Write-back de grupo com a sincronização na nuvem do Microsoft Entra

  • Artigo

Com a versão do operador de provisionamento 1.1.1370.0, a sincronização de nuvem agora tem a capacidade de execução de write-back de grupo. Com esse recurso, a sincronização de nuvem pode provisionar grupos diretamente para seu ambiente do Active Directory local. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização pública do grupo Write-back v2 no Microsoft Entra Connect Sync não estará mais disponível após 30 de junho de 2024. Esse recurso será descontinuado nesta data e você não receberá mais suporte no Connect Sync para provisionar grupos de segurança de nuvem para o Active Directory. O recurso continuará operando além da data de descontinuação; no entanto, ele não receberá mais suporte após essa data e poderá deixar de funcionar a qualquer momento sem aviso prévio.

Oferecemos uma funcionalidade semelhante no Microsoft Entra Cloud Sync chamada Provisionamento de grupos para o Active Directory que pode ser usada em vez do grupo Writeback v2 para provisionar grupos de segurança de nuvem para o Active Directory. Estamos trabalhando para aprimorar essa funcionalidade no Cloud Sync, juntamente com outros novos recursos que estamos desenvolvendo no Cloud Sync.

Os clientes que usam esse recurso de visualização no Connect Sync devem alternar suas configurações do Connect Sync para o Cloud Sync. Você pode optar por mover toda a sua sincronização híbrida para o Cloud Sync (se ele atender às suas necessidades). Também pode executar o Cloud Sync lado a lado e mover apenas ao Cloud Sync o provisionamento de grupos de segurança da nuvem para o Active Directory.

Para clientes que provisionam grupos do Microsoft 365 para o Active Directory, é possível continuar usando o Group Writeback v1 para essa capacidade.

Você pode avaliar a mudança exclusivamente para o Cloud Sync usando o assistente de sincronização de usuários.

Provisionar o Microsoft Entra ID no Active Directory – Pré-requisitos

Os seguintes pré-requisitos são necessários para implementar grupos de provisionamento no Active Directory.

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

  • Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
  • Ambiente local do Active Directory Domain Services com o sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo de esquema do AD – msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com a versão de build 1.1.1370.0 ou posterior.

Anotação

As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir a definição de todas as propriedades de Leitura, Gravação, Criação e Exclusão para todos os Grupos e objetos de usuário descendentes.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão cmdlets do PowerShell do operador de provisionamento gMSA do Microsoft Entra

  • O operador de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
  • Sincronização do Microsoft Entra Connect com versão de build 2.2.8.0 ou posterior
    • Necessário para dar suporte à subscrição de usuário local sincronizada usando a sincronização do Microsoft Entra Connect
    • Necessário para sincronizar o AD:user:objectGUID ao AAD:user:onPremisesObjectIdentifier

Grupos com suporte e limites de escala

As seguintes ações são compatíveis:

  • Há suporte apenas para os Grupos de segurança criados na nuvem
  • Esses grupos podem ter uma associação atribuída ou dinâmica.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • O write-back desses grupos é feito com o escopo de grupos do AD universal. Seu ambiente local deve dar suporte ao escopo do grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
  • Cada grupo filho aninhado de forma direta conta como um membro no grupo de referência
  • Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o Active Directory se o grupo for atualizado manualmente no Active Directory.

Informações adicionais

A seguir, informações adicionais sobre o provisionamento de grupos no Active Directory.

  • Os grupos provisionados no AD usando a sincronização na nuvem só podem conter usuários sincronizados locais e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em suas contas.
  • O atributo onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários na nuvem pode ser sincronizado usando a Sincronização na nuvem do Microsoft Entra (1.1.1370.0) ou a Sincronização do Microsoft Entra Connect (2.2.8.0)
  • Se você estiver usando a Sincronização do Microsoft Entra Connect (2.2.8.0) para sincronizar usuários em vez da Sincronização na nuvem do Microsoft Entra e quiser usar o Provisionamento para o AD, deverá usar a versão 2.2.8.0 ou posterior.
  • Há suporte somente para locatários regulares do Microsoft Entra ID para o provisionamento do Microsoft Entra ID para o Active Directory. Não há suporte para locatários como B2C.
  • O cargo de provisionamento de grupo está agendado para execução a cada 20 minutos.

Cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários com suporte para write-back de grupo com a sincronização na nuvem do Microsoft Entra.

Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra

Cenário: migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo v2 do Microsoft Entra Connect. O processo descrito neste documento pertence apenas a grupos de segurança criados na nuvem cujo write-back foi feito com um escopo universal. Não há suporte para grupos habilitados para email e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.

Para obter mais informações, confira Migrar o write-back de grupo do Sincronização do Microsoft Entra Connect V2 para a Sincronização de nuvem do Microsoft Entra.

Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerenciar aplicativos locais com grupos do Active Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD, usufruindo os recursos de Governança do Microsoft Entra ID para controlar e corrigir solicitações relacionadas ao acesso.

Para obter mais informações, veja Controlar aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.

Próximas etapas