Migración de la reescritura de grupos de Microsoft Entra Connect Sync v2 a Microsoft Entra Cloud Sync

En este artículo se describe cómo migrar la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure Active Directory Connect) a Microsoft Entra Cloud Sync. Este escenario solo es para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este artículo solo pertenece a los grupos de seguridad creados en la nube con escritura diferida de grupos en un ámbito universal.

Este escenario solo se admite para:

• Grupos de seguridad creados en la nube.
• Escritura diferida de grupos en Active Directory con el ámbito universal.

Los grupos habilitados para correo y las listas de distribución con escritura diferida en Active Directory continúan funcionando con la escritura diferida de grupos de Microsoft Entra Connect, pero regresan al comportamiento de la escritura diferida de grupos v1. En este escenario, después de deshabilitar la escritura diferida de grupos v2, todos los grupos de Microsoft 365 se escriben en Active Directory independientemente de la configuración de escritura diferida habilitada en el Centro de administración de Microsoft Entra. Para obtener más información, consulte Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.

Requisitos previos

• Una cuenta de Microsoft Entra con al menos un rol de administrador de identidad híbrida .

• Una cuenta de Active Directory local con al menos permisos de administrador de dominio.

  Necesario para tener acceso al adminDescription atributo y copiarlo en el msDS-ExternalDirectoryObjectId atributo .

• Entorno local de Active Directory Domain Services que ejecuta Windows Server 2022, Windows Server 2019 o Windows Server 2016.

  Necesario para el atributo del Esquema de Active Directory msDS-ExternalDirectoryObjectId.

• Agente de aprovisionamiento con la versión de compilación 1.1.1367.0 o posterior.

• El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).

  Necesario para la búsqueda global del catálogo para filtrar las referencias de pertenencia no válidas.

Convención de nomenclatura para escritura diferida de grupos

De forma predeterminada, Microsoft Entra Connect Sync usa el siguiente formato cuando los nombres de los grupos se escriben de nuevo.

• Formato predeterminado:CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Ejemplo:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar la búsqueda de la escritura diferida de grupos desde Microsoft Entra ID a Active Directory, sincronización de Microsoft Entra Connect ha agregado una opción para reescribir el nombre del grupo usando el nombre para mostrar de la nube. Para usar esta opción, seleccione Writeback Group Distinguished Name with Cloud Display Name during initial setup of Group Writeback v2 (Nombre distintivo de grupo con nombre para mostrar en la nube) durante la configuración inicial de Group Writeback v2. Si esta característica está habilitada, Microsoft Entra Connect usa el siguiente formato nuevo en lugar del formato predeterminado:

• Nuevo formato:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Ejemplo:CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

De forma predeterminada, Microsoft Entra Cloud Sync usa el nuevo formato, incluso si la característica Nombre distintivo del grupo de reescritura con nombre para mostrar en la nube no está habilitada en Microsoft Entra Connect Sync. Si usa la nomenclatura predeterminada de Microsoft Entra Connect Sync y, a continuación, migra el grupo para que esté administrado por Microsoft Entra Cloud Sync, se cambia el nombre del grupo al nuevo formato. Use la sección siguiente para permitir que Microsoft Entra Cloud Sync use el formato predeterminado de Microsoft Entra Connect.

Usar el formato predeterminado

Si desea que Microsoft Entra Cloud Sync use el mismo formato predeterminado que Microsoft Entra Connect Sync, debe modificar la expresión de flujo de atributos para el CN atributo. Las dos posibles asignaciones son:

Para obtener más información, vea Agregar una asignación de atributos – ID de Microsoft Entra a Active Directory.

Paso 1: Copiar adminDescription en msDS-ExternalDirectoryObjectID

Para validar las referencias de pertenencia a grupos, Microsoft Entra Cloud Sync debe consultar el catálogo global de Active Directory para el msDS-ExternalDirectoryObjectID atributo . Este atributo indexado se replica en todos los catálogos globales del bosque de Active Directory.

1. En el entorno local, abra ADSI Edit.

2. Copie el valor que se encuentra en el atributo del adminDescription grupo.

   

3. Pegue el valor en el msDS-ExternalDirectoryObjectID atributo .

   

Puede usar el siguiente script de PowerShell para ayudar a automatizar este paso. Este script toma todos los grupos en el contenedor OU=Groups,DC=Contoso,DC=com y copia el valor del atributo adminDescription al valor del atributo msDS-ExternalDirectoryObjectID. Antes de usar este script, actualice la variable $gwbOU con el valor DistinguishedName de la unidad organizativa (OU) de destino de la escritura diferida de grupo.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Puede usar el siguiente script de PowerShell para comprobar los resultados del script anterior. También puede confirmar que todos los grupos tienen el adminDescription valor igual al msDS-ExternalDirectoryObjectID valor.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Paso 2: Colocar el servidor de sincronización de Microsoft Entra Connect en modo de almacenamiento provisional y deshabilitar el programador de sincronización

1. Inicie el Asistente para sincronización de Microsoft Entra Connect.

2. Seleccione Configurar.

3. Seleccione Configurar modo de ensayo y seleccione Siguiente.

4. Introduzca las credenciales de Microsoft Entra.

5. Active la casilla Habilitar modo de almacenamiento provisional y seleccione Siguiente.

   

6. Seleccione Configurar.

7. Selecciona Salir.

   

8. En el servidor de Microsoft Entra Connect, abre una ventana de PowerShell con privilegios de administrador.

9. Deshabilita el programador de sincronización:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Paso 3: creación de una regla de entrada de grupo personalizada

En el Editor de reglas de sincronización de Microsoft Entra Connect, se crea una regla de sincronización de entrada que filtra los grupos que tienen NULL para el atributo mail. La regla de sincronización de entrada es una regla de combinación con un atributo de destino de cloudNoFlow. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.

