Partilhar via

Sincronização reversa de grupo com o Microsoft Entra Cloud Sync

Com o lançamento do agente de provisionamento 1.1.1370.0, a sincronização na nuvem agora tem a capacidade de executar write-back de grupo. Esse recurso significa que a sincronização na nuvem pode provisionar grupos diretamente para seu ambiente local do Ative Directory. Agora você também pode usar recursos de governança de identidade para controlar o acesso a aplicativos baseados em AD, como incluir um grupo em um pacote de acesso de gerenciamento de direitos.

Diagrama de write-back de grupo com sincronização na nuvem.

Importante

A visualização do Group Writeback v2 no Microsoft Entra Connect Sync foi preterida e não é mais suportada.

Você pode usar o Microsoft Entra Cloud Sync para provisionar grupos de segurança na nuvem para os Serviços de Domínio Ative Directory (AD DS) locais.

Se você usar o Group Writeback v2 no Microsoft Entra Connect Sync, deverá mover seu cliente de sincronização para o Microsoft Entra Cloud Sync. Para verificar se você está qualificado para mudar para o Microsoft Entra Cloud Sync, use o assistente de sincronização de usuário.

Se não conseguir utilizar o Microsoft Cloud Sync conforme recomendado pelo assistente, pode executar o Microsoft Entra Cloud Sync lado a lado com o Microsoft Entra Connect Sync. Nesse caso, você pode executar o Microsoft Entra Cloud Sync apenas para provisionar grupos de segurança na nuvem para o AD DS local.

Se você provisionar grupos do Microsoft 365 para AD DS, poderá continuar usando o Write-back de Grupo v1.

Provisionar ID do Microsoft Entra para Serviços de Domínio Ative Directory - Pré-requisitos

Os pré-requisitos a seguir são necessários para implementar grupos de provisionamento nos Serviços de Domínio Ative Directory (AD DS).

Requisitos de licença

O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para seus requisitos, consulte Comparar recursos geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Conta do Microsoft Entra com, pelo menos, uma função de Administrador de Identidade Híbrida.
  • Esquema do AD DS local com o atributo msDS-ExternalDirectoryObjectId , disponível no Windows Server 2016 e posterior.
  • Agente de provisionamento com compilação versão 1.1.3730.0 ou posterior.

Nota

As permissões para a conta de serviço são atribuídas apenas durante a instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:

$credential = Get-Credential  

Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará atribuir Ler, Gravar, Criar e Excluir todas as propriedades para todos os grupos descendentes e objetos de usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte Cmdlets do agente de provisionamento do Microsoft Entra gMSA PowerShell.

  • O agente de provisionamento deve ser instalado em um servidor que execute o Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para a pesquisa do Catálogo Global filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com compilação versão 2.22.8.0
    • Necessário para suportar a associação de usuário local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para grupos de aprovisionamento no Active Directory

O desempenho da funcionalidade de Provisão de Grupo para o Active Directory é afetado pelo tamanho do locatário e pelo número de grupos e associações incluídas no âmbito para provisionamento no Active Directory. Esta secção fornece orientações sobre como determinar se o GPAD corresponde ao seu requisito de escala e como escolher o modo certo de avaliação de grupos para alcançar ciclos de sincronização inicial e delta mais rápidos.

O que não é suportado?

  • Grupos com mais de 50 mil membros não são suportados.
  • A utilização do âmbito "Todos os grupos de segurança" sem aplicar filtragem de escopo de atributos não é suportada.

Limites de escala

Modo de Delimitação Número de grupos dentro do âmbito Número de ligações de membros (apenas membros diretos) Observações
Modo "Grupos de segurança selecionados" Até 10 mil grupos. O painel CloudSync no portal Microsoft Entra só permite selecionar até 999 grupos, bem como mostrar até 999 grupos. Se precisar de adicionar mais de 1000 grupos ao âmbito, veja: Seleção expandida de grupos via API. Até 250 mil membros no total, em todos os grupos abrangidos. Use este modo de definição de âmbito se o seu inquilino exceder QUALQUER um destes limites
1. O inquilino tem mais de 200 mil utilizadores
2. O inquilino tem mais de 40 mil grupos
3. O inquilino tem mais de 1 milhão de membros de grupos.
Modo "Todos os grupos de segurança" com pelo menos um filtro de escopo de atributos. Até 20 mil grupos. Até 500 mil membros no total, em todos os grupos em questão. Use este modo de definição de âmbito se o seu inquilino cumprir TODOS os limites abaixo:
1. O inquilino tem menos de 200 mil utilizadores
2. O arrendatário tem menos de 40 mil grupos
3. O inquilino tem menos de 1 milhão de filiações a grupos.

