Tutorial - Disponibilizar grupos para Active Directory Domain Services usando o Microsoft Entra Cloud Sync

Este tutorial explica-te como configurar o Cloud Sync para sincronizar grupos com o Active Directory Domain Services (AD DS) on-premiss.

Importante

Recomendamos o uso de grupos de segurança selecionados como o filtro de escopo padrão ao configurar o provisionamento de grupo para o AD DS. Esse filtro de escopo padrão ajuda a evitar problemas de desempenho ao provisionar grupos.

Provisionar Microsoft Entra ID para Active Directory Domain Services - Pré-requisitos

São necessários os seguintes pré-requisitos para implementar grupos de provisionamento para o Active Directory Domain Services (AD DS).

Requisitos de licença

A utilização desta funcionalidade requer licenças Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, consulte Compare as funcionalidades geralmente disponíveis do Microsoft Entra ID.

Requisitos gerais

  • Microsoft Entra conta com pelo menos uma função Hybrid Identity Administrator.
  • Esquema AD DS on-premises com o atributo msDS-ExternalDirectoryObjectId, disponível em Windows Server 2016 e posteriores.
  • Agente de provisionamento com a versão de compilação 1.1.1373.0 ou posterior.

Nota

As permissões para a conta de serviço são atribuídas somente durante uma instalação limpa. Se você estiver atualizando da versão anterior, as permissões precisarão ser atribuídas manualmente usando o PowerShell:

$credential = Get-Credential  

Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential

Se as permissões forem definidas manualmente, você precisará atribuir Ler, Gravar, Criar e Excluir todas as propriedades para todos os grupos descendentes e objetos de usuário.

Essas permissões não são aplicadas a objetos AdminSDHolder por padrão. Para obter mais informações, consulte Microsoft Entra provisioning agent gMSA PowerShell cmdlets.

  • O agente de provisionamento deve estar instalado num servidor que execute Windows Server 2022, Windows Server 2019 ou Windows Server 2016.
  • O agente de provisionamento deve ser capaz de se comunicar com um ou mais controladores de domínio nas portas TCP/389 (LDAP) e TCP/3268 (Catálogo Global).
    • Necessário para a pesquisa do Catálogo Global filtrar referências de associação inválidas
  • Microsoft Entra Connect Sync com a versão de compilação 2.2.8.0
    • Exigido para suportar a adesão de utilizador local sincronizada usando o Microsoft Entra Connect Sync
    • Necessário para sincronizar AD DS:user:objectGUID com AAD DS:user:onPremisesObjectIdentifier

Limites de escala para aprovisionamento de grupos para o Active Directory

O desempenho da funcionalidade de Provisão de Grupo para o Active Directory é afetado pelo tamanho do inquilino e pelo número de grupos e membros que estão no âmbito da provisão para o Active Directory. Esta secção fornece orientações sobre como determinar se o GPAD corresponde ao seu requisito de escala e como escolher o modo certo de avaliação de grupos para alcançar ciclos de sincronização inicial e delta mais rápidos.

O que não é suportado?

  • Grupos com mais de 50 mil membros não são suportados.
  • A utilização do âmbito "Todos os grupos de segurança" sem aplicar filtragem de escopo de atributos não é suportada.

Limites de escala

Modo de Definição de Escopo Número de grupos dentro do âmbito Número de ligações de membros (apenas membros diretos) Observações
Modo "Grupos de segurança selecionados" Até 10 mil grupos. O painel CloudSync no portal Microsoft Entra permite apenas selecionar até 999 grupos, bem como mostrar até 999 grupos. Se precisar de adicionar mais de 1000 grupos ao âmbito, veja: Seleção expandida de grupos via API. Até 250 mil membros no total, em todos os grupos abrangidos. Use este modo de definição de âmbito se o seu inquilino exceder QUALQUER um destes limites
1. O inquilino tem mais de 200 mil utilizadores
2. O inquilino tem mais de 40 mil grupos
3. O inquilino tem mais de 1 milhão de membros de grupos.
Modo "Todos os Grupos de Segurança" com pelo menos um filtro de âmbito de atributos. Até 20 mil grupos. Até 500 mil membros no total, em todos os grupos em questão. Use este modo de definição de âmbito se o seu locatário cumprir TODOS os limites abaixo mencionados.
1. O inquilino tem menos de 200 mil utilizadores
2. O inquilino tem menos de 40 mil grupos
3. O inquilino tem menos de 1 milhão de filiações a grupos.

