Migrar o Write-back do Grupo de Sincronização do Microsoft Entra Connect v2 para o Microsoft Entra Cloud Sync

Este artigo descreve como migrar o Write-back de Grupo usando o Microsoft Entra Connect Sync (antigo Azure Active Directory Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando o Write-back do Grupo do Microsoft Entra Connect v2. O processo descrito neste artigo pertence apenas a grupos de segurança criados na nuvem que são gravados novamente com um escopo universal.

Este cenário só tem suporte para:

• Grupos de segurança criados na nuvem.
• Grupos gravados de volta no Active Directory com o escopo do universal.

Grupos habilitados para email e listas de distribuição gravadas novamente no Active Directory continuam a funcionar com o Write-back do Grupo do Microsoft Entra Connect, mas revertem para o comportamento do Write-back de Grupo v1. Nesse cenário, depois de desabilitar o Write-back de Grupo v2, todos os grupos do Microsoft 365 serão gravados de volta no Active Directory independentemente da configuração habilitada para Write-back no Centro de administração do Microsoft Entra. Para obter mais informações, consulte Provisionar para o Active Directory com perguntas frequentes sobre a Sincronização de Nuvem do Microsoft Entra.

Pré-requisitos

• Uma conta do Microsoft Entra com pelo menos uma função de administrador de Identidade Híbrida .

• Uma conta do Active Directory local com pelo menos permissões de administrador de domínio.

  Necessário para acessar o adminDescription atributo e copiá-lo para o msDS-ExternalDirectoryObjectId atributo.

• Ambiente local do Active Directory Domain Services que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016.

  Necessário para o atributo msDS-ExternalDirectoryObjectIdesquema do Active Directory.

• Agente de provisionamento com a versão de build 1.1.1367.0 ou posterior.

• O agente de provisionamento deve ser capaz de se comunicar com os controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (catálogo global).

  Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas.

Convenção de nomenclatura para grupos gravados de volta

Por padrão, o Microsoft Entra Connect Sync usa o seguinte formato quando grupos de nomenclatura são gravados novamente:

• Formato padrão:CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• exemplo:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar a localização de grupos sendo gravados de volta do Microsoft Entra ID para o Active Directory, o Microsoft Entra Connect Sync adicionou uma opção para gravar o nome do grupo usando o nome de exibição na nuvem. Para usar essa opção, selecione Nome Diferenciado do Grupo de Write-back com Nome de Exibição de Nuvem durante a instalação inicial do Write-back de Grupo v2. Se esse recurso estiver habilitado, o Microsoft Entra Connect usará o novo formato a seguir em vez do formato padrão:

• Novo formato:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• exemplo:CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Por padrão, o Microsoft Entra Cloud Sync usa o novo formato, mesmo que o recurso Nome Diferenciado do Grupo de Write-back com Nome de Exibição de Nuvem não esteja habilitado no Microsoft Entra Connect Sync. Se você usar a nomenclatura padrão do Microsoft Entra Connect Sync e migrar o grupo para que ele seja gerenciado pelo Microsoft Entra Cloud Sync, o grupo será renomeado para o novo formato. Use a seção a seguir para permitir que o Microsoft Entra Cloud Sync use o formato padrão do Microsoft Entra Connect.

Usar o formato padrão

Se você quiser que o Microsoft Entra Cloud Sync use o mesmo formato padrão que o Microsoft Entra Connect Sync, será necessário modificar a expressão de fluxo de atributo para o CN atributo. Os dois mapeamentos possíveis são:

Para obter mais informações, consulte Adicionar um mapeamento de atributo – ID do Microsoft Entra ao Active Directory.

Etapa 1: Copiar adminDescription para msDS-ExternalDirectoryObjectID

Para validar referências de associação de grupo, o Microsoft Entra Cloud Sync deve consultar o catálogo global do Active Directory para o msDS-ExternalDirectoryObjectID atributo. Esse atributo indexado é replicado em todos os catálogos globais na floresta do Active Directory.

1. Em seu ambiente local, abra ADSI Editar.

2. Copie o valor que está no atributo do adminDescription grupo.

   

3. Cole o valor no msDS-ExternalDirectoryObjectID atributo.

   

Você pode usar o script do PowerShell a seguir para ajudar a automatizar esta etapa. Esse script usa todos os grupos no OU=Groups,DC=Contoso,DC=com contêiner e copia o valor do adminDescription atributo para o valor do msDS-ExternalDirectoryObjectID atributo. Antes de usar esse script, atualize a variável $gwbOU com o DistinguishedName valor da UO (unidade organizacional de destino) do write-back de grupo.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Você pode usar o script do PowerShell a seguir para verificar os resultados do script anterior. Você também pode confirmar que todos os grupos têm o adminDescription valor igual ao msDS-ExternalDirectoryObjectID valor.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Etapa 2: Colocar o servidor de Sincronização do Microsoft Entra Connect no modo de preparo e desabilitar o agendador de sincronização

1. Inicie o assistente de Sincronização do Microsoft Entra Connect.

2. Selecione Configurar.

3. Selecione Configurar o modo de preparo e selecioneAvançar.

4. Insira suas credenciais do Microsoft Entra.

5. Selecione a caixa de seleção Habilitar modo de preparo e selecione Avançar.

   

6. Selecione Configurar.

7. Selecione Sair.

   

8. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

9. Desabilite o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Etapa 3: Criar uma regra de entrada de grupo personalizada

No Editor de Regras de Sincronização do Microsoft Entra Connect, você cria uma regra de sincronização de entrada que filtra os grupos que têm NULL para o atributo de email. A regra de sincronização de entrada é uma regra de junção com um atributo de destino de cloudNoFlow. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la por meio do PowerShell com o script fornecido.

Criar uma regra de entrada de grupo personalizada na interface do usuário

1. No menu Iniciar , inicie o Editor de Regras de Sincronização.

2. Em Direção, selecione Entrada na lista suspensa e selecione Adicionar nova regra.

3. Na página Descrição , insira os seguintes valores e selecione Avançar:

   • Nome: dê à regra um nome significativo.
   • Descrição: adicionar uma descrição significativa.
   • Sistema conectado: escolha o conector do Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada.
   • Tipo de objeto do sistema conectado: selecionar grupo.
   • Tipo de Objeto do Metaverso: selecionar grupo.
   • Tipo de link: Selecione Ingressar.
   • Precedência: forneça um valor exclusivo no sistema. Recomendamos que você use um valor inferior a 100 para que ele tenha precedência sobre as regras padrão.
   • Etiqueta: Deixe o campo vazio.

   

4. Na página de filtro de escopo , adicione os seguintes valores e selecione Avançar:

   Atributo	Operador	Valor
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Na página Regras de junção, selecione Avançar.

6. Na página Adicionar transformações , para FlowType, selecione Constante. Para o Atributo de Destino, selecionecloudNoFlow. Para Origem, selecione True.

   

7. Selecione Adicionar.

Criar uma regra de entrada de grupo personalizado no PowerShell

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo .

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização (0-99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Execute o seguinte script:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Etapa 4: Criar uma regra de saída de grupo personalizada

Você também precisa de uma regra de sincronização de saída com um tipo de JoinNoFlow link e o filtro de escopo que tem o cloudNoFlow atributo definido como True. Essa regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la por meio do PowerShell com o script fornecido.

Criar uma regra de saída de grupo personalizada na interface do usuário

1. Em Direção, selecione Saída na lista suspensa e, em seguida, selecione Adicionar regra.

2. Na página Descrição , insira os seguintes valores e selecione Avançar:

   • Nome: dê à regra um nome significativo.
   • Descrição: adicionar uma descrição significativa.
   • Sistema conectado: escolha o conector do Active Directory para o qual você está escrevendo a regra de sincronização personalizada.
   • Tipo de objeto do sistema conectado: selecionar grupo.
   • Tipo de Objeto do Metaverso: selecionar grupo.
   • Tipo de link: selecione JoinNoFlow.
   • Precedência: forneça um valor exclusivo no sistema. Recomendamos que você use um valor inferior a 100 para que ele tenha precedência sobre as regras padrão.
   • Marca: deixe o campo vazio.

   

3. Na página de filtro de escopo , para Atributo, selecionecloudNoFlow. Para Operador , selecione IGUAL. Para Valor, selecione True. Em seguida, selecione Avançar.

   

4. Na página Regras de junção, selecione Avançar.

5. Na página de Transformações, selecione Adicionar.

Criar uma regra de entrada de grupo personalizado no PowerShell

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo .

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização (0-99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Obtenha o conector do Active Directory para write-back de grupo.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Execute o seguinte script:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Etapa 5: Usar o PowerShell para concluir a configuração

1. No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o ADSync módulo:

   Import-Module ADSync
   

3. Execute um ciclo de sincronização completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Desabilite o recurso write-back de grupo para o locatário.

   Aviso

   essa operação é irreversível. Depois de desabilitar o Write-back de Grupo v2, todos os grupos do Microsoft 365 serão gravados novamente no Active Directory, independentemente da configuração Habilitada para Write-back no Centro de administração do Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Execute um ciclo de sincronização completo novamente:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Reative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Etapa 6: Remover o servidor de Sincronização do Microsoft Entra Connect do modo de preparo

1. Inicie o assistente de Sincronização do Microsoft Entra Connect.
2. Selecione Configurar.
3. Selecione Configurar o modo de preparo e selecioneAvançar.
4. Insira suas credenciais do Microsoft Entra.
5. Desmarque a caixa de seleção Habilitar modo de preparo e selecione Avançar.
6. Selecione Configurar.
7. Selecione Sair.

Etapa 7: Configurar o Microsoft Entra Cloud Sync

Agora que os grupos foram removidos do escopo de sincronização do Microsoft Entra Connect Sync, você pode definir e configurar o Microsoft Entra Cloud Sync para assumir a sincronização dos grupos de segurança. Para obter mais informações, consulte Provisionar grupos no Active Directory usando o Microsoft Entra Cloud Sync.

Conteúdo relacionado

• Provisionar grupos no Active Directory usando o Microsoft Entra Cloud Sync
• Governe aplicativos locais baseados no Active Directory (Kerberos) usando a Governança de ID do Microsoft Entra
• Provisionamento para o Active Directory com o Perguntas Frequentes do Microsoft Entra Cloud Sync