Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Con el lanzamiento del agente de aprovisionamiento 1.1.1370.0, la sincronización en la nube ahora tiene la capacidad de reescribir grupos. Esta característica significa que la sincronización en la nube puede aprovisionar grupos directamente en el entorno local de Active Directory. Ahora también puede usar características de gobernanza de identidades para controlar el acceso a aplicaciones basadas en AD, como incluir un grupo en un paquete de acceso de administración de derechos.
Importante
La versión preliminar de Writeback de grupo v2 en Microsoft Entra Connect Sync está obsoleta y ya no se admite.
Puede usar Microsoft Entra Cloud Sync para aprovisionar grupos de seguridad en la nube en Active Directory Domain Services locales (AD DS).
Si utiliza Group Writeback v2 en Microsoft Entra Connect Sync, debe mover su cliente de sincronización a Microsoft Entra Cloud Sync. Para verificar si cumple los requisitos para pasar a Microsoft Entra Cloud Sync, utilice el asistente para la sincronización de usuarios.
Si no puede usar Microsoft Cloud Sync como recomienda el asistente, puede ejecutar Microsoft Entra Cloud Sync en paralelo con Microsoft Entra Connect Sync. En ese caso, puede ejecutar Microsoft Entra Cloud Sync solo para aprovisionar grupos de seguridad en la nube a AD DS local.
Si aprovisiona grupos de Microsoft 365 en AD DS, puede seguir usando Group Writeback v1.
Aprovisionamiento de Microsoft Entra ID en Active Directory Domain Services: requisitos previos
Los siguientes requisitos previos son necesarios para implementar grupos de aprovisionamiento en Active Directory Domain Services (AD DS).
Requisitos de licencia
El uso de esta característica requiere licencias P1 de Microsoft Entra ID. Para encontrar la licencia adecuada para sus requisitos, consulte Compare características disponibles con carácter general de Microsoft Entra ID.
Requisitos generales
- Microsoft Entra cuenta con al menos un rol Hybrid Identity Administrator.
- Esquema de AD DS local con el atributo msDS-ExternalDirectoryObjectId, que está disponible en Windows Server 2016 y versiones posteriores.
- Agente de aprovisionamiento con la versión 1.1.3730.0 o posterior.
Nota:
Los permisos para la cuenta de servicio se asignan solo durante la instalación limpia. Si va a actualizar desde la versión anterior, los permisos deben asignarse manualmente mediante PowerShell:
$credential = Get-Credential
Set-AAD DSCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Si los permisos se establecen manualmente, debe asignar las propiedades Read, Write, Create y Delete para todos los grupos descendientes y objetos User.
Estos permisos no se aplican a objetos AdminSDHolder de forma predeterminada. Para obtener más información, consulte cmdlets de PowerShell para el agente de aprovisionamiento de gMSA de Microsoft Entra.
- El agente de aprovisionamiento debe instalarse en un servidor que ejecute Windows Server 2022, Windows Server 2019 o Windows Server 2016.
- El agente de aprovisionamiento debe poder comunicarse con los controladores de dominio en los puertos TCP/389 (LDAP) y TCP/3268 (catálogo global).
- Necesario para la búsqueda de catálogos globales para filtrar las referencias de pertenencia no válidas
- Microsoft Entra Connect Sync con la versión de compilación 2.2.8.0
- Necesario para admitir la afiliación de usuarios locales sincronizada mediante Microsoft Entra Connect Sync
- Necesario para sincronizar
AD DS:user:objectGUIDconAAD DS:user:onPremisesObjectIdentifier
Límites de escala para grupos de aprovisionamiento en Active Directory
El rendimiento de la función de aprovisionamiento de grupos en Active Directory se ve afectado por el tamaño del cliente y el número de grupos y membresías dentro del ámbito del aprovisionamiento en Active Directory. En esta sección se proporcionan instrucciones sobre cómo determinar si GPAD admite sus requisitos de escala y cómo elegir el modo de ámbito del grupo adecuado para lograr ciclos de sincronización iniciales y diferenciales más rápidos.
¿Qué no se admite?
- No se admiten grupos de más de 50 000 miembros.
- No se admite el uso del ámbito "Todos los grupos de seguridad" sin aplicar el filtrado por ámbito de atributos.