O que fazer se ultrapassar os limites

Ultrapassar os limites recomendados vai abrandar a sincronização inicial e delta, podendo causar erros de sincronização. Se isto acontecer, siga estes passos:

Demasiados grupos ou membros de grupo no modo de definição de âmbito 'Grupos de segurança selecionados':

Reduza o número de grupos dentro do âmbito (focando em grupos de maior valor) ou divida o provisionamento em vários trabalhos distintos com âmbitos disjuntos.

Demasiados grupos ou membros de grupo no modo de alcance ‘Todos os grupos de segurança’.

Use o modo de escopo dos grupos de segurança selecionados, conforme recomendado.

Alguns grupos ultrapassam os 50 mil membros:

Dividir a membresia entre vários grupos ou adotar grupos em etapas (por exemplo, por região ou unidade de negócio) para manter cada grupo abaixo do limite.

Seleção alargada de grupos via API

Se precisar de selecionar mais de 999 grupos, deve usar a chamada à API Grant an appRoleAssignment for a service principal.

Um exemplo das chamadas API é o seguinte:

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json

{
  "principalId": "",
  "resourceId": "",
  "appRoleId": ""
}

where:

  • principalId: ID do objeto do grupo.
  • resourceId: ID principal de serviço do Job.
  • appRoleId: Identificador do papel da aplicação exposto pelo principal do serviço de recursos.

A tabela seguinte apresenta uma lista de IDs de Funções de Aplicação para nuvens:

Nuvem appRoleId
Public 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f
AzureUSGovernment d8fa317e-0713-4930-91d8-1dbeb150978f
AzureUSNatCloud 50a55e47-aae2-425c-8dcb-ed711147a39f
AzureUSSecCloud 52e862b9-0b95-43fe-9340-54f51248314f

Mais informações

Aqui estão mais pontos a considerar ao fornecer grupos para o AD DS.

  • Os grupos provisionados para o AD DS usando o Cloud Sync só podem conter usuários sincronizados no local ou outros grupos de segurança criados na nuvem.
  • Esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD DS de destino.
  • Um atributo objectGUID de usuário local pode ser sincronizado com um atributo onPremisesObjectIdentifier de usuário de nuvem usando qualquer cliente de sincronização.
  • Apenas os tenants globais do Microsoft Entra ID podem fazer provisionamento do Microsoft Entra ID para o AD DS. Locatários como B2C não têm suporte.
  • O trabalho de provisionamento de grupo está agendado para ser executado a cada 20 minutos.

