Write-back de grupo com o Microsoft Entra Cloud Sync

Com a versão do agente de provisionamento 1.1.1370.0, a sincronização de nuvem agora tem a capacidade de execução de write-back de grupo. Esse recurso significa que a sincronização de nuvem pode provisionar grupos diretamente para seu ambiente do Active Directory local. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Importante

A visualização do Write-back de grupo v2 no Microsoft Entra Connect Sync foi preterida e não tem mais suporte.

Você pode usar o Microsoft Entra Cloud Sync para provisionar grupos de segurança de nuvem no AD DS (Active Directory Domain Services) local.

Se você usar o Write-back de Grupo v2 no Microsoft Entra Connect Sync, deverá mover o cliente de sincronização para o Microsoft Entra Cloud Sync. Para verificar se você está qualificado para migrar para o Microsoft Entra Cloud Sync, use o assistente de sincronização do usuário.

Se você não puder usar o Microsoft Cloud Sync conforme recomendado pelo assistente, poderá executar o Microsoft Entra Cloud Sync lado a lado com o Microsoft Entra Connect Sync. Nesse caso, você pode executar o Microsoft Entra Cloud Sync apenas para provisionar grupos de segurança de nuvem no AD DS local.

Se você provisionar grupos do Microsoft 365 para o AD DS, poderá continuar usando o Write-back de Grupo v1.

Provisionar a ID do Microsoft Entra para o Active Directory Domain Services – Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento no AD DS (Active Directory Domain Services).

Requisitos de licença

O uso desse recurso requer licenças P1 do Microsoft Entra ID. Para encontrar a licença certa para seus requisitos, confira Comparar recursos do Microsoft Entra ID com disponibilidade geral.

Requisitos gerais

Conta Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida.
Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , que está disponível no Windows Server 2016 e posterior.
Agente de provisionamento com a versão de build 1.1.3730.0 ou posterior.

Observação

As permissões para a conta de serviço são atribuídas somente durante a instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará atribuir a leitura, gravação, criação e exclusão de todas as propriedades para todos os grupos descendentes e objetos de usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte cmdlets gMSA PowerShell do agente de provisionamento do Microsoft Entra.

O agente de provisionamento deve ser instalado em um servidor que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016.
O agente de provisionamento precisa conseguir se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
- Necessário para a pesquisa do Catálogo Global para filtrar referências de associação inválidas
Microsoft Entra Connect Sync com build versão 2.22.8.0
- Necessário para dar suporte a membros de usuários locais sincronizados usando o Microsoft Entra Connect Sync
- Necessário para sincronizar AD DS:user:objectGUIDAAD DS:user:onPremisesObjectIdentifier

Limites de escala para grupos de provisionamento no Active Directory

O desempenho do recurso Provisionamento de Grupo para Active Directory é afetado pelo tamanho do locatário e pelo número de grupos e associações que estão no escopo do provisionamento para o Active Directory. Esta seção fornece diretrizes sobre como determinar se o GPAD dá suporte aos seus requisitos de escalabilidade e como escolher o modo de escopo de grupo adequado para obter ciclos de sincronização iniciais mais rápidos e delta mais ágeis.

O que não tem suporte?

Não há suporte para grupos com mais de 50 mil membros.
Não há suporte para o uso do escopo "Todos os Grupos de Segurança" sem aplicar a filtragem de escopo por atributo.

Limites de escala

Modo de escopo	Número de grupos no escopo	Número de links de associação (somente membros diretos)	Anotações
Modo "Grupos de segurança selecionados"	Até 10 mil grupos. O painel CloudSync no portal do Microsoft Entra só permite selecionar até 999 grupos, bem como exibir até 999 grupos. Se você precisar adicionar mais de 1.000 grupos ao escopo, confira: Seleção de grupo expandida por meio da API.	Até 250 mil membros no total em todos os grupos no escopo.	Use este modo de escopo se o locatário exceder qualquer um desses limites 1. O locatário tem mais de 200 mil usuários 2. O locatário tem mais de 40 mil grupos 3. O locatário tem mais de 1 milhão de associações a grupos.
Modo "Todos os grupos de segurança" com pelo menos um filtro de escopo de atributo.	Até 20 mil grupos.	Até 500 mil membros totais em todos os grupos no escopo.	Use esse modo de escopo se o locatário atender a TODOS os limites abaixo: 1. O locatário tem menos de 200 mil usuários 2. O locatário tem menos de 40 mil grupos 3. O locatário tem menos de 1M de associações de grupo.

