Migrar o Microsoft Entra Connect Sync Group Writeback v2 para o Microsoft Entra Cloud Sync

Este artigo descreve como migrar o Writeback de Grupo usando o Microsoft Entra Connect Sync (anteriormente Azure Active Directory Connect) para o Microsoft Entra Cloud Sync. Este cenário é apenas para clientes que estão atualmente a usar o Microsoft Entra Connect Group Writeback v2. O processo descrito neste artigo refere-se apenas a grupos de segurança criados na nuvem que são replicados com um escopo universal.

Este cenário só é suportado para:

• Grupos de segurança criados na nuvem.
• Grupos escritos de volta no Active Directory com o escopo universal de .

Os grupos habilitados para email e as listas de distribuição gravadas de volta no Active Directory continuam a funcionar com o Group Writeback do Microsoft Entra Connect, mas revertem para o comportamento do Group Writeback v1. Nesse cenário, depois de desativar o Write-back de grupo v2, todos os grupos do Microsoft 365 são gravados de volta no Active Directory, independentemente da configuração de write-back habilitado para no Centro de Administração do Microsoft Entra. Para obter mais informações, consulte FAQ sobre o provisionamento para o Active Directory com o Microsoft Entra Cloud Sync.

Pré-requisitos

• Uma conta do Microsoft Entra com pelo menos uma função de administrador de Identidade Híbrida.

• Uma conta do Ative Directory local com pelo menos permissões de administrador de domínio.

  Necessário para acessar o atributo adminDescription e copiá-lo para o atributo msDS-ExternalDirectoryObjectId.

• Ambiente local dos Serviços de Domínio Ative Directory que executa o Windows Server 2022, o Windows Server 2019 ou o Windows Server 2016.

  Necessário para o atributo de Esquema do Active Directory msDS-ExternalDirectoryObjectId.

• Agente de provisionamento com versão de compilação 1.1.1367.0 ou posterior.

• O agente de provisionamento deve ser capaz de se comunicar com os controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (catálogo global).

  Necessário para pesquisa de catálogo global para filtrar referências de associação inválidas.

Convenção de nomenclatura para grupos escritos de volta

Por padrão, o Microsoft Entra Connect Sync usa o seguinte formato quando os grupos de nomes são gravados novamente:

• Formato padrão:CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Exemplo:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Para facilitar a localização de grupos que estão a ser escritos de volta do ID do Microsoft Entra para o Active Directory, o Microsoft Entra Connect Sync adicionou uma opção para escrever novamente o nome do grupo utilizando o nome de exibição na nuvem. Para usar esta opção, selecione Nome Distinto do Grupo de Writeback com Nome de Exibição na Nuvem durante a configuração inicial do Writeback de Grupo v2. Se esse recurso estiver habilitado, o Microsoft Entra Connect usará o seguinte novo formato em vez do formato padrão:

• Novo formato:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Exemplo:CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Por padrão, o Microsoft Entra Cloud Sync usa o novo formato, mesmo que o recurso Nome Distinto do Grupo de Write-Back com Nome de Exibição na Nuvem não esteja habilitado no Microsoft Entra Connect Sync. Se você usar a nomenclatura padrão do Microsoft Entra Connect Sync e, em seguida, migrar o grupo para que ele seja gerenciado pelo Microsoft Entra Cloud Sync, o grupo será renomeado para o novo formato. Use a seção a seguir para permitir que o Microsoft Entra Cloud Sync use o formato padrão do Microsoft Entra Connect.

Usar o formato padrão

Se desejar que o Microsoft Entra Cloud Sync use o mesmo formato padrão do Microsoft Entra Connect Sync, será necessário modificar a expressão de fluxo de atributos para o atributo CN. Os dois mapeamentos possíveis são:

Para obter mais informações, consulte Adicionar um mapeamento de atributos - Microsoft Entra ID ao Active Directory.

Etapa 1: Copiar o campo adminDescription para o campo msDS-ExternalDirectoryObjectID

Para validar referências de associação de grupo, o Microsoft Entra Cloud Sync deve consultar o catálogo global do Ative Directory para obter o atributo msDS-ExternalDirectoryObjectID. Esse atributo indexado é replicado em todos os catálogos globais na floresta do Ative Directory.

1. Em seu ambiente local, abra ADSI Edit.

2. Copie o valor que se encontra no atributo adminDescription do grupo.

   

3. Cole o valor no atributo msDS-ExternalDirectoryObjectID.

   

Você pode usar o seguinte script do PowerShell para ajudar a automatizar esta etapa. Esse script pega todos os grupos no contêiner OU=Groups,DC=Contoso,DC=com e copia o valor do atributo adminDescription para o valor do atributo msDS-ExternalDirectoryObjectID. Antes de usar esse script, atualize a variável $gwbOU com o valor DistinguishedName da unidade organizacional (UO) de destino do write-back do grupo.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Você pode usar o seguinte script do PowerShell para verificar os resultados do script anterior. Você também pode confirmar se todos os grupos têm o valor adminDescription igual ao valor msDS-ExternalDirectoryObjectID.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Etapa 2: Coloque o servidor Microsoft Entra Connect Sync no modo de preparo e desative o agendador de sincronização

1. Inicie o assistente de sincronização do Microsoft Entra Connect.

2. Selecione Configurar.

3. Selecione Configurar modo de preparo e selecione Avançar.

4. Insira as credenciais do Microsoft Entra.

5. Marque a caixa de seleção Ativar modo de preparação e selecione Avançar.

   

6. Selecione Configurar.

7. Selecione Sair.

   

8. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

9. Desative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Etapa 3: Criar uma regra de entrada de grupo personalizada

No Editor de Regras de Sincronização do Microsoft Entra Connect, você cria uma regra de sincronização de entrada que filtra grupos que têm NULL como valor para o atributo de email. A regra de sincronização de entrada é uma regra de junção com um atributo alvo de cloudNoFlow. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la via PowerShell com o script fornecido.