Cenários SOA de Grupo e Utilizador

Caso de uso Tipo de grupo pai Tipo de grupo de utilizadores Direção Sincronizada Como funciona a sincronização
Um grupo de segurança cuja SOA está na cloud e no qual todos os membros utilizadores têm SOA nas instalações Grupo de segurança cuja SOA está na cloud Utilizadores cuja SOA é on-premises Entrada para AD (AAD2ADGroup provisioning) O trabalho fornece ao grupo-mãe todas as suas referências de membros (utilizadores membros).
Um grupo de segurança cuja SOA está na cloud e todos os membros utilizadores têm SOA na cloud Grupo de segurança cuja SOA está na cloud Utilizadores cuja SOA está na cloud Entrada para AD (AAD2ADGroup provisioning) O trabalho prevê o grupo de segurança, mas não fornece referências de membros.
Um grupo de segurança cujo SOA está na cloud e alguns membros utilizadores têm SOA na cloud, enquanto outros têm o SOA no local Grupo de segurança cuja SOA está na cloud Alguns utilizadores têm SOA na cloud enquanto outros têm SOA on-premises Entrada para AD (AAD2ADGroup provisioning) O cargo prevê o grupo de segurança e inclui apenas referências de membros cuja SOA seja on-premises. Ignora referências de membros cujo SOA está na cloud.
Um grupo de segurança cuja SOA está na cloud e não tem membros utilizadores Grupo de segurança cuja SOA está na cloud Sem membros utilizadores Entrada para AD (AAD2ADGroup provisioning) O trabalho fornece o grupo de segurança (membros vazios).
Um grupo de segurança cujo SOA está no local e todos os membros têm SOA no local Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Utilizadores cuja SOA é on-premises Entrada para AD (AAD2ADGroup provisioning) O trabalho não fornece o grupo de segurança.
Um grupo de segurança cujo SOA está no local e todos os utilizadores têm SOA na cloud Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Utilizadores cuja SOA está na cloud Entrada para AD (AAD2ADGroup provisioning) O trabalho não fornece o grupo de segurança.
Um grupo de segurança cuja SOA está nas instalações e alguns utilizadores têm SOA na cloud, enquanto outros têm SOA nas instalações. Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Alguns utilizadores têm SOA na cloud enquanto outros têm SOA on-premises Entrada para AD (AAD2ADGroup provisioning) O trabalho não fornece o grupo de segurança.
Um grupo de segurança cujo SOA está no local e todos os membros têm SOA no local Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Utilizadores cuja SOA é on-premises AD para Entra (AD2AADprovisioning) O trabalho fornece ao grupo de segurança todas as suas referências de membros (utilizadores membros).
Um grupo de segurança cujo SOA está no local e todos os utilizadores têm SOA na cloud Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Utilizadores cuja SOA está na cloud AD para Entra (AD2AADprovisioning) O trabalho fornece ao grupo de segurança todas as suas referências de membros (utilizadores membros). Assim, referências de membros cuja SOA é convertida para cloud para estes grupos on-premises também serão sincronizadas.
Um grupo de segurança cuja SOA está on-premises e alguns utilizadores têm SOA na cloud , enquanto outros têm SOA on-premises Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Alguns utilizadores têm SOA na cloud enquanto outros têm SOA on-premises AD para Entra (AD2AADprovisioning) O trabalho fornece ao grupo-mãe todas as suas referências de membros (utilizadores membros). Assim, referências de membros cuja SOA é convertida para cloud para estes grupos on-premises também serão sincronizadas.
Um grupo de segurança cujo SOA está no local e não tem membros utilizadores Grupo de segurança cuja Arquitetura Orientada a Serviços (SOA) está localmente Sem membros utilizadores AD para Entra (AD2AADprovisioning) O trabalho fornece o grupo de segurança (membros vazios).
Um grupo de segurança cuja SOA está na cloud e no qual todos os membros utilizadores têm SOA nas instalações Grupo de segurança cuja SOA é a cloud Utilizadores cuja SOA é on-premises AD para Entra (AD2AADprovisioning) O trabalho não fornece o grupo de segurança.
Um grupo de segurança cuja SOA está na cloud e todos os membros utilizadores têm SOA na cloud Grupo de segurança cuja SOA é a cloud Utilizadores cuja SOA está na cloud AD para Entra (AD2AADprovisioning) O trabalho não fornece o grupo de segurança.
Um grupo de segurança cujo SOA está na cloud e alguns utilizadores têm SOA na cloud, enquanto outros têm SOA localmente Grupo de segurança cuja SOA é a cloud Alguns utilizadores têm SOA na cloud enquanto outros têm SOA on-premises AD para Entra (AD2AADprovisioning) O trabalho não fornece o grupo de segurança.

Suposições

Este tutorial pressupõe:

  • Você tem um ambiente local do AD DS

  • Tem configurada a sincronização na cloud para sincronizar os utilizadores para o Microsoft Entra ID.

  • Você tem dois usuários que estão sincronizados: Britta Simon e Lola Jacobson. Estes utilizadores existem nas instalações e no Microsoft Entra ID.

