Configurar a sincronização no escopo de Microsoft Entra ID para o Microsoft Entra Domain Services usando o Centro de administração do Microsoft Entra

  • Artigo

Para fornecer serviços de autenticação, o Microsoft Entra Domain Services sincroniza usuários e grupos do Microsoft Entra ID. Em um ambiente híbrido, os usuários e grupos de um ambiente do Active Directory Domain Services (AD DS) local podem ser sincronizados primeiro com o Microsoft Entra ID usando o Microsoft Entra Connect e, em seguida, sincronizados com um domínio gerenciado do Microsoft Entra DS.

Por padrão, todos os usuários e grupos no diretório do Microsoft Entra são sincronizados com um domínio gerenciado. Se apenas alguns usuários precisarem usar o Domain Services, você poderá optar por sincronizar apenas grupos de usuários. Você pode filtrar a sincronização para grupos locais, somente na nuvem ou ambos.

Este artigo mostra como você deve configurar a sincronização com escopo e, em seguida, alterar ou desabilitar o conjunto de usuários com escopo usando o centro de administração do Microsoft Entra. Você também pode completar estas etapas usando o PowerShell.

Captura de tela da opção de filtro de grupo.

Antes de começar

Para concluir este artigo, você precisará dos seguintes recursos e privilégios:

Visão geral da sincronização com escopo

Por padrão, todos os usuários e grupos no diretório do Microsoft Entra são sincronizados com um domínio gerenciado. Você pode definir o escopo da sincronização apenas para contas de usuário que foram criadas no Microsoft Entra ID ou sincronizar todos os usuários.

Se apenas alguns grupos de usuários precisarem acessar o domínio gerenciado, você poderá selecionar Filtrar por direito de grupo para sincronizar apenas esses grupos. Essa sincronização no escopo é baseada somente em grupo. Quando você configura a sincronização com escopo baseada em grupo, somente as contas de usuário que pertencem aos grupos especificados são sincronizadas com o domínio gerenciado. Grupos aninhados não são sincronizados. Somente os grupos especificados são sincronizados.

Você pode alterar o escopo de sincronização antes ou depois de criar o domínio gerenciado. O escopo da sincronização é definido por uma entidade de serviço com o identificador de aplicativo 2565bd9d-da50-47d4-8b85-4c97f669dc36. Para evitar a perda de escopo, não exclua nem altere a entidade de serviço. Se for excluído acidentalmente, o escopo de sincronização não poderá ser recuperado.

Tenha em mente as seguintes advertências se você alterar o escopo de sincronização:

  • É executado um ciclo de sincronização completo.
  • Os objetos que não forem mais necessários no domínio gerenciado serão excluídos. Novos objetos são criados no domínio gerenciado.

Para saber mais sobre o processo de sincronização, confira Entender a sincronização no Microsoft Entra Domain Services.

Habilitar sincronização com escopo

Para habilitar a sincronização com escopo no centro de administração do Microsoft Entra, conclua as etapas a seguir:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.

  2. Selecione Sincronização no menu esquerdo.

  3. Para Escopo de sincronização, selecione Tudo ou Somente Nuvem.

  4. Para filtrar a sincronização de grupos selecionados, clique em Mostrar grupos selecionados, escolha se deseja sincronizar grupos somente na nuvem, grupos locais ou ambos. Por exemplo, a captura de tela a seguir mostra como sincronizar apenas três grupos que foram criados no Microsoft Entra ID. Somente os usuários que pertencem a esses grupos terão suas contas sincronizadas com o Domain Services.

    Captura de tela que mostra Filtrar por grupos somente na nuvem.

  5. Para adicionar grupos, clique em Adicionar grupos, procure e escolha os grupos a serem adicionados.

  6. Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Modificar sincronização com escopo

Para modificar a lista de grupos cujos usuários devem ser sincronizados com o domínio gerenciado, conclua as seguintes etapas:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
  2. Selecione Sincronização no menu esquerdo.
  3. Para adicionar um grupo, escolha + Adicionar grupos na parte superior e escolha os grupos a serem adicionados.
  4. Para remover um grupo do escopo de sincronização, selecione-o na lista de grupos sincronizados no momento e escolha Remover grupos.
  5. Quando todas as alterações forem feitas, selecione Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Desabilitar sincronização com escopo

Conclua as seguintes etapas para desabilitar a sincronização de escopo com base em grupo para um domínio gerenciado:

  1. No Centro de administração do Microsoft Entra, pesquise e selecione Microsoft Entra Domain Services. Escolha o domínio gerenciado, como aaddscontoso.com.
  2. Selecione Sincronização no menu esquerdo.
  3. Desmarque a caixa de seleção Mostrar grupos selecionados e clique em Salvar escopo de sincronização.

Alterar o escopo da sincronização faz com que o domínio gerenciado sincronize novamente todos os dados. Os objetos que não são mais necessários no domínio gerenciado são excluídos e a ressincronização pode levar algum tempo para ser concluída.

Próximas etapas

Para saber mais sobre o processo de sincronização, confira Entender a sincronização no Microsoft Entra Domain Services.