Tutorial - Provisionar grupos para os Serviços de Domínio Ative Directory usando o Microsoft Entra Cloud Sync

Este tutorial orienta você sobre como configurar o Cloud Sync para sincronizar grupos com os Serviços de Domínio Ative Directory (AD DS) locais.

Configurar o ID do Microsoft Entra para os Serviços de Domínio Active Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento nos Serviços de Domínio Ative Directory (AD DS).

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

• Conta do Microsoft Entra com pelo menos uma função de Administrador de Identidade Híbrida .
• Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , disponível no Windows Server 2016 e posterior.
• Agente de provisionamento com a versão de compilação 1.1.3730.0 ou posterior.

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

• O agente de provisionamento deve ser instalado em um servidor que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
• O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
  • Necessário para a pesquisa do Catálogo Global filtrar referências de associação inválidas
• Microsoft Entra Connect Sync com versão de compilação 2.22.8.0
  • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
  • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para Grupos de Provisionamento para Active Directory

O desempenho da funcionalidade de Provisão de Grupo para o Active Directory é afetado pelo tamanho do locatário e pelo número de grupos e associações que estão no âmbito para provisionamento no Active Directory. Esta secção fornece orientações sobre como determinar se o GPAD corresponde ao seu requisito de escala e como escolher o modo certo de avaliação de grupos para alcançar ciclos de sincronização inicial e delta mais rápidos.

O que não é suportado?

• Grupos com mais de 50 mil membros não são suportados.
• A utilização do âmbito "Todos os grupos de segurança" sem aplicar filtragem de escopo de atributos não é suportada.

Limites de escala

O que fazer se ultrapassar os limites

Ultrapassar os limites recomendados vai abrandar a sincronização inicial e delta, podendo causar erros de sincronização. Se isto acontecer, siga estes passos:

Demasiados grupos ou membros de grupo no modo de definição de âmbito 'Grupos de segurança selecionados':

Reduzir o número de grupos dentro do âmbito (visar grupos de maior valor), ou dividir o provisionamento em múltiplos trabalhos distintos com âmbitomos disjuntos.

Demasiados grupos ou membros de grupo no modo de alcance ‘Todos os grupos de segurança’.

Use o modo de escopo dos grupos de segurança selecionados, conforme recomendado.

Alguns grupos ultrapassam os 50 mil membros:

Dividir a membresia entre vários grupos ou adotar grupos em etapas (por exemplo, por região ou unidade de negócio) para manter cada grupo abaixo do limite.

Seleção alargada de grupos via API

Se precisar de selecionar mais de 999 grupos, deve usar o Grant an appRoleAssignment para uma chamada API de principal de serviço .

Um exemplo das chamadas API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

• principalId: ID do objeto do grupo.
• resourceId: ID principal de serviço do Job.
• appRoleId: Identificador do papel da aplicação exposto pelo principal do serviço de recursos.

A tabela seguinte apresenta uma lista de IDs de Funções de Aplicação para nuvens:

Mais informações

Aqui estão mais pontos a considerar ao fornecer grupos para o AD DS.

• Os grupos provisionados para o AD DS usando o Cloud Sync só podem conter usuários sincronizados no local ou outros grupos de segurança criados na nuvem.
• Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
• O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD DS de destino.
• Um atributo objectGUID de usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário de nuvem usando qualquer cliente de sincronização.
• Somente locatários globais do Microsoft Entra ID podem provisionar do Microsoft Entra ID para o AD DS. Locatários como B2C não têm suporte.
• O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários SOA de Grupo e Utilizador

Suposições

Este tutorial pressupõe:

• Você tem um ambiente local do AD DS

• Você tem a configuração de sincronização na nuvem para sincronizar os usuários com o Microsoft Entra ID.

• Você tem dois usuários que estão sincronizados: Britta Simon e Lola Jacobson. Esses usuários existem no local e no Microsoft Entra ID.