  • Uma unidade organizacional (UO) é criada no AD DS para cada um dos seguintes departamentos:

    Nome de exibição Nome distinto
    Marketing OU=Marketing,DC=contoso,DC=com
    Sales OU=Vendas,DC=contoso,DC=com
    Grupos OU=Grupos,DC=contoso,DC=com

Adicionar usuários a grupos de segurança nativos da nuvem ou convertidos em SOA (Source of Authority)

Para adicionar utilizadores sincronizados, siga estes passos:

Nota

Somente as referências de membro de usuário sincronizadas são provisionadas para o AD DS.

  1. Inicia sessão no centro de administração Microsoft Entra pelo menos como Hybrid Identity Administrator.
  2. Navegue até Entra ID>Grupos>Todos os grupos.
  3. Na parte superior, na caixa de pesquisa, digite Vendas.
  4. Selecione o novo grupo Vendas .
  5. À esquerda, selecione Membros.
  6. Na parte superior, selecione Adicionar membros.
  7. No topo, na caixa de pesquisa, digite Britta Simon.
  8. Marque ao lado de Britta Simon e selecione Selecionar.
  9. Ele deve adicionar com êxito o usuário ao grupo.
  10. Na extremidade esquerda, selecione Todos os grupos. Repita esse processo usando o grupo Sales e adicione Lola Jacobson a esse grupo.

Preparar grupos convertidos em SOA para provisionamento para seu caminho de unidade organizacional (UO) original

Complete estes passos para preparar os grupos que planeia converter para serem geridos na cloud para o provisionamento a partir do Microsoft Entra ID de volta ao seu caminho original de OU nos Serviços de Domínio do Active Directory (AD DS) no local:

  1. Altere o escopo do grupo AD DS para Universal.
  2. Crie um aplicativo especial.
  3. Crie a propriedade de extensão de diretório para grupos.

Alterar o escopo dos grupos do AD DS para Universal

  1. Abra o Active Directory Administrative Center.
  2. Clique com o botão direito do rato num grupo, clique em Propriedades.
  3. Na seção Grupo , selecione Universal como o escopo do grupo.
  4. Clique em Salvar.

Criar a extensão

O Cloud Sync suporta apenas extensões criadas em um aplicativo especial chamado CloudSyncCustomExtensionsApp. Se o aplicativo não existir em seu locatário, você deverá criá-lo. Esta etapa é executada uma vez por locatário.

Para obter mais informações sobre como criar a extensão, consulte Extensões de diretório de sincronização na nuvem e mapeamento de atributos personalizados.

  1. Abra uma janela elevada do PowerShell e execute os seguintes comandos para instalar módulos e conectar:

    Install-Module Microsoft.Graph -Scope CurrentUser -Force 
Connect-MgGraph -Scopes "Application.ReadWrite.All","Directory.ReadWrite.All","Directory.AccessAsUser.All"

  2. Verifique se o aplicativo existe. Se isso não acontecer, crie-o. Certifique-se também de que uma entidade de serviço esteja presente.

    $tenantId = (Get-MgOrganization).Id 
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
if (-not $app) { 
  $app = New-MgApplication -DisplayName "CloudSyncCustomExtensionsApp" -IdentifierUris "API://$tenantId/CloudSyncCustomExtensionsApp" 
} 
$app

$sp = Get-MgServicePrincipal -Filter "AppId eq '$($app.AppId)'" 
if (-not $sp) { 
  $sp = New-MgServicePrincipal -AppId $app.AppId 
}
$sp

  3. Agora adicione uma propriedade de extensão de diretório chamada GroupDN. Este será um atributo string disponível em objetos de grupo.

    New-MgApplicationExtensionProperty `
  -ApplicationId $app.Id `
  -Name "GroupDN" `
  -DataType "String" `
  -TargetObjects Group

Para obter mais informações sobre como criar a propriedade de extensão de diretório para grupos, consulte Extensões de diretório de sincronização na nuvem e mapeamento de atributos personalizados.

Configurar o mapeamento de atributos do Cloud Sync

Em seguida, instrua o Cloud Sync a preencher esta propriedade de extensão com o Nome Distinto do grupo do Active Directory (DN). Esta etapa garante que a informação original da OU e CN seja preservada no Microsoft Entra ID.