Criar uma regra de entrada de grupo personalizada na interface de utilizador

1. No menu Iniciar, inicie o Editor de Regras de Sincronização.

2. Em Direção , selecione Entrada na lista suspensa e selecione Adicionar nova regra .

3. Na página Descrição, insira os seguintes valores e selecione Seguinte:

   • Nome: Dê à regra um nome significativo.
   • Descrição: Adicione uma descrição significativa.
   • Connected System: Escolha o conector Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada.
   • Tipo de objeto do sistema conectado: Selecione grupo.
   • Tipo de objeto Metaverso: Selecione grupo.
   • Tipo de link: Selecione Ingressar.
   • Precedência: Forneça um valor único no sistema. Recomendamos que você use um valor inferior a 100 para que ele tenha precedência sobre as regras padrão.
   • Tag: Deixe o campo vazio.

   

4. Na página do filtro de escopo, adicione os seguintes valores e selecione Próximo:

   Atributo	Operador	Valor
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Na página Regras de adesão, selecione Avançar.

6. Na página Adicionar transformações, para o FlowType, selecione a Constante. Para o Atributo de Destino , selecione cloudNoFlow. Para de origem, selecione Verdadeiro.

   

7. Selecione Adicionar.

Criar uma regra de entrada de grupo personalizada no PowerShell

1. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo.

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização (0-99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Execute o seguinte script:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Etapa 4: Criar uma regra de saída de grupo personalizada

Você também precisa de uma regra de sincronização de saída com um tipo de link de JoinNoFlow e o filtro de escopo que tenha o atributo cloudNoFlow definido como True. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses grupos. Para criar essa regra de sincronização, você pode optar por usar a interface do usuário ou criá-la via PowerShell com o script fornecido.

Criar uma regra de saída de grupo personalizada na interface de utilizador

1. Em Sentido, selecione Outbound na lista suspensa e, em seguida, selecione Adicionar regra.

2. Na página Descrição, insira os seguintes valores e selecione Seguinte:

   • Nome: Dê à regra um nome significativo.
   • Descrição: Adicione uma descrição significativa.
   • Sistema Conectado: Escolha o conector do Ative Directory para o qual você está escrevendo a regra de sincronização personalizada.
   • Tipo de objeto do sistema conectado: Selecione grupo.
   • Tipo de objeto Metaverso: Selecione grupo.
   • Tipo de link: Selecione JoinNoFlow.
   • Precedência: Forneça um valor único no sistema. Recomendamos que você use um valor inferior a 100 para que ele tenha precedência sobre as regras padrão.
   • Tag: Deixe o campo vazio.

   

3. Na página de filtro de escopo , para o atributo , selecione cloudNoFlow. Para Operador selecione EQUAL. Para Value, selecione True. Em seguida, selecione Seguinte.

   

4. Na página Regras de adesão, selecione Avançar.

5. Na página Transformações, selecione Adicionar.

Criar uma regra de entrada de grupo personalizada no PowerShell

1. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo.

   Import-Module ADSync
   

3. Forneça um valor exclusivo para a precedência da regra de sincronização (0-99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Obtenha o conector do Active Directory para escrita de grupo.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Execute o seguinte script:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Etapa 5: Usar o PowerShell para concluir a configuração

1. No servidor Microsoft Entra Connect, abra um prompt do PowerShell como administrador.

2. Importe o módulo ADSync:

   Import-Module ADSync
   

3. Execute um ciclo de sincronização completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Desative o recurso de write-back de grupo para o locatário.

   Aviso

   Esta operação é irreversível. Depois de desativar o Write-back de Grupo v2, todos os grupos do Microsoft 365 são gravados novamente no Active Directory, independentemente da configuração Writeback Enabled no centro de administração do Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Execute um ciclo de sincronização completo novamente:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Reative o agendador de sincronização:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Etapa 6: Remover o servidor Microsoft Entra Connect Sync do modo de preparo

1. Inicie o assistente de sincronização do Microsoft Entra Connect.
2. Selecione Configurar.
3. Selecione Configurar modo de preparo e selecione Avançar.
4. Insira as credenciais do Microsoft Entra.
5. Desmarque a caixa de seleção Ativar modo de preparação e selecione Avançar.
6. Selecione Configurar.
7. Selecione Sair.

Etapa 7: Configurar o Microsoft Entra Cloud Sync

Agora que os grupos foram removidos do escopo de sincronização do Microsoft Entra Connect Sync, você pode configurar o Microsoft Entra Cloud Sync para assumir a sincronização dos grupos de segurança. Para obter mais informações, consulte provisionar grupos para o Ative Directory usando o Microsoft Entra Cloud Sync.

Conteúdo relacionado

• Provisionar grupos para o Ative Directory usando o Microsoft Entra Cloud Sync
• Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance
• Perguntas frequentes sobre provisionamento para o Ative Directory com o Microsoft Entra Cloud Sync