoft Entra Connect Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in tale data e non sarà più supportata in Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continuerà a essere utilizzabile oltre la data di interruzione; tuttavia, dopo tale data non riceverà più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

È disponibile una funzionalità simile in Microsoft Entra Cloud Sync denominata Provisioning dei gruppi in Active Directory che è possibile usare al posto del writeback dei gruppi v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità che verranno sviluppate in Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Connect Sync dovranno cambiare la configurazione da Connect Sync to Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se soddisfa specifiche esigenze). È anche possibile eseguire Cloud Sync in modalità affiancata e spostarvi solo il provisioning di gruppi di sicurezza in Active Directory.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare lo spostamento esclusivo in Cloud Sync usando la procedura guidata di sincronizzazione utenti.

Effettuare il provisioning di Microsoft Entra ID in Active Directory - Prerequisiti

Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.

Requisiti di licenza

L'uso di questa funzionalità richiede licenze Microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.

Requisiti generali

  • Account Microsoft Entra con almeno un ruolo di amministratore delle identità ibride.
  • Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versioni successive.
    • Necessario per l'attributo dello schema di Active Directory: msDS-ExternalDirectoryObjectId
  • Agente di provisioning con build 1.1.1370.0 o versioni successive.

Nota

Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che lettura, scrittura, creazione ed eliminazione di tutte le proprietà per tutti i gruppi e gli oggetti utente discendenti.

Queste autorizzazioni non vengono applicate agli oggetti AdminSDHolder per impostazione predefinita cmdlet di PowerShell gMSA dell'agente di provisioning Microsoft Entra

  • L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
    • Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide
  • Microsoft Entra Connect Sync con la versione build 2.2.8.0 o versioni successive
    • Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connect Sync
    • Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier

Gruppi supportati e limiti di scalabilità

Quanto segue è supportato:

  • Sono supportati solo i gruppi di sicurezza creati nel cloud
  • Questi gruppi possono avere gruppi di appartenenza dinamica o assegnata.
  • Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
  • Questi gruppi vengono sottoposti a writeback con l'ambito dei gruppi universale di Active Directory. L'ambiente locale deve supportare l'ambito del gruppo universale.
  • I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
  • I tenant con più di 150.000 oggetti non sono supportati. Ciò significa che se un tenant ha una combinazione di utenti e gruppi che supera i 150.000 oggetti, il tenant non è supportato.
  • Ogni gruppo annidato figlio diretto viene conteggiato come un membro nel gruppo di riferimento
  • La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.

Informazioni aggiuntive

Di seguito sono riportate informazioni aggiuntive sui gruppi di provisioning in Active Directory.

  • I gruppi di cui è stato effettuato il provisioning in Active Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul relativo account.
  • L'attributo onPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente di Active Directory di destinazione.
  • Un attributo objectGUID degli utenti locali può essere sincronizzato con un attributo onPremisesObjectIdentifier degli utenti cloud con la sincronizzazione cloud di Microsoft Entra (1.1.1370.0) o la sincronizzazione cloud di Microsoft Entra (2.2.8.0)
  • Se si usa la sincronizzazione cloud di Microsoft Entra (2.2.8.0) per sincronizzare gli utenti, invece della sincronizzazione cloud di Microsoft Entra, e si vuole usare il provisioning in Active Directory, deve essere 2.2.8.0 o versione successiva.
  • Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant, ad esempio B2C, non sono supportati.
  • Il processo di provisioning del gruppo è pianificato per l'esecuzione ogni 20 minuti.

Scenari supportati con la sincronizzazione cloud di Microsoft Entra

Le sezioni seguenti descrivono gli scenari supportati per il writeback dei gruppi con la sincronizzazione cloud di Microsoft Entra.

Eseguire la migrazione del writeback dei gruppi di sincronizzazione v2 di Microsoft Entra Connect alla sincronizzazione cloud di Microsoft Entra

Scenario: eseguire la migrazione del writeback dei gruppi a Microsoft Entra Connect Sync tramite Microsoft Entra Cloud Sync (in precedenza Azure AD Connect). Questo scenario riguarda solo i clienti che attualmente usano il writeback di gruppo v2 di Microsoft Entra Connect. Il processo descritto in questo documento riguarda solo i gruppi di sicurezza creati dal cloud di cui viene eseguito il writeback con un ambito universale. I gruppi abilitati alla posta elettronica e le liste di distribuzione di cui viene eseguito il writeback dei gruppi v1 o v2 di Microsoft Entra Connect non sono supportati.

Per ulteriori informazioni, vedere Eseguire la migrazione del writeback di gruppo v2 da Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync.

Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance

Scenario: gestire le applicazioni locali con gruppi di Active Directory di cui viene effettuato il provisioning e gestiti nel cloud. Microsoft Entra Cloud Sync consente di gestire completamente le assegnazioni di applicazioni in AD sfruttando al tempo stesso le funzionalità di governance di Microsoft Entra ID per controllare e correggere eventuali richieste correlate all'accesso.

Per ulteriori informazioni, vedere Gestire le app basate su Active Directory locale (Kerberos) usando Microsoft Entra ID Governance

Passaggi successivi