  1. Abra o centro de administração do Microsoft Entra >Entra ID>Entra Connect>Sincronização na Nuvem.
  2. Selecione a configuração de AD para Microsoft Entra ID.
  3. Vá para Mapeamentos de atributos.
  4. Na parte superior, alterne Tipo de objeto para Grupo.
  5. Adicione um novo mapeamento de atributos.
    • Tipo de mapeamento: Direto
    • Atributo de origem: distinguishedName (DN do grupo no local)
    • Atributo alvo: extension_<appIdWithoutHyphens>_GroupDN
  6. Salve o esquema para acionar uma sincronização.

Ao mapear distinguishedName diretamente, você captura o DN completo do grupo (caminho CN + UO) na propriedade extension, facilitando a reconstrução posterior de CN e UO ao provisionar de volta para AD.

Verifique se o mapeamento funcionou

Depois de a sincronização ter sido executada, deverá verificar se a propriedade de extensão está preenchida com o DN. Use o Microsoft Graph PowerShell:

$groupDisplayName = 'My Security Group'
$clientId = $app.AppId
$propName = "extension_{0}_GroupDN" -f ($clientId -replace "-","")
$grp = Get-MgGroup -Filter "displayName eq '$groupDisplayName'" -ConsistencyLevel eventual
Get-MgGroup -GroupId $grp.Id -Property "id,displayName,$propName" |
  Select-Object id, displayName, @{n=$propName; e={$_."$propName"}}

Este comando retorna o grupo com o seu DN armazenado na propriedade de extensão. Você também pode testar usando o Graph Explorer consultando:

GET /v1.0/groups/{id}?$select=displayName,extension_<appIdNoHyphens>_GroupDN

Converter fonte de autoridade (SOA)

Depois de validar que o DN está armazenado na extensão, pode converter a fonte de autoridade do grupo para Microsoft Entra ID. Essa alteração torna o grupo gerenciado na nuvem, preservando seu DN original na extensão para uso posterior no provisionamento de grupo para AD DS.

Configurar o provisionamento

Para configurar o provisionamento, siga estas etapas:

  1. Inicia sessão no centro de administração Microsoft Entra pelo menos como Hybrid Identity Administrator.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

    Captura de ecrã que mostra a página inicial do Microsoft Entra Connect Cloud Sync.

  1. Selecione Nova configuração.

  2. Seleciona Microsoft Entra ID para sincronizar AD.

    Captura de tela da seleção de configuração.

  3. No ecrã de configuração, selecione o seu domínio. Selecione Criar.

    Captura de ecrã de uma nova configuração.

  4. A tela Introdução é aberta. A partir daqui, você pode continuar a configurar a sincronização na nuvem.

  5. À esquerda, selecione Filtros de escopo.

    Página de Resumo de Capturas de Ecrã.

  6. Para Escopo de grupos, selecione Grupos de segurança selecionados.

    Captura de tela das seções de filtros de escopo.

  7. Existem três abordagens possíveis para definir a OU alvo onde os grupos são provisionados:

    • Pode usar um mapeamento constante da OU para provisionar todos os grupos na mesma OU:

      1. Em Contentor de Destino, selecione Editar mapeamento de atributos.

      2. Para valor Constante, introduza o DistinguishedName para a OU alvo.

        Captura de ecrã da configuração da OU alvo.

      3. Selecione Aplicar.

      4. Selecione Guardar.

    • Pode usar expressões personalizadas para garantir que o grupo é recriado com a mesma OU. Esta expressão pode remover a porção CN do DN do Grupo e preservar o caminho do DN pai, lidar com vírgulas escapadas, e fornecer uma OU padrão se o valor da extensão estiver vazio. Use a seguinte expressão para ParentDistinguishedName mapeamento, adaptando a expressão de exemplo, ou executando o script PowerShell para gerar a expressão final.

      Nota

      Esta expressão assume que já criou uma propriedade de extensão para o GroupDN. Se não, por favor faça isso primeiro antes de usar a expressão de exemplo ou executar o script.

