Configurar la escritura diferida de grupos en la administración de derechos

En este artículo se muestra cómo configurar la escritura diferida de grupos en la administración de derechos. La escritura diferida de grupos es una característica que permite reescribir grupos en la nube en la instancia local de Active Directory mediante la sincronización en la nube de Microsoft Entra.

Configuración de la escritura diferida de grupos en la administración de derechos

Si desea configurar la escritura diferida de grupos para grupos de Microsoft 365 en paquetes de acceso, complete los siguientes requisitos previos:

• Configurar la escritura diferida de grupos en el centro de administración de Microsoft Entra.
• La unidad organizativa (OU) que se usa para configurar la escritura diferida de grupos en la configuración de sincronización en la nube de Microsoft Entra.
• Complete los pasos de habilitación de la escritura diferida de grupos para la sincronización en la nube de Microsoft Entra.

La escritura diferida de grupos ahora permite sincronizar grupos de seguridad que formen parte de los paquetes de acceso a Active Directory local. Para sincronizar los grupos, siga estos pasos:

1. Cree un grupo de seguridad Microsoft Entra.

2. Configure el grupo para su escritura diferida en Active Directory local. Para obtener instrucciones, consulte Escritura diferida de grupos en el centro de administración de Microsoft Entra.

3. Agregue el grupo a un paquete de acceso como rol de recurso. Consulte Creación de un nuevo paquete de acceso para obtener instrucciones.

4. Inicie Usuarios y equipos de Active Directory y espere a que se cree el nuevo grupo de AD resultante en el dominio de AD. Cuando esté presente, registre el nombre distintivo (DN), el dominio, el nombre de cuenta y el SID del nuevo grupo de AD.

5. Configure la aplicación para que use el nuevo grupo, ya sea actualizando la aplicación o agregando el grupo como miembro de un grupo existente, tal y como se describe en Control de aplicaciones locales basadas en Active Directory (Kerberos) mediante el Gobierno de id. de Microsoft Entra.

6. Asigne el usuario al paquete de acceso. Consulte Ver, agregar y quitar asignaciones en un paquete de acceso para obtener instrucciones sobre la asignación directa de un usuario.

7. Después de asignar un usuario al paquete de acceso, confirme que ya sea miembro del grupo local una vez completado el ciclo de sincronización en la nube de Microsoft Entra:

   1. Visualización de la propiedad de miembro del grupo en la unidad organizativa local O
   2. Revise el miembro de en el objeto de usuario.

   Nota:

   La programación predeterminada del ciclo de sincronización de la sincronización en la nube de Microsoft Entra es cada 30 minutos. Es posible que tenga que esperar hasta que se produzca el siguiente ciclo para ver los resultados en el entorno local o elegir ejecutar el ciclo de sincronización manualmente para ver los resultados antes.

8. En la supervisión del dominio de AD, permita únicamente a la cuenta gMSA que ejecuta el agente de aprovisionamiento que tenga la autorización para cambiar la pertenencia al nuevo grupo de AD.

Pasos siguientes

• Creación y administración de un catálogo de recursos en la administración de derechos
• Delegación de la gobernanza del acceso en administradores de paquetes de acceso en la administración de derechos