• Uma unidade organizacional (UO) é criada no AD DS para cada um dos seguintes departamentos:

  Nome de exibição	Nome distinto
  Grupos	OU=Marketing,DC=contoso,DC=com
  Sales	OU=Vendas,DC=contoso,DC=com
  Marketing	OU=Grupos,DC=contoso,DC=com

Adicionar usuários a grupos de segurança nativos da nuvem ou convertidos em SOA (Source of Authority)

Para adicionar utilizadores sincronizados, siga estes passos:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.
2. Navegue até Entra ID>Grupos>Todos os grupos.
3. Na parte superior, na caixa de pesquisa, digite Vendas.
4. Selecione o novo grupo Vendas .
5. À esquerda, selecione Membros.
6. Na parte superior, selecione Adicionar membros.
7. No topo, na caixa de pesquisa, digite Britta Simon.
8. Coloque uma verificação ao lado de Brenda Fernandes e selecione Selecionar.
9. Ele deve adicionar com êxito o usuário ao grupo.
10. Na extremidade esquerda, selecione Todos os grupos. Repita esse processo usando o grupo Sales e adicione Lola Jacobson a esse grupo.

Preparar grupos convertidos em SOA para provisionamento para seu caminho de unidade organizacional (UO) original

Conclua estas etapas para preparar os grupos que planeia converter para serem geridos na nuvem para o provisionamento pela Microsoft Entra ID de volta ao caminho original da UO nos Serviços de Domínio do Active Directory (AD DS) no local:

1. Altere o escopo do grupo AD DS para Universal.
2. Crie um aplicativo especial.
3. Crie a propriedade de extensão de diretório para grupos.

Alterar o escopo dos grupos do AD DS para Universal

1. Abra o Centro Administrativo do Ative Directory.
2. Clique com o botão direito do rato num grupo, clique em Propriedades.
3. Na seção Grupo , selecione Universal como o escopo do grupo.
4. Clique em Salvar.

Criar a extensão

O Cloud Sync suporta apenas extensões criadas em um aplicativo especial chamado CloudSyncCustomExtensionsApp. Se o aplicativo não existir em seu locatário, você deverá criá-lo. Esta etapa é executada uma vez por locatário.

Para obter mais informações sobre como criar a extensão, consulte Extensões de diretório de sincronização na nuvem e mapeamento de atributos personalizados.

$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq 'My Security Group'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Configurar o provisionamento

Para configurar o provisionamento, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

2. Navegue até Entra ID>Entra Connect>Cloud sync.

   

3. Selecione Nova configuração.

4. Selecione Microsoft Entra ID para sincronização do AD.

   

5. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Selecione Criar.

   

6. A tela Introdução é aberta. A partir daqui, você pode continuar a configurar a sincronização na nuvem.

7. À esquerda, selecione Filtros de escopo.

8. Para Escopo de grupos, selecione Grupos de segurança selecionados.

   

9. Há duas abordagens possíveis para definir a UO:

   • Você pode usar expressões personalizadas para garantir que o grupo seja recriado com a mesma UO. Use a seguinte expressão para o valor ParentDistinguishedName:

     IIF(
         IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
         Replace(
             Mid(
                 Mid(
                     Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ),
                     Instr(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), ",", , ),
                     9999
                 ),
                 2,
                 9999
             ),
             "\2C", , , ",", ,
         ),
     "<Existing ParentDistinguishedName>",
     )
     

     Esta expressão:

     • Usa uma UO padrão se a extensão estiver vazia.
     • Caso contrário, retira a porção CN e preserva o caminho parentDN, manipulando novamente vírgulas escapadas.

     Essa alteração causa uma sincronização completa e não afeta os grupos existentes. Teste a configuração do atributo GroupDN para um grupo existente usando o Microsoft Graph e certifique-se de que ele volte para a UO original.

   • Se não quiser preservar o caminho original da UO e as informações CN do local físico, em Contêiner de destino, selecione Editar mapeamento de atributos.