      1. A partir da seguinte expressão de exemplo, substitua as variáveis pelos respetivos valores do nome do atributo de extensão extension_<AppIdWithoutHyphens>_GroupDN. Para a sua OU alvo predefinida (caso o valor da extensão seja NULL), substitua o <Default ParentDistinguishedName> :
      IIF(
    IsPresent([extension_<AppIdWithoutHyphens>_GroupDN]),
    Replace(
        Mid(
            Mid(
                Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ),
                Instr(Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
"<Default ParentDistinguishedName>"
)
      1. Ou, fornecer o valor do $defaultGroupOU parâmetro e executar o script para gerar a expressão final como ficheiro de texto:
      # Provide the Default OU for groups that don't have the GroupDN extension populated.
$defaultGroupOU = 'OU=Groups,OU=SYNC,DC=adatum,DC=com'

# Get the extension name
$tenantId = (Get-MgOrganization).Id
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
$ext = Get-MgApplicationExtensionProperty -ApplicationId $app.Id | Where-Object { $_.Name -like '*GroupDN' }
$groupDN_extension = $ext.Name
"GroupDN extension name: $groupDN_extension"

# Sample expression
$groupDN_expression = @'
IIF(
IsPresent([{groupDN_extension}]),
    Replace(
        Mid(
            Mid(
                Replace([{groupDN_extension}], "\,", , , "\2C", , ),
                Instr(Replace([{groupDN_extension}], "\,", , , "\2C", , ), ",", , ),
                9999
            ),
            2,
            9999
        ),
        "\2C", , , ",", ,
    ),
    "{defaultGroupOU}"
)
'@

# Generate the expression by replacing the placeholders with actual values
$groupDN_expression -replace ('{groupDN_extension}', $groupDN_extension) -replace ('{defaultGroupOU}', $defaultGroupOU) | 
    Out-File -FilePath '.\GroupDN_expression.txt' -Encoding utf8
&'.\GroupDN_expression.txt'
      1. Altere o tipo de mapeamento para Expressão.
      2. Na caixa de expressão, insira a expressão atualizada e selecione Aplicar.
      3. Selecione Guardar.

    • Se quiser colocar grupos em diferentes unidades organizacionais com base no seu DisplayName:

      1. Adapte a expressão seguinte e coloque-a na caixa de expressão:

        Switch([displayName],"OU=Groups,DC=contoso,DC=com","Marketing","OU=Marketing,DC=contoso,DC=com","Sales","OU=Sales,DC=contoso,DC=com")

      2. Atualize o valor predefinido para ser a OU predefinida como alvo, por exemplo, OU=Groups,DC=contoso,DC=com.

        Captura de tela de como alterar o valor padrão da UO.

      3. Selecione Aplicar. O contêiner de destino muda dependendo do atributo displayName do grupo.

      4. Selecione Guardar.

      Nota

      Estas mudanças causam uma sincronização total e não afetam os grupos existentes. Teste a definição do atributo GroupDN para um grupo existente usando o Microsoft Graph e certifique-se de que ele escreve de volta na OU original.

  8. Pode usar uma expressão personalizada para garantir que o grupo é recriado com o mesmo CommonName (CN). Esta expressão pode extrair o valor CN, lidando com vírgulas escapadas ao substituí-las temporariamente por valores hexadecimais, e fornecer um CN de reserva a partir do DisplayName + ObjectId se a extensão estiver vazia. Use a seguinte expressão para cn mapeamento, adaptando a expressão de exemplo, ou executando o script PowerShell para gerar a expressão final.

    Nota

    Esta expressão assume que já criou uma propriedade de extensão para o GroupDN. Se não, faça isso primeiro antes de usar a expressão de exemplo ou executar o script.