Límites de escala
| Modo de delimitación | Número de grupos dentro del ámbito | Número de vínculos de pertenencia (solo miembros directos) | Notas |
|---|---|---|---|
| Modo "Grupos de seguridad seleccionados" | Hasta 10 000 grupos. El panel CloudSync de Microsoft Entra portal solo permite seleccionar hasta 999 grupos, así como mostrar hasta 999 grupos. Si necesita agregar más de 1000 grupos al ámbito, consulte: Selección de grupo expandida a través de la API. | Hasta 250 000 miembros en total en todos los grupos del ámbito. | Utiliza este modo de delimitación si el inquilino supera CUALQUIERA de estos límites 1. El inquilino tiene más de 200 000 usuarios 2. El inquilino tiene más de 40 000 grupos 3. El arrendatario tiene más de 1 millón de afiliaciones a grupos. |
| Modo "Todos los grupos de seguridad" con al menos un filtro de ámbito de atributos. | Hasta 20 000 grupos. | Hasta 500.000 miembros en total en todos los grupos del ámbito. | Use este modo de delimitación si el arrendatario cumple todos los límites siguientes: 1. El inquilino tiene menos de 200 000 usuarios 2. El inquilino tiene menos de 40 000 grupos 3. El cliente tiene menos de 1 millón de membresías en grupos. |
Qué hacer si supera los límites
Si se superan los límites recomendados, se ralentizará la sincronización inicial y diferencial, lo que posiblemente provocará errores de sincronización. Si esto sucede, siga estos pasos:
Demasiados grupos o miembros de grupo en el modo de ámbito "Grupos de seguridad seleccionados":
Reduzca el número de grupos dentro del ámbito (priorizando grupos de mayor valor) o divida el aprovisionamiento en varios trabajos distintos con ámbitos separados.
Demasiados grupos o miembros de grupo en el modo de delimitación "Todos los grupos de seguridad":
Use el modo de ámbito Grupos de seguridad seleccionados como se recomienda.
Algunos grupos superan los 50 000 miembros:
Divida la pertenencia entre varios grupos o adopte grupos preconfigurados (por ejemplo, por región o unidad de negocio) para mantener cada grupo bajo el límite.
Selección de grupos expandida mediante API
Si necesita seleccionar más de 999 grupos, debe usar la llamada API asignar un rol de aplicación a un principal de servicio.
Un ejemplo de las llamadas API es el siguiente:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: id. de objeto de grupo.
- resourceId: identificador de entidad de servicio del trabajo.
- appRoleId: identificador del rol de la aplicación expuesto por el principal del servicio de recursos.
La tabla siguiente es una lista de identificadores de rol de aplicación para nubes:
| Nube | appRoleId |
|---|---|
| Público | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Información adicional
Estos son más puntos a tener en cuenta al aprovisionar grupos en AD DS.
- Los grupos aprovisionados en AD DS mediante Cloud Sync solo pueden contener usuarios sincronizados locales u otros grupos de seguridad creados en la nube.
- Estos usuarios deben tener el atributo onPremisesObjectIdentifier establecido en su cuenta.
- OnPremisesObjectIdentifier debe coincidir con un objectGUID correspondiente en el entorno de AD DS de destino.
- Un atributo objectGUID de un usuario local se puede sincronizar con un atributo onPremisesObjectIdentifier de un usuario en la nube mediante cualquiera de los clientes de sincronización.
- Solo los clientes globales de Microsoft Entra ID pueden configurar desde Microsoft Entra ID hasta AD DS. No se admiten inquilinos como B2C.
- El trabajo de aprovisionamiento de grupos está programado para ejecutarse cada 20 minutos.
Escenarios admitidos para la escritura inversa de grupos con Microsoft Entra Cloud Sync
En las secciones siguientes se describen los escenarios admitidos para la escritura diferida de grupos con Microsoft Entra Cloud Sync.
- Migrar Microsoft Entra Connect Sync group writeback V2 a Microsoft Entra Cloud Sync
- Gobierna las aplicaciones basadas en Active Directory local (Kerberos) utilizando Microsoft Entra ID Governance
Migrar la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync
Escenario: Migración de la escritura diferida de grupos mediante Microsoft Entra Connect Sync (anteriormente Azure AD Connect) a Microsoft Entra Cloud Sync. Este escenario es solo para los clientes que actualmente usan la escritura diferida de grupos de Microsoft Entra Connect v2. El proceso descrito en este documento solo se aplica a los grupos de seguridad creados en la nube que son escritos con un ámbito universal. No se admiten grupos habilitados para correo electrónico y listas de distribución escritas de vuelta mediante la escritura diferida de grupos de Microsoft Entra Connect V1 o V2.
Para obtener más información, consulte Migrate Microsoft Entra Connect Sync group writeback V2 to Microsoft Entra Cloud Sync.
Gobernar aplicaciones locales basadas en Active Directory (Kerberos) mediante Microsoft Entra ID Governance.
Scenario: Administrar aplicaciones locales con grupos de Active Directory que se aprovisionan y administran en la nube. Microsoft Entra Cloud Sync permite controlar completamente las asignaciones de aplicaciones en AD al tiempo que aprovecha las características de Microsoft Entra ID Governance para controlar y corregir las solicitudes relacionadas con el acceso.
Para obtener más información, consulte Administrar aplicaciones basadas en Active Directory local (Kerberos) usando la Gobernanza de ID de Microsoft Entra.
Pasos siguientes
- Provisiona grupos para Active Directory mediante Microsoft Entra Cloud Sync
- Gestionar aplicaciones basadas en Active Directory local (Kerberos) mediante Microsoft Entra ID Governance
- Migrar Microsoft Entra Connect Sync group writeback V2 a Microsoft Entra Cloud Sync
- Filtro de alcance y asignación de atributos de Microsoft Entra ID a Active Directory