O que fazer se ultrapassar os limites

Ultrapassar os limites recomendados vai abrandar a sincronização inicial e delta, podendo causar erros de sincronização. Se isto acontecer, siga estes passos:

Demasiados grupos ou membros de grupo no modo de delimitação 'Grupos de segurança selecionados':

Reduza o número de grupos dentro do âmbito (focando em grupos de maior valor) ou divida o provisionamento em vários trabalhos distintos com âmbitos disjuntos.

Demasiados grupos ou membros de grupo no modo de escopo 'Todos os grupos de segurança':

Utilize o modo de âmbito Selecionar grupos de segurança como recomendado.

Alguns grupos ultrapassam os 50 mil membros:

Dividir a membresia entre vários grupos ou adotar grupos em etapas (por exemplo, por região ou unidade de negócio) para manter cada grupo abaixo do limite.

Seleção alargada de grupos via API

Se precisar de selecionar mais de 999 grupos, deve usar a chamada à API Grant an appRoleAssignment for a service principal.

Um exemplo das chamadas API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: ID do objeto do grupo.
  • resourceId: ID principal de serviço do trabalho.
  • appRoleId: Identificador do papel da aplicação exposto pelo principal do serviço de recursos.

A tabela seguinte apresenta uma lista de IDs de Funções de Aplicação para Clouds:

Nuvem appRoleId
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Mais informações

Aqui estão mais pontos a considerar ao fornecer grupos para o AD DS.

  • Os grupos provisionados para o AD DS usando o Cloud Sync só podem conter usuários sincronizados no local ou outros grupos de segurança criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD DS de destino.
  • Um atributo objectGUID de usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário de nuvem usando qualquer cliente de sincronização.
  • Somente locatários globais do Microsoft Entra ID podem provisionar do Microsoft Entra ID para o AD DS. Inquilinos como B2C não são suportados.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários Suportados para Writeback de Grupos com o Microsoft Entra Cloud Sync

As seções a seguir descrevem os cenários suportados para write-back de grupo com o Microsoft Entra Cloud Sync.

Migrar a funcionalidade de escrita em grupos do Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync

Cenário: Migre o write-back de grupo usando o Microsoft Entra Connect Sync (anteriormente Azure AD Connect) para o Microsoft Entra Cloud Sync. Este cenário é apenas para clientes que estão usando o write-back de grupo do Microsoft Entra Connect v2. O processo descrito neste documento refere-se apenas a grupos de segurança criados na nuvem que são escritos novamente com um escopo universal. Não há suporte para grupos habilitados para email e listas de distribuição (DLs) escritos novamente usando o write-back de grupo V1 ou V2 do Microsoft Entra Connect.

Para mais informações, consulte Migrar retorno do grupo do Microsoft Entra Connect Sync V2 para o Microsoft Entra Cloud Sync.

Governar aplicativos locais baseados no Ative Directory (Kerberos) usando o Microsoft Entra ID Governance

Cenário: Gerencie aplicativos locais com grupos do Ative Directory que são provisionados e gerenciados na nuvem. O Microsoft Entra Cloud Sync permite que você controle totalmente as atribuições de aplicativos no AD enquanto aproveita os recursos de Governança de ID do Microsoft Entra para controlar e corrigir quaisquer solicitações relacionadas ao acesso.

Para obter mais informações, consulte Governar aplicativos locais baseados no Ative Directory (Kerberos) usando a Governança de ID do Microsoft Entra.

Próximos passos

  • Last updated on