O que fazer se você exceder os limites

Exceder os limites recomendados diminuirá a sincronização inicial e delta, possivelmente causando erros de sincronização. Se isso acontecer, siga estas etapas:

Muitos grupos ou membros de grupos no modo de escopo de 'Grupos de segurança selecionados':

Reduza o número de grupos incluídos no escopo (visando grupos de maior valor) ou divida o provisionamento em várias tarefas distintas com escopos disjuntos.

Muitos grupos ou membros do grupo no modo de escopo "Todos os grupos de segurança":

Use o modo de escopo Grupos de Segurança Selecionados, conforme recomendado.

Alguns grupos excedem 50 mil membros:

Divida a associação entre vários grupos ou adote grupos em etapas (por exemplo, por região ou unidade de negócios) para manter cada grupo sob o limite.

Seleção de grupo expandida por meio da API

Se você precisar selecionar mais de 999 grupos, deverá usar a chamada de API Grant an appRoleAssignment for a service principal.

Um exemplo das chamadas à API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

onde:

principalId: ID de objeto de grupo.
resourceId: ID do Principal de Serviço do Job.
appRoleId: identificador da função de aplicativo exposta pela entidade de serviço de recurso.

A tabela a seguir é uma lista de IDs de função de aplicativo para nuvens:

Nuvem	appRoleId
Público	1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment	d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud	50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud	52e862b9-0b95-43fe-9340-54f51248314f

Mais informações

Aqui estão mais pontos a serem considerados quando você provisiona grupos para o AD DS.

Os grupos provisionados para o AD DS usando a Sincronização de Nuvem só podem conter usuários sincronizados locais ou outros grupos de segurança criados na nuvem.
Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente do AD DS de destino.
Um atributo objectGUID do usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário na nuvem usando qualquer cliente de sincronização.
Somente locatários globais do Microsoft Entra ID podem provisionar da ID do Microsoft Entra para o AD DS. Não há suporte para locatários como B2C.
O trabalho de provisionamento de grupo está agendado para execução a cada 20 minutos.

Cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários com suporte para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar o write-back V2 do grupo de sincronização do Microsoft Entra Connect para a Sincronização na Nuvem do Microsoft Entra
Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance

Migrar o grupo de write-back V2 do Microsoft Entra Connect Sync para o Microsoft Entra Cloud Sync

Cenário: migrar o write-back de grupo usando o Microsoft Entra Connect Sync (antigo Azure AD Connect) para o Microsoft Entra Cloud Sync. Esse cenário é apenas para clientes que estão usando no momento o write-back de grupo V2 do Microsoft Entra Connect. O processo descrito neste documento se aplica apenas a grupos de segurança criados na nuvem com write-back realizado em um escopo universal. Não há suporte para grupos habilitados para correio eletrônico e DLs gravados usando o write-back de grupo do Microsoft Entra Connect V1 ou V2.

Para obter mais informações, confira Migrar o write-back de grupo do Sincronização do Microsoft Entra Connect V2 para a Sincronização de nuvem do Microsoft Entra.

Governe aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance

Cenário: gerenciar aplicativos locais com grupos do Active Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD, aproveitando os recursos de Governança do Microsoft Entra ID para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governança de aplicativos baseados no Active Directory local (Kerberos) usando o Microsoft Entra ID Governance.

Próximas etapas

Comentários

Esta página foi útil?

Last updated on 2025-12-02