Partilhar via

Topologias e cenários suportados pelo Microsoft Entra Cloud Sync

  • Artigo

Este artigo descreve várias topologias locais e do Microsoft Entra que usam o Microsoft Entra Cloud Sync. Este artigo inclui apenas configurações e cenários suportados.

Importante

A Microsoft não oferece suporte à modificação ou operação do Microsoft Entra Cloud Sync fora das configurações ou ações formalmente documentadas. Qualquer uma dessas configurações ou ações pode resultar em um estado inconsistente ou sem suporte do Microsoft Entra Cloud Sync. Como resultado, a Microsoft não pode fornecer suporte técnico para essas implantações.

Para obter mais informações, consulte o vídeo a seguir.

Coisas a lembrar sobre todos os cenários e topologias

As informações abaixo devem ser tidas em conta ao selecionar uma solução.

  • Os usuários e grupos devem ser identificados exclusivamente em todas as florestas.
  • A correspondência entre florestas não ocorre com a sincronização na nuvem.
  • A âncora de origem para objetos é escolhida automaticamente. Ele usa ms-DS-ConsistencyGuid se presente, caso contrário, ObjectGUID é usado.
  • Não é possível alterar o atributo usado para âncora de origem.

Topologias suportadas do Ative Directory para Microsoft Entra ID

As topologias a seguir são suportadas para provisionamento do Ative Directory para o Microsoft Entra ID.

Floresta única, locatário único do Microsoft Entra

Diagrama que mostra a topologia para uma única floresta e um único locatário.

A topologia mais simples é uma única floresta local, com um ou vários domínios, e um único locatário do Microsoft Entra. Para obter um exemplo desse cenário, consulte Tutorial: Uma única floresta com um único locatário do Microsoft Entra

Multiflorestas, locatário único do Microsoft Entra

Topologia para uma floresta múltipla e um único locatário

Várias florestas do AD são uma topologia comum, com um ou vários domínios, e um único locatário do Microsoft Entra.

Floresta existente com o Microsoft Entra Connect, nova floresta com provisionamento na nuvem

Diagrama que mostra a topologia de uma floresta existente e uma nova floresta.

Este cenário é topologia é semelhante ao cenário de várias florestas, no entanto, este envolve um ambiente existente do Microsoft Entra Connect e, em seguida, trazer uma nova floresta usando o Microsoft Entra Cloud Sync. Para obter um exemplo desse cenário, consulte Tutorial: Uma floresta existente com um único locatário do Microsoft Entra

Pilotando o Microsoft Entra Cloud Sync em uma floresta do AD híbrida existente

Topologia para uma única floresta e um único locatário

O cenário piloto envolve a existência do Microsoft Entra Connect e do Microsoft Entra Cloud Sync na mesma floresta e o escopo dos usuários e grupos de acordo. Observação : um objeto deve estar no escopo em apenas uma das ferramentas.

Para obter um exemplo desse cenário, consulte Tutorial: Piloto do Microsoft Entra Cloud Sync em uma floresta do AD sincronizada existente

Mesclando objetos de fontes desconectadas

(Pré-visualização Pública)

Diagrama para mesclar objetos de fontes desconectadas

Nesse cenário, os atributos de um usuário são contribuídos por duas florestas desconectadas do Ative Directory.

Um exemplo seria:

  • Uma floresta (1) contém a maioria dos atributos.
  • Uma segunda floresta (2) contém alguns atributos.

Como a segunda floresta não tem conectividade de rede com o servidor Microsoft Entra Connect, o objeto não pode ser mesclado por meio do Microsoft Entra Connect. A sincronização na nuvem na segunda floresta permite que o valor do atributo seja recuperado da segunda floresta. O valor pode então ser mesclado com o objeto no Microsoft Entra ID que é sincronizado pelo Microsoft Entra Connect.

Essa configuração é avançada e há algumas ressalvas para essa topologia:

  1. Você deve usar ms-DS-ConsistencyGuid como âncora de origem na configuração de sincronização na nuvem.
  2. O ms-DS-ConsistencyGuid do objeto de usuário na segunda floresta deve corresponder ao do objeto correspondente no ID do Microsoft Entra.
  3. Você deve preencher o UserPrincipalName atributo e o Alias atributo na segunda floresta e ele deve corresponder aos que são sincronizados da primeira floresta.
  4. Você deve remover todos os atributos do mapeamento de atributos na configuração de sincronização na nuvem que não tenham um valor ou que possam ter um valor diferente na segunda floresta – não é possível ter mapeamentos de atributos sobrepostos entre a primeira floresta e a segunda.
  5. Se não houver nenhum objeto correspondente na primeira floresta, para um objeto sincronizado da segunda floresta, a sincronização na nuvem ainda criará o objeto no ID do Microsoft Entra. O objeto terá apenas os atributos definidos na configuração de mapeamento da sincronização de nuvem para a segunda floresta.
  6. Se você excluir o objeto da segunda floresta, ele será temporariamente excluído suavemente no ID do Microsoft Entra. Ele será restaurado automaticamente após o próximo ciclo de sincronização do Microsoft Entra Connect.
  7. Se você excluir o objeto da primeira floresta, ele será excluído suavemente do ID do Microsoft Entra. O objeto não será restaurado a menos que uma alteração seja feita no objeto na segunda floresta. Após 30 dias, o objeto será excluído do Microsoft Entra ID e, se uma alteração for feita no objeto na segunda floresta, ele será criado como um novo objeto no Microsoft Entra ID.

Microsoft Entra ID para topologias suportadas pelo Ative Directory

As topologias a seguir são suportadas para provisionamento do Microsoft Entra ID para o Ative Directory.

Provisionamento de grupo de floresta única para o Ative Directory

Diagrama conceitual de writeback de floresta única.

A topologia de provisionamento de grupo mais simples é uma única floresta local, com um ou vários domínios, e um único locatário do Microsoft Entra. Para obter um exemplo desse cenário, consulte Provisionar grupos para o Ative Directory

Provisionamento de grupo de várias florestas para o Ative Directory

Diagrama conceitual de writeback multi-floresta.

Uma topologia de provisionamento de grupo mais avançada consiste em várias florestas do AD locais compartilhando um único locatário do Microsoft Entra ID.

Essa configuração é avançada e há algumas coisas a serem lembradas com essa topologia:

  • Os grupos provisionados para o AD usando a sincronização na nuvem só podem conter usuários sincronizados no local e/ou grupos de segurança adicionais criados na nuvem.
  • Todos esses usuários devem ter o atributo onPremisesObjectIdentifier definido em sua conta.
  • O onPremisesObjectIdentifier deve corresponder a um objectGUID correspondente no ambiente AD de destino.
  • Um atributo objectGUID de usuários locais para um atributo onPremisesObjectIdentifier de usuários de nuvem pode ser sincronizado usando o Microsoft Entra Cloud Sync (1.1.1370.0) ou o Microsoft Entra Connect Sync (2.2.8.0)
  • Dentro do seu inquilino, você pode compartilhar um grupo comum que contém usuários de ambas as florestas.
  • No entanto, os usuários que não existem na outra floresta, NÃO serão provisionados como membros do grupo quando ele for provisionado localmente. Portanto, se você tiver um grupo no Microsoft Entra ID que contenha usuários de contoso.com e fabrikam.com, somente os usuários que existem na floresta de contoso.com serão membros do grupo quando ele for provisionado para contoso.com. E o mesmo com a fabrikam.

Próximos passos