    1. Se quiser adaptar uma expressão de exemplo, substitua os marcadores de lugar pelos valores correspondentes para o nome do atributo de extensão extension_<AppIdWithoutHyphens>_GroupDN.
    IIF(
   IsPresent([extension_<AppIdWithoutHyphens>_GroupDN]),
       Replace(
           Replace(
               Replace(
                   Word(Replace([extension_<AppIdWithoutHyphens>_GroupDN], "\,", , , "\2C", , ), 1, ","),
                   "CN=", , , "", ,
               ),
               "cn=", , , "", ,
           ),
           "\2C", , , ",", ,
       ),
   Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))
)
    1. Ou, se quiseres usar um script Microsoft Graph PowerShell:
    # Get the extension name
$tenantId = (Get-MgOrganization).Id
$app = Get-MgApplication -Filter "identifierUris/any(uri:uri eq 'API://$tenantId/CloudSyncCustomExtensionsApp')" 
$ext = Get-MgApplicationExtensionProperty -ApplicationId $app.Id | Where-Object { $_.Name -like '*GroupDN' }
$groupDN_extension = $ext.Name
"GroupDN extension name: $groupDN_extension"

# Sample expression
$groupCN_expression = @'
IIF(
    IsPresent([{groupDN_extension}]),
    Replace(
        Replace(
            Replace(
                Word(Replace([{groupDN_extension}], "\,", , , "\2C", , ), 1, ","),
                "CN=", , , "", ,
            ),
            "cn=", , , "", ,
        ),
        "\2C", , , ",", ,
    ),
    Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))
)
'@

# Generate the expression by replacing the placeholders with actual values
$groupCN_expression -replace ('{groupDN_extension}', $groupDN_extension) | 
    Out-File -FilePath '.\GroupCN_expression.txt' -Encoding utf8
&'.\GroupCN_expression.txt'
    1. Vai a Mapeamento de Atributos.
    2. Editar o cn mapeamento de atributos.
    3. Altere o tipo de mapeamento para Expressão.
    4. Na caixa de expressão, insira a expressão atualizada e selecione Aplicar.
    5. Selecione Salvar esquema.

  9. À esquerda, selecione Visão geral.

  10. Na parte superior, selecione Rever e ativar.

  11. À direita, selecione Ativar configuração.

Configuração de teste

Nota

Quando você executa o provisionamento sob demanda, os membros não são provisionados automaticamente. Você precisa selecionar os membros que deseja testar, e o limite é de cinco membros. Se quiser testar após remover um membro, selecione Ver todos os utilizadores e depois selecione o(s) membro(s) que foram removidos do grupo.

  1. Inicia sessão no centro de administração Microsoft Entra pelo menos como Hybrid Identity Administrator.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

    Captura de ecrã que mostra a página inicial do Microsoft Entra Connect Cloud Sync.

  1. Em Configuração, selecione sua configuração.

  2. À esquerda, selecione Provisão sob demanda.

  3. Insira Vendas na caixa Grupo selecionado .

  4. Na seção Usuários selecionados , selecione alguns usuários para testar.

    Captura de ecrã a mostrar a adição de membros.

  5. Selecione Provision.

  6. Você deve ver o grupo provisionado.

Captura de ecrã do provisionamento bem-sucedido a pedido.

Verificar no AD DS

Siga estas etapas para garantir que o grupo seja provisionado para o AD DS:

  1. Entre em seu ambiente local.

  2. Inicie Active Directory Users and Computers.

  3. Verifique se o novo grupo está provisionado.

    Captura de ecrã do grupo recém-provisionado.

Provisionamento de grupo para o comportamento do AD DS para objetos convertidos em SOA

Quando você converte a Origem da Autoridade (SOA) para a nuvem em um grupo local, esse grupo se torna elegível para o provisionamento de grupo no AD DS.

Por exemplo, no diagrama a seguir, a SOA ou SOATestGroup1 é convertida para a nuvem. Como resultado, ele fica disponível para o escopo do trabalho no provisionamento de grupo para o AD DS.

Captura de tela do trabalho no escopo.

  • Quando um trabalho é executado, SOATestGroup1 é provisionado com êxito.

  • Nos logs de provisionamento, você pode procurar SOATestGroup1 e verificar se o grupo foi provisionado.

    Captura de ecrã de logs de provisionamento.

  • Os detalhes mostram que SOATestGroup1 foi associado a um grupo-alvo existente.

    Captura de ecrã dos atributos correspondentes.