     1. Altere o tipo de mapeamento para Expressão.

     2. Na caixa de expressão, digite:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

     3. Altere o valor padrão para .OU=Groups,DC=contoso,DC=com

        

     4. Selecione Aplicar. O contêiner de destino muda dependendo do atributo displayName do grupo.

10. Você pode usar expressões personalizadas para garantir que o grupo seja recriado com o mesmo CN. Use a seguinte expressão para o valor CN:

    IIF(
        IsPresent([extension_<AppIdWithoutHyphens>_GroupDistinguishedName]),
        Replace(
            Replace(
                Replace(
                    Word(Replace([extension_<AppIdWithoutHyphens> _GroupDistinguishedName], "\,", , , "\2C", , ), 1, ","),
                    "CN=", , , "", ,
                ),
                "cn=", , , "", ,
            ),
            "\2C", , , ",", ,
        ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)),
    )
    

    Esta expressão:

    • Se a extensão estiver vazia, gerará um CN de fallback a partir do DisplayName + ObjectId.
    • Caso contrário, extrai o CN e substitui temporariamente as vírgulas escapadas por valores hexadecimais.

11. Selecione Guardar.

12. À esquerda, selecione Visão geral.

13. Na parte superior, selecione Rever e ativar.

14. À direita, selecione Ativar configuração.

Configuração de teste

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

2. Navegue até Entra ID>Entra Connect>Cloud sync.

   

3. Em Configuração, selecione sua configuração.

4. À esquerda, selecione Provisão sob demanda.

5. Insira Vendas na caixa Grupo selecionado .

6. Na seção Usuários selecionados , selecione alguns usuários para testar.

   

7. Selecione Provision.

8. Você deve ver o grupo provisionado.

Verificar no AD DS

Siga estas etapas para garantir que o grupo seja provisionado para o AD DS:

1. Entre em seu ambiente local.

2. Inicie Usuários e Computadores do Active Directory.

3. Verifique se o novo grupo está provisionado.

   

Provisionamento de grupo para o comportamento do AD DS para objetos convertidos em SOA

Quando você converte a SOA (Origem da Autoridade) em nuvem para um grupo local, esse grupo se torna elegível para provisionamento de grupo para AD DS.

Por exemplo, no diagrama a seguir, a SOA ou SOATestGroup1 é convertida para a nuvem. Como resultado, ele fica disponível para o escopo do trabalho no provisionamento de grupo para o AD DS.

• Quando um trabalho é executado, SOATestGroup1 é provisionado com êxito.

• Nos logs de provisionamento, você pode procurar SOATestGroup1 e verificar se o grupo foi provisionado.

  

• Os detalhes mostram que SOATestGroup1 foi correspondido com um grupo-alvo existente.

  

• Você também pode confirmar que adminDescription e cn do grupo-alvo estão atualizados.

  

• Ao examinar o AD DS, você pode descobrir que o grupo original está atualizado.

  

  

A nuvem ignora o provisionamento de objetos SOA convertidos para o ID do Microsoft Entra

Se você tentar editar um atributo de um grupo no AD DS depois de converter SOA para a nuvem, o Cloud Sync ignorará o objeto durante o provisionamento.

Digamos que temos um grupo SOAGroup3 e atualizamos seu nome de grupo para SOA Group3.1.

Nos logs de provisionamento, você pode ver que SOAGroup3 foi ignorado.

Os detalhes explicam que o objeto não é sincronizado porque sua SOA é convertida para a nuvem.

Tratamento de grupos aninhados e referências de associação

A tabela a seguir explica como o provisionamento lida com referências de associação depois de converter SOA em diferentes casos de uso.

Provisionamento de grupo para o comportamento do AD DS após reverter grupos convertidos em SOA

Se você tiver grupos convertidos em SOA no escopo e reverter o grupo convertido SOA para torná-lo pertencente ao AD DS, o provisionamento de grupo para AD DS interromperá a sincronização das alterações, mas não excluirá o grupo local. Ele também remove o grupo do escopo de configuração. O controle local do grupo é retomado no próximo ciclo de sincronização.

• Você pode verificar nos Logs de Auditoria se a sincronização não acontece para esse objeto porque ele é gerenciado localmente.

  

  Você também pode verificar no AD DS se o grupo ainda está intacto e não foi excluído.

  

Próximos passos

• Sincronização reversa de grupos com Microsoft Entra Cloud Sync
• Governar aplicativos locais baseados no AD DS (Kerberos) usando a Governança de ID do Microsoft Entra
• Migrar o write-back do grupo Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync