Tutorial – Provisionar grupos para o Active Directory Domain Services usando o Microsoft Entra Cloud Sync

Este tutorial explica como configurar a Sincronização de Nuvem para sincronizar grupos com o AD DS (Active Directory Domain Services) local.

Provisionar a ID do Microsoft Entra para o Active Directory Domain Services – Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no AD DS (Active Directory Domain Services).

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
• Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , que está disponível no Windows Server 2016 e posterior.
• Agente de provisionamento com a versão de compilação 1.1.3730.0 ou posterior.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• O agente de provisionamento deve ser instalado em um servidor que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016.
• O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para a pesquisa do Catálogo Global para filtrar referências de associação inválidas
• Microsoft Entra Connect Sync com versão de build 2.22.8.0
  • Necessário para dar suporte à subscrição de usuário local sincronizada usando a Sincronização do Microsoft Entra Connect
  • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para Grupos de Provisionamento no Active Directory

O desempenho do recurso Provisionamento de Grupo para Active Directory é afetado pelo tamanho do locatário e pelo número de grupos e associações que estão no escopo do provisionamento para o Active Directory. Esta seção fornece diretrizes sobre como determinar se o GPAD dá suporte ao seu requisito de escalabilidade e como escolher o modo de definição de escopo de grupo certo para acelerar os ciclos de sincronização inicial e delta.

O que não tem suporte?

• Não há suporte para grupos com mais de 50 mil membros.
• Não é oferecido suporte para o uso de "Todos os grupos de segurança" como escopo sem aplicar filtragem de escopo de atributo.

Limites de escala

O que fazer se você exceder os limites

Exceder os limites recomendados diminuirá a sincronização inicial e delta, possivelmente causando erros de sincronização. Se isso acontecer, siga estas etapas:

Muitos grupos ou membros de grupos no modo de escopo 'Grupos de segurança selecionados':

Reduza o número de grupos no escopo (direcione grupos de maior valor) ou divida o provisionamento em vários trabalhos distintos com escopos separados.

Há muitos grupos ou membros de grupos no modo de escopo "Todos os grupos de segurança".

Utilize o modo de escopo grupos de segurança selecionados conforme recomendado.

Alguns grupos excedem 50 mil membros:

Divida a associação entre vários grupos ou adote grupos em etapas (por exemplo, por região ou unidade de negócios) para manter cada grupo sob o limite.

Seleção de grupo expandida por meio da API

Se você precisar selecionar mais de 999 grupos, deverá usar a concessão de um appRoleAssignment para uma chamada à API da entidade de serviço.

Um exemplo das chamadas à API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

onde:

• principalId: ID de objeto de grupo.
• resourceId: ID do principal de serviço da tarefa.
• appRoleId: identificador da função de aplicativo exposta pelo principal de serviço de recurso.

A tabela a seguir é uma lista de IDs de Função de Aplicativo para nuvens computacionais.

Mais informações

Aqui estão mais pontos a serem considerados quando você provisiona grupos para o AD DS.

• Os grupos provisionados para o AD DS usando a Sincronização de Nuvem só podem conter usuários sincronizados locais ou outros grupos de segurança criados na nuvem.
• Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
• O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente do AD DS de destino.
• Um atributo objectGUID do usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário na nuvem usando qualquer cliente de sincronização.
• Somente locatários globais do Microsoft Entra ID podem provisionar da ID do Microsoft Entra para o AD DS. Não há suporte para locatários como B2C.
• O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.

Cenários de SOA de Grupo e Usuário

Suposições

Este tutorial pressupõe:

• Você tem um ambiente local do AD DS

• Você tem a configuração de sincronização na nuvem para sincronizar usuários com o Microsoft Entra ID.

• Você tem dois usuários que estão sincronizados: Britta Simon e Lola Jacobson. Esses usuários existem no local e no Microsoft Entra ID.

• Uma UO (unidade organizacional) é criada no AD DS para cada um dos seguintes departamentos:

  Nome de exibição	nome diferenciado
  Grupos	OU=Marketing,DC=contoso,DC=com
  Sales	UO=Vendas,DC=contoso,DC=com
  Marketing	OU=Grupos,DC=contoso,DC=com

Adicionar usuários a grupos de segurança convertidos soa (nativos de nuvem ou de origem de autoridade)

Para adicionar usuários sincronizados, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.
2. Navegue até Entra ID>Grupos>Todos os grupos.
3. Na parte superior, na caixa de pesquisa, insira Vendas.
4. Selecione o novo grupo Vendas .
5. À esquerda, selecione Membros.
6. Na parte superior, selecione Adicionar membros.
7. Na parte superior, na caixa de pesquisa, insira Brenda Fernandes.
8. Coloque um cheque ao lado de Brenda Fernandes e selecione Selecionar.
9. Ele deve adicionar com êxito o usuário ao grupo.
10. Na extrema esquerda, selecione Todos os grupos. Repita esse processo usando o grupo Vendas e adicione Lola Jacobson a esse grupo.

Preparar grupos convertidos SOA para provisionamento no caminho original da sua unidade organizacional (UO)

Conclua estas etapas para preparar grupos que você planeja converter para serem gerenciados na nuvem, permitindo o provisionamento a partir do Microsoft Entra ID de volta ao caminho original da Unidade Organizacional no Active Directory Domain Services (AD DS) local.

1. Altere o escopo do grupo de AD DS para Universal.
2. Crie um aplicativo especial.
3. Crie a propriedade de extensão de diretório para grupos.

Alterar o escopo dos grupos do AD DS para universal

1. Abra o Centro Administrativo do Active Directory.
2. Clique com o botão direito do mouse em um grupo, clique em Propriedades.
3. Na seção Grupo , selecione Universal como o escopo do grupo.
4. Clique em Salvar.

Criar a extensão

A Sincronização de Nuvem só dá suporte a extensões criadas em um aplicativo especial chamado CloudSyncCustomExtensionsApp. Se o aplicativo não existir em seu locatário, você deverá criá-lo. Esta etapa é executada uma vez por locatário.

Para obter mais informações sobre como criar a extensão, consulte extensões de diretório de sincronização de nuvem e mapeamento de atributo personalizado.

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Configurar provisionamento

Para configurar o provisionamento, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

   

3. Selecione Nova configuração.

4. Selecione Sincronização de Microsoft Entra ID com o AD.

   

5. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Selecione Criar.

   

6. A tela Introdução é aberta. Aqui, você pode continuar configurando a sincronização na nuvem.

7. À esquerda, selecione filtros de escopo.

8. Para escopo de grupos, selecione Grupos de segurança selecionados.

   

9. Há duas abordagens possíveis para definir a UO:

   • Você pode usar expressões personalizadas para garantir que o grupo seja recriado com a mesma UO. Use a seguinte expressão para o valor ParentDistinguishedName:

     IIF(
         IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
         Replace(
             Mid(
                 Mid(
                     Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                     Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                     9999
                 ),
                 2,
                 9999
             ),
             "\2C", , , ",", ,
         ),
     "<Existing ParentDistinguishedName>",
     )
     

     Esta expressão:

     • Usará uma UO padrão se a extensão estiver vazia.
     • Caso contrário, remove a parte CN e preserva o caminho do parentDN, lidando novamente com vírgulas escapadas.

     Essas alterações causam uma sincronização completa e não afetam os grupos existentes. Teste a configuração do atributo GroupDN para um grupo existente usando o Microsoft Graph e verifique se ele volta para a UO original.

   • Se você não quiser preservar o caminho da UO original e as informações CN do local, em Contêiner de destino, selecione Editar mapeamento de atributo.

     1. Alterar o tipo de mapeamento para Expressão.

     2. Na caixa de expressão, insira:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

     3. Altere o valor padrão para ser OU=Groups,DC=contoso,DC=com.

        

     4. Selecione Aplicar. O contêiner de destino é alterado dependendo do atributo displayName do grupo.

10. Você pode usar expressões personalizadas para garantir que o grupo seja recriado com o mesmo Nome Comum (CN). Use a seguinte expressão para o valor CN:

    IIF(
        IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
        Replace(
            Replace(
                Replace(
                    Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                    "CN=", , , "", ,
                ),
                "cn=", , , "", ,
            ),
            "\2C", , , ",", ,
        ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
    )
    

    Esta expressão:

    • Se a extensão estiver vazia, gera um CN de fallback de DisplayName + ObjectId.
    • Caso contrário, extrai o CN, tratando vírgulas escapadas substituindo-as temporariamente por valores hexadecimais.

11. Clique em Salvar.

12. À esquerda, selecione Visão geral.

13. Na parte superior, selecione Examinar e habilitar.

14. À direita, selecione Habilitar configuração.

Configuração de teste

1. Entre no centro de administração do Microsoft Entra como, no mínimo, um Administrador de identidade híbrida.

2. Navegue até Entra ID>Entra Connect>Sincronização na nuvem.

   

3. Em Configuração, selecione sua configuração.

4. À esquerda, selecione Provisionar sob demanda.

5. Insira Vendas na caixa de grupo Selecionado.

6. Na seção Usuários selecionados, selecione alguns usuários para testar.

   

7. Selecione Provisionar.

8. Você deve ver o grupo provisionado.

Verificar no AD DS (Serviços de Domínio Active Directory)

Siga estas etapas para garantir que o grupo esteja provisionado no AD DS:

1. Entre em seu ambiente local.

2. Inicie Usuários e Computadores do Active Directory.

3. Verifique se o novo grupo foi provisionado.

   

Prover grupo para comportamento do AD DS em objetos convertidos para SOA

Quando você converte o SOA (Fonte de Autoridade) em nuvem para um grupo local, esse grupo se torna elegível para o provisionamento de grupo para o AD DS.

Por exemplo, no diagrama a seguir, o SOA ou SOATestGroup1 é convertido na nuvem. Como resultado, ele fica disponível para o escopo do trabalho no provisionamento de grupo para o AD DS.

• Quando um trabalho é executado, SOATestGroup1 é provisionado com êxito.

• Nos logs de provisionamento, você pode pesquisar SOATestGroup1 e verificar se o grupo foi provisionado.

  

• Os detalhes mostram que SOATestGroup1 foi correspondido com um grupo de destino existente.

  

• Você também pode confirmar se o adminDescription e cn do grupo de destino estão atualizados.

  

• Ao examinar o AD DS, você pode descobrir que o grupo original está atualizado.

  

  

Nuvem ignora o provisionamento de objetos SOA que foram convertidos para o Microsoft Entra ID

Se você tentar editar um atributo de um grupo no AD DS depois de converter SOA na nuvem, a Sincronização de Nuvem ignorará o objeto durante o provisionamento.

Digamos que temos um grupo SOAGroup3 e atualizamos seu nome de grupo para SOA Group3.1.

Nos Logs de Provisionamento, você pode ver que SOAGroup3 foi ignorado.

Os detalhes explicam que o objeto não está sincronizado porque seu SOA é convertido na nuvem.

Manipulação de grupos aninhados e referências de associação

A tabela a seguir explica como o provisionamento lida com referências de associação após a transformação de SOA (Arquitetura Orientada a Serviços) em diferentes casos de uso.

Provisionar grupo para o comportamento do AD DS depois de reverter grupos convertidos soa

Se você tiver grupos convertidos soa no escopo e reverter o grupo convertido SOA para torná-lo de propriedade do AD DS, o provisionamento de grupo para o AD DS para de sincronizar as alterações, mas ele não exclui o grupo local. Ele também remove o grupo do escopo de configuração. O controle local do grupo é retomado no próximo ciclo de sincronização.

• Você pode verificar nos Logs de Auditoria que a sincronização não acontece para esse objeto porque ele é gerenciado localmente.

  

  Você também pode verificar no AD DS se o grupo ainda está intacto e não excluído.

  

Próximas etapas

• Write-back de grupo com o Microsoft Entra Cloud Sync
• Governe aplicativos baseados no AD DS local (Kerberos) usando a Governança de Identidades do Microsoft Entra
• Migrar o write-back V2 de grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra