Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Com a versão do agente de provisionamento 1.1.1370.0, a sincronização de nuvem agora tem a capacidade de execução de write-back de grupo. Esse recurso significa que a sincronização de nuvem pode provisionar grupos diretamente para seu ambiente do Active Directory local. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.
Importante
A visualização do Write-back de grupo v2 no Microsoft Entra Connect Sync foi preterida e não tem mais suporte.
Você pode usar o Microsoft Entra Cloud Sync para provisionar grupos de segurança de nuvem no AD DS (Active Directory Domain Services) local.
Se você usar o Write-back de Grupo v2 no Microsoft Entra Connect Sync, deverá mover o cliente de sincronização para o Microsoft Entra Cloud Sync. Para verificar se você está qualificado para migrar para o Microsoft Entra Cloud Sync, use o assistente de sincronização do usuário.
Se você não puder usar o Microsoft Cloud Sync conforme recomendado pelo assistente, poderá executar o Microsoft Entra Cloud Sync lado a lado com o Microsoft Entra Connect Sync. Nesse caso, você pode executar o Microsoft Entra Cloud Sync apenas para provisionar grupos de segurança de nuvem no AD DS local.
Se você provisionar grupos do Microsoft 365 para o AD DS, poderá continuar usando o Write-back de Grupo v1.
Provisionar a ID do Microsoft Entra para o Active Directory Domain Services – Pré-requisitos
Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no AD DS (Active Directory Domain Services).
Requisitos de licença
O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.
Requisitos gerais
- Conta Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
- Ambiente do AD DS local com o sistema operacional Windows Server 2016 ou posterior.
- Necessário para o atributo de esquema do AD DS – msDS-ExternalDirectoryObjectId
- Agente de provisionamento com a versão de build 1.1.3730.0 ou posterior.
Observação
As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of ___domain" -EACredential $credential
Se as permissões forem definidas manualmente, você precisará atribuir a leitura, gravação, criação e exclusão de todas as propriedades para todos os grupos descendentes e objetos de usuário.
Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte cmdlets gMSA PowerShell do agente de provisionamento do Microsoft Entra.
- O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
- Necessário para a pesquisa do Catálogo Global para filtrar referências de associação inválidas
- Microsoft Entra Connect Sync com build versão 2.22.8.0
- Necessário para dar suporte a membros de usuários locais sincronizados usando o Microsoft Entra Connect Sync
- Necessário para sincronizar
AD DS:user:objectGUIDAAD DS:user:onPremisesObjectIdentifier
Grupos com suporte e limites de escala
Há suporte para o seguinte:
- Há suporte apenas para grupos de segurança nativos de nuvem ou SOA convertidos (do AD DS para o Microsoft Entra ID).
- Esses grupos podem ter grupos de associação atribuída ou dinâmica.
- Esses grupos só podem conter usuários sincronizados locais ou grupos de segurança adicionais criados na nuvem.
- As contas de usuário locais que são sincronizadas e são membros desse grupo de segurança criado na nuvem podem ser do mesmo domínio ou entre domínios, mas todas devem ser da mesma floresta.
- Esses grupos são gravados novamente com o escopo de grupo da Universal. Seu ambiente local deve dar suporte ao escopo do grupo Universal.
- Não há suporte para grupos com mais de 50.000 membros.
- Não há suporte para locatários com mais de 150.000 objetos. Logo, se um locatário tiver qualquer combinação de usuários e grupos que exceda 150 mil objetos, não haverá suporte para o locatário.
- Cada grupo aninhado filho direto conta como um membro no grupo de referência
- Não há suporte para a reconciliação de grupos entre o Microsoft Entra ID e o AD DS se o grupo for atualizado manualmente no AD DS.
Informações adicionais
Aqui estão mais pontos a serem considerados quando você provisiona grupos para o AD DS.
- Os grupos provisionados para o AD DS usando a Sincronização de Nuvem só podem conter usuários sincronizados locais ou outros grupos de segurança criados na nuvem.
- Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
- O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente do AD DS de destino.
- Um atributo objectGUID do usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário na nuvem usando qualquer cliente de sincronização.
- Somente locatários globais do Microsoft Entra ID podem provisionar da ID do Microsoft Entra para o AD DS. Não há suporte para locatários como B2C.
- O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.
Cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync
As seções a seguir descrevem os cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync.
- Migrar o write-back V2 do grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra
- Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
Migrar o grupo de write-back V2 do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync
Cenário: migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento se aplica apenas a grupos de segurança criados na nuvem com write-back realizado em um escopo universal. Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.
Para obter mais informações, confira Migrar o write-back de grupo do Sincronização do Microsoft Entra Connect V2 para a Sincronização de nuvem do Microsoft Entra.
Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
Cenário: gerenciar aplicativos locais com grupos do Active Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD, aproveitando os recursos de Governança do Microsoft Entra ID para controlar e corrigir quaisquer solicitações relacionadas ao acesso.
Para obter mais informações, consulte Governança de aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.
Próximas etapas
- Provisionar grupos no Active Directory usando o Microsoft Entra Cloud Sync
- Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance
- Migrar o write-back V2 do grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra
- Filtro de escopo e mapeamento de atributo – Microsoft Entra ID para o Active Directory