Tutorial - Provisionar grupos para o Ative Directory usando o Microsoft Entra Cloud Sync

  • Artigo

Este tutorial orienta você na criação e configuração da sincronização na nuvem para sincronizar grupos com o Ative Directory local.

Provisionar o ID do Microsoft Entra para o Ative Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no Ative Directory.

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
  • Ambiente local dos Serviços de Domínio Ative Directory com sistema operacional Windows Server 2016 ou posterior.
    • Necessário para o atributo Esquema do AD - msDS-ExternalDirectoryObjectId
  • Agente de provisionamento com compilação versão 1.1.1370.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas apenas durante a instalação limpa. Caso você esteja atualizando da versão anterior, as permissões precisam ser atribuídas manualmente usando o cmdlet do PowerShell:

$credential = Get-Credential  

  Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará garantir que Ler, Gravar, Criar e Excluir todas as propriedades de todos os Grupos descendentes e objetos de Usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão , cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell;

  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com build versão 2.2.8.0 ou posterior
    • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD:user:objectGUID com AAD:user:onPremisesObjectIdentifier

Grupos suportados e limites de escala

O seguinte é suportado:

  • Apenas os grupos de segurança criados na nuvem são suportados
  • Esses grupos podem ter grupos de associação atribuídos ou dinâmicos.
  • Esses grupos só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • As contas de usuário locais sincronizadas e que são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
  • Esses grupos são reescritos com o escopo de grupos AD universal. Seu ambiente local deve oferecer suporte ao escopo de grupo universal.
  • Não há suporte para grupos com mais de 50.000 membros.
  • Não há suporte para locatários com mais de 150.000 objetos. Ou seja, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150K objetos, o locatário não será suportado.
  • Cada grupo aninhado filho direto conta como um membro no grupo de referência
  • A reconciliação de grupos entre o Microsoft Entra ID e o Ative Directory não é suportada se o grupo for atualizado manualmente no Ative Directory.

Informações adicionais

A seguir estão informações adicionais sobre o provisionamento de grupos para o Ative Directory.

  • Os grupos provisionados para o AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários de nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
  • Se você estiver usando o Microsoft Entra Connect Sync (2.2.8.0) para sincronizar usuários, em vez do Microsoft Entra Cloud Sync, e quiser usar o Provisionamento para AD, ele deverá ser 2.2.8.0 ou posterior.
  • Somente locatários regulares do Microsoft Entra ID são suportados para provisionamento do Microsoft Entra ID para o Ative Directory. Locatários como B2C não são suportados.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Pressupostos

Este tutorial pressupõe o seguinte:

  • Você tem um ambiente local do Ative Directory
  • Você tem a configuração de sincronização na nuvem para sincronizar os usuários com o Microsoft Entra ID.
  • Você tem dois usuários que estão sincronizados. Britta Simon e Lola Jacobson. Esses usuários existem no local e no Microsoft Entra ID.
  • Três Unidades Organizacionais foram criadas no Ative Directory - Grupos, Vendas e Marketing. Têm os seguintes nomes distintos:
  • OU=Marketing,DC=contoso,DC=com
  • OU=Vendas,DC=contoso,DC=com
  • OU=Grupos,DC=contoso,DC=com

Crie dois grupos no Microsoft Entra ID.

Para começar, criamos dois grupos no Microsoft Entra ID. Um grupo é Vendas e o outro é Marketing.

Para criar dois grupos, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Na parte superior, clique em Novo grupo.
  4. Verifique se o tipo Grupo está definido como segurança.
  5. Para o Nome do Grupo, insira Vendas
  6. Para o tipo de associação, mantenha-o em atribuído.
  7. Clique em Criar.
  8. Repita este processo usando Marketing como o Nome do Grupo.

Adicionar usuários aos grupos recém-criados

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
  2. Navegue até Grupos>de identidade>Todos os grupos.
  3. Na parte superior, na caixa de pesquisa, digite Vendas.
  4. Clique no novo grupo Vendas .
  5. À esquerda, clique em Membros
  6. Na parte superior, clique em Adicionar membros.
  7. Na parte superior, na caixa de pesquisa, digite Brenda Fernandes.
  8. Coloque um cheque ao lado de Brenda Fernandes e clique em Selecionar
  9. Deve adicioná-la com sucesso ao grupo.
  10. Na extremidade esquerda, clique em Todos os grupos e repita esse processo usando o grupo Vendas e adicionando Lola Jacobson a esse grupo.

Configurar o provisionamento

Para configurar o provisionamento, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.

  1. Selecione Nova configuração.

  2. Selecione Microsoft Entra ID para sincronização do AD. Captura de tela da seleção de configuração.

  3. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Clique em Criar. Captura de ecrã de uma nova configuração.

  4. A tela Introdução é aberta. A partir daqui, pode continuar a configurar a sincronização na nuvem

  5. À esquerda, clique em Filtros de escopo.

  6. Em Escopo do grupo, defina-o como Todos os grupos de segurança

  7. Em Contêiner de destino, clique em Editar mapeamento de atributos. Captura de tela das seções de filtros de escopo.

  8. Alterar o tipo de mapeamento para expressão

  9. Na caixa de expressão, digite o seguinte: Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

  10. Altere o valor padrão para OU=Groups,DC=contoso,DC=com. Captura de tela da expressão de filtros de escopo.

  11. Clique em Aplicar - Isso altera o contêiner de destino dependendo do atributo displayName do grupo.

  12. Clique em Salvar

  13. À esquerda, clique em Visão geral

  14. Na parte superior, clique em Rever e ativar

  15. À direita, clique em Ativar configuração

Configuração de teste

Observação

Ao usar o provisionamento sob demanda, os membros não são automaticamente provados. Você precisa selecionar em quais membros deseja testar e há um limite de 5 membros.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.

  1. Em Configuração, selecione sua configuração.

  2. À esquerda, selecione Provisão sob demanda.

  3. Insira Vendas na caixa Grupo selecionado

  4. Na seção Usuários selecionados, selecione alguns usuários para testar. Captura de ecrã a mostrar a adição de membros.

  5. Clique em Provisionar.

  6. Você deve ver o grupo provisionado.

Captura de tela do provisionamento bem-sucedido sob demanda.

Verificar no Ative Directory

Agora você pode certificar-se de que o grupo está provisionado para o Ative Directory.

Faça o seguinte:

  1. Entre em seu ambiente local.
  2. Iniciar usuários e computadores do Ative Directory
  3. Verifique se o novo grupo está provisionado. Captura de tela do grupo recém-provisionado.

Próximos passos