  • Você também pode confirmar que adminDescription e cn do grupo-alvo estão atualizados.

    Captura de tela de atributos atualizados.

  • Ao examinar o AD DS, você pode descobrir que o grupo original está atualizado.

    Captura de ecrã do grupo atualizado.

    Captura de ecrã das propriedades do grupo.

A cloud ignora o provisionamento de objetos SOA convertidos para o Microsoft Entra ID

Se você tentar editar um atributo de um grupo no AD DS depois de converter SOA para a nuvem, o Cloud Sync ignorará o objeto durante o provisionamento.

Digamos que temos um grupo SOAGroup3 e atualizamos seu nome de grupo para SOA Group3.1.

Captura de ecrã de uma atualização do nome do objeto.

Nos logs de provisionamento, você pode ver que SOAGroup3 foi ignorado.

Captura de ecrã de um objeto ignorado.

Os detalhes explicam que o objeto não é sincronizado porque sua SOA é convertida para a nuvem.

Captura de ecrã de uma sincronização bloqueada.

Tratamento de grupos aninhados e referências de membros

A tabela a seguir explica como o provisionamento lida com referências de associação após a conversão de SOA em diferentes situações de aplicação.

Caso de uso Tipo de grupo pai Tipo de grupo de membros Tarefa Como funciona a sincronização
Um grupo de segurança da Microsoft Entra tem apenas membros da Microsoft Entra. Grupo de segurança Microsoft Entra Grupo de segurança Microsoft Entra AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho configura o grupo principal com todas as suas referências de grupos membros.
Um grupo de segurança principal da Microsoft Entra tem alguns membros que são grupos sincronizados. Grupo de segurança Microsoft Entra Grupos de segurança do AD DS (grupos sincronizados) AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho provisiona o grupo principal, mas todas as referências de membros (grupos de membros) que são grupos do AD DS não são provisionadas.
Um grupo de segurança pai da Microsoft Entra tem alguns membros que são grupos sincronizados cujo SOA é convertido para cloud. Grupo de segurança Microsoft Entra Grupos de segurança do AD DS cuja SOA é convertida em nuvem. AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho configura o grupo principal com todas as suas referências de grupos membros.
Você converte a SOA de um grupo sincronizado (pai) que tem grupos controlados pela nuvem como membros. Grupos de segurança do AD DS com SOA convertida em nuvem Grupo de segurança Microsoft Entra AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho configura o grupo principal com todas as suas referências de grupos membros.
Você converte a SOA de um grupo sincronizado (grupo pai) que tem outros grupos sincronizados como seus membros. Grupos de segurança do AD DS com SOA convertida em nuvem Grupos de segurança do AD DS (grupos sincronizados) AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho provisiona o grupo pai, mas todas as referências de grupos membros, que são grupos de segurança dos Serviços de Domínio Active Directory, não são provisionadas.
Você converte a SOA de um grupo sincronizado (pai) cujos membros são outros grupos sincronizados que têm SOA convertido em nuvem. Grupos de segurança do AD DS com SOA convertida em nuvem Grupos de segurança do AD DS com SOA convertida em nuvem AAD2ADGroupProvisioning (provisionamento de grupo para AD DS) O trabalho configura o grupo principal com todas as suas referências de grupos membros.

Provisionamento de grupo para o comportamento do AD DS após reverter grupos convertidos em SOA

Se você tiver grupos convertidos em SOA no escopo e reverter o grupo convertido SOA para torná-lo pertencente ao AD DS, o provisionamento de grupo para AD DS interromperá a sincronização das alterações, mas não excluirá o grupo local. Ele também remove o grupo do escopo de configuração. O controle local do grupo é retomado no próximo ciclo de sincronização.

  • Você pode verificar nos Logs de Auditoria se a sincronização não acontece para esse objeto porque ele é gerenciado localmente.

    Captura de ecrã dos detalhes do registo de auditoria.

    Você também pode verificar no AD DS se o grupo ainda está intacto e não foi excluído.

    Captura de ecrã de Utilizadores e Computadores.

Próximos passos

  • Last updated on