Obtenga información sobre las preguntas más frecuentes sobre el aprovisionamiento en Active Directory con Microsoft Entra Cloud Sync.
Aprovisionamiento de grupos en Active Directory
¿Funciona el aprovisionamiento de grupos en AD en Microsoft Entra Cloud Sync en paralelo con otras funcionalidades de Microsoft Entra Connect Sync?
Sí, puede usar Microsoft Entra Cloud Sync únicamente para el aprovisionamiento de grupos de seguridad en AD al mismo tiempo que usa Connect Sync para sincronizar AD con microsoft Entra ID. Cualquier grupo de seguridad en la nube que incluya usuarios sincronizados desde AD a través de Microsoft Entra Connect Sync se puede aprovisionar en Active Directory mediante Microsoft Entra Cloud Sync y el aprovisionamiento de grupos en AD.
Por ejemplo, si hay dos usuarios (usuario A y usuario B) que son usuarios de Active Directory Domain Services y se han sincronizado con Microsoft Entra Connect Sync con el identificador de Microsoft Entra, puede crear un grupo de seguridad en la nube en microsoft Entra ID llamado SecurityGroup A. A continuación, este grupo se puede aprovisionar de nuevo en AD DS mediante Microsoft Entra Cloud Sync: aprovisionamiento de grupos en Active Directory.
Tengo grupos de Microsoft 365 que aprovisiono en AD mediante la característica escritura diferida de grupos en Microsoft Entra Connect Sync. ¿Seguirá funcionando?
Sí, al desinstalar o deshabilitar la escritura diferida de grupos V2 desde la configuración de Connect Sync, el valor predeterminado es Escritura diferida de grupos V1. Este valor predeterminado admite la capacidad de volver a escribir todos los grupos de Microsoft 365 en Microsoft Entra ID.
¿Y si también quiero desactivar Group Writeback V1?
Cuando deshabilita Escritura diferida de grupos V1, la siguiente sincronización completa elimina todos los grupos que Microsoft Entra Connect Sync escribe en AD. Los grupos de seguridad en la nube aprovisionados mediante Microsoft Entra Cloud Sync no se verán afectados por esta operación.
¿Puedo seguir usando el campo "Escritura diferida de grupos" a través de MS Graph y el Centro de administración de Microsoft Entra para establecer grupos en el ámbito para el aprovisionamiento en AD mediante Microsoft Entra Cloud Sync?
No, este campo no se utiliza actualmente para definir el ámbito de los grupos que se aprovisionan en AD mediante Cloud Sync. Debe usar la interfaz de configuración de Microsoft Entra Cloud Sync en el portal para establecer el ámbito. Para obtener más información, consulte Uso de extensiones de directorio con aprovisionamiento de grupos en Active Directory.
Si estoy siguiendo los pasos descritos en Migrar la reescritura de grupos de Microsoft Entra Connect Sync V2 a Microsoft Entra Cloud Sync, ¿afectará esto a mi sincronización de Active Directory con Microsoft Entra ID mediante Microsoft Entra Connect?
No, seguir los pasos de migración para pasar de la escritura diferida de grupos V2 a la sincronización en la nube de Microsoft Entra no afectará a la sincronización entre AD y Microsoft Entra ID.
Aplicación de grupos de AD (versión preliminar)
¿Qué tipos de objeto admite la aplicación de grupos de AD?
Los grupos son compatibles en esta versión preliminar. Actualmente no se admiten usuarios, pero el equipo de AD planea añadir compatibilidad para usuarios en una versión futura.
Al instalar el agente de aprovisionamiento, ¿se habilitará la aplicación en todos mis objetos Active Directory?
N.º Además de instalar la directiva en el emulador del controlador de dominio principal (PDCe), debe marcar explícitamente cada grupo como incluido en el ámbito. Configure la asignación de atributos en el aprovisionamiento de grupos para Active Directory para establecer el msDS-ObjectSoa atributo en los grupos que desea proteger. No se aplican grupos sin el conjunto de atributos.
¿Puedo definir una cuenta de acceso de emergencia para realizar cambios de emergencia en un grupo protegido?
Yes. Puede agregar el identificador de seguridad (SID) de un usuario o grupo autorizado a la directiva para que la cuenta pueda realizar cambios en los grupos aplicados cuando el servicio de aprovisionamiento no esté disponible. Para obtener más información, consulte Exigir que los cambios de grupo de Active Directory solo provengan de Microsoft Entra.
Si el grupo A está marcado para la aplicación, ¿se puede agregar como miembro del grupo B que no está marcado para la aplicación?
Yes. El grupo A se puede agregar como miembro del grupo B. Sin embargo, el servicio de aprovisionamiento solo puede realizar cambios en los miembros del grupo A.
¿Qué ocurre si se realiza un cambio en un controlador de dominio que no tiene habilitada la aplicación de grupos de AD?
Se ha procesado el cambio. Para la aplicación completa en todo el dominio, todos los controladores de dominio deben tener habilitada la característica, ya sea instalando la actualización de Windows Server acumulativa más la MSI de directiva de grupo coincidente o ejecutando una compilación de Windows Server Insider Preview que tenga la característica ya habilitada.
¿Cómo cambia esta característica el modelo de control de acceso basado en rol (RBAC) de Active Directory?
La aplicación de los grupos de AD se suma al modelo RBAC existente. Coloca otra restricción sobre las asignaciones de roles existentes, sin conceder acceso adicional al usuario.
¿Qué rol es necesario para habilitar la directiva?
El administrador de dominio es necesario para ejecutar el script de PowerShell que instala la directiva en el controlador de dominio del rol PDCe.
¿Cómo veo los eventos de cumplimiento en el registro de eventos?
Para ver eventos en modo auditoría, establezca el valor del Registro de diagnóstico de seguridad en 1 en el PDCe. A continuación, los cambios auditados aparecen en el registro de eventos de Directory Services en ese controlador de dominio. Para obtener más información, consulte Registro de eventos de diagnóstico de AD y LDS.