Creación de una regla de entrada de grupo personalizada en la interfaz de usuario

1. En el menú Inicio , inicie el Editor de reglas de sincronización.

2. En Dirección, seleccione Entrante en la lista desplegable y seleccione Agregar nueva regla.

3. En la página Descripción , escriba los valores siguientes y seleccione Siguiente:

   • Nombre: asigne un nombre descriptivo a la regla.
   • Descripción: agregue una descripción significativa.
   • Sistema conectado: elija el conector de Microsoft Entra para el que va a escribir la regla de sincronización personalizada.
   • Tipo de objeto del sistema conectado: seleccione grupo.
   • Tipo de objeto de metaverso: seleccione grupo.
   • Tipo de vínculo: seleccione Unirse.
   • Precedencia: proporcione un valor único en el sistema. Se recomienda usar un valor inferior a 100 para que tenga prioridad sobre las reglas predeterminadas.
   • Etiqueta: Deje el campo vacío.

   

4. En la página Filtro de ámbito , agregue los valores siguientes y seleccione Siguiente:

   Atributo	Operator	Value
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. En la página Reglas de unión , seleccione Siguiente.

6. En la página Agregar transformaciones , en FlowType, seleccione Constante. En Atributo de destino, seleccione cloudNoFlow. En Origen, seleccione True.

   

7. Seleccione Agregar.

Creación de una regla de entrada de grupo personalizada en PowerShell

1. En el servidor de Microsoft Entra Connect, abre una ventana de PowerShell con privilegios de administrador.

2. Importa el módulo.

   Import-Module ADSync
   

3. Proporcione un valor único para la precedencia de la regla de sincronización (0-99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Ejecuta el siguiente script:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Paso 4: Crear una regla de salida de grupo personalizada

También necesita una regla de sincronización de salida con un tipo de vínculo de JoinNoFlow y el filtro de ámbito que tenga el atributo cloudNoFlow establecido en True. Esta regla indica a Microsoft Entra Connect que no sincronice los atributos de estos grupos. Para crear esta regla de sincronización, puedes optar por usar la interfaz de usuario o crearla a través de PowerShell con el script proporcionado.

Creación de una regla de salida de grupo personalizada en la interfaz de usuario

1. En Dirección, seleccione Saliente en la lista desplegable y, a continuación, seleccione Agregar regla.

2. En la página Descripción , escriba los valores siguientes y seleccione Siguiente:

   • Nombre: asigne un nombre descriptivo a la regla.
   • Descripción: agregue una descripción significativa.
   • Sistema conectado: elija el conector de Active Directory para el que va a escribir la regla de sincronización personalizada.
   • Tipo de objeto del sistema conectado: seleccione grupo.
   • Tipo de objeto de metaverso: seleccione grupo.
   • Tipo de vínculo: seleccione JoinNoFlow.
   • Precedencia: proporcione un valor único en el sistema. Se recomienda usar un valor inferior a 100 para que tenga prioridad sobre las reglas predeterminadas.
   • Etiqueta: deje el campo vacío.

   

3. En la página Filtro de ámbito , en Atributo, seleccione cloudNoFlow. En Operador , seleccione EQUAL. En Valor, seleccione True. Luego, selecciona Siguiente.

   

4. En la página Reglas de unión , seleccione Siguiente.

5. En la página Transformaciones, selecciona Agregar.

Creación de una regla de entrada de grupo personalizada en PowerShell

1. En el servidor de Microsoft Entra Connect, abre una ventana de PowerShell con privilegios de administrador.

2. Importa el módulo.

   Import-Module ADSync
   

3. Proporcione un valor único para la precedencia de la regla de sincronización (0-99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Obtenga el Conector Active Directory para la escritura diferida de grupos.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Ejecuta el siguiente script:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Paso 5: Uso de PowerShell para finalizar la configuración

1. En el servidor de Microsoft Entra Connect, abre una ventana de PowerShell con privilegios de administrador.

2. Importe el ADSync módulo:

   Import-Module ADSync
   

3. Ejecuta un ciclo de sincronización completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Deshabilite la característica de escritura diferida de grupos para el inquilino.

   Advertencia

   Esta operación es irreversible. Después de deshabilitar la escritura diferida de grupos v2, todos los grupos de Microsoft 365 se escriben en Active Directory independientemente de la configuración de escritura diferida habilitada en el Centro de administración de Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Vuelva a ejecutar un ciclo de sincronización completa:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Vuelva a habilitar el programador de sincronización:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Paso 6: Quitar el servidor de sincronización de Microsoft Entra Connect del modo de almacenamiento provisional

1. Inicie el Asistente para sincronización de Microsoft Entra Connect.
2. Seleccione Configurar.
3. Seleccione Configurar modo de ensayo y seleccione Siguiente.
4. Introduzca las credenciales de Microsoft Entra.
5. Desactive la casilla Habilitar modo de almacenamiento provisional y seleccione Siguiente.
6. Seleccione Configurar.
7. Selecciona Salir.

Paso 7: Configurar Microsoft Entra Cloud Sync

Ahora que los grupos han sido eliminados del ámbito de sincronización de Microsoft Entra Connect Sync, puede configurar Microsoft Entra Cloud Sync para hacerse cargo de la sincronización de los grupos de seguridad. Para obtener más información, consulte Aprovisionamiento de grupos en Active Directory mediante Microsoft Entra Cloud Sync.

Contenido relacionado

• Aprovisionamiento de grupos en Active Directory mediante Microsoft Entra Cloud Sync
• Control de aplicaciones locales basadas en Active Directory (Kerberos) mediante la gobernanza de identificadores de Microsoft Entra
• Preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync