Migrace zpětného zápisu skupiny Microsoft Entra Connect Sync v2 do Microsoft Entra Cloud Sync
Důležitý
Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude ukončena k tomuto datu a nebudete už v Connect Sync podporováni, abyste zřídili skupiny zabezpečení cloudu ve službě Active Directory. Tato funkce bude fungovat i po uplynutí data ukončení; po tomto datu však již nebude dostávat podporu a bez předchozího upozornění může přestat fungovat.
Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory , které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce v Synchronizaci cloudu spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.
Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z connect sync na cloudovou synchronizaci. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do cloudové synchronizace (pokud podporuje vaše potřeby). Synchronizaci cloudu můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do cloudové synchronizace.
Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro Službu Active Directory, můžete pro tuto funkci dál používat zpětný zápis skupiny v1.
K vyhodnocení přesunu výhradně do cloudové synchronizace můžete použít průvodce synchronizací uživatelů.
Následující dokument popisuje, jak migrovat zpětný zápis skupiny pomocí nástroje Microsoft Entra Connect Sync (dříve Azure AD Connect) do Microsoft Entra Cloud Sync. Tento scénář je určený pouze pro zákazníky, kteří aktuálně používají zpětný zápis skupiny Microsoft Entra Connect v2. Proces popsaný v tomto dokumentu se týká pouze skupin zabezpečení vytvořených v cloudu, které se zapisují zpět s univerzálním oborem.
Důležitý
Tento scénář je určený pouze pro zákazníky, kteří aktuálně používají zpětný zápis skupiny Microsoft Entra Connect v2.
Tento scénář je také podporován pouze pro:
Skupiny a seznamy DLS s podporou pošty zapsané zpět do AD nadále pracují se zpětným zápisem skupiny Microsoft Entra Connect, ale vrátí se k chování zpětného zápisu skupiny V1, takže v tomto scénáři se po zakázání zpětného zápisu skupiny V2 všechny skupiny M365 zapíšou zpět do AD nezávisle na nastavení Zpětný zápis povolený v Centru pro správu Entra. Další informace najdete v nejčastějších dotazech ke zřizování služby Active Directory v Microsoft Entra Cloud Sync.
Požadavky
Pro implementaci tohoto scénáře jsou vyžadovány následující požadavky.
- Účet Microsoft Entra s alespoň rolí správce hybridní identity
- Místní účet AD s alespoň oprávněními správce domény – nutný pro přístup k atributu adminDescription a jeho zkopírování do atributu msDS-ExternalDirectoryObjectId
- Místní prostředí služby Doména služby Active Directory Services s operačním systémem Windows Server 2016 nebo novějším.
- Požadováno pro atribut schématu AD – msDS-ExternalDirectoryObjectId
- Zřizování agenta s buildem verze 1.1.1367.0 nebo novější
- Agent zřizování musí být schopný komunikovat s řadiči domény na portech TCP/389 (LDAP) a TCP/3268 (Globální katalog).
- Vyžaduje se, aby vyhledávání globálního katalogu odfiltruje neplatné odkazy na členství.
Zásady vytváření názvů pro skupiny zapsané zpět
Microsoft Entra Connect Sync ve výchozím nastavení používá následující formát při vytváření názvů skupin, které jsou zapsány zpět.
Výchozí formát: CN=Group_guid,OU>=<container,DC>=<domain component,DC=<domain component><>
Příklad: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Aby bylo snazší najít skupiny, které se zapisují zpět z Microsoft Entra ID do služby Active Directory, přidala služba Microsoft Entra Connect Sync možnost pro zápis názvu skupiny pomocí zobrazovaného názvu cloudu. To se provádí výběrem rozlišující skupiny zpětných zápisů s cloudovým zobrazovaným názvem během počátečního nastavení zpětného zápisu skupiny v2. Pokud je tato funkce povolená, microsoft Entra Connect používá místo výchozího formátu následující nový formát:
Nový formát: CN=<display name>_<last 12 digits of object ID,OU>=<container,DC>=<domain component,DC>=<domain component>
Příklad: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Důležitý
Synchronizace cloudu Microsoft Entra ve výchozím nastavení používá nový formát, a to i v případě, že v Synchronizaci Microsoft Entra Connect není povolený rozlišující název skupiny zpětného zápisu s funkcí zobrazovaného názvu cloudu. Pokud používáte výchozí pojmenování synchronizace Microsoft Entra Connect a pak skupinu migrujete tak, aby ji spravovala synchronizace cloudu Microsoft Entra, skupina se přejmenuje na nový formát. Pomocí následující části povolte synchronizaci cloudu Microsoft Entra používat výchozí formát z Microsoft Entra Connect.
Použití výchozího formátu
Pokud chcete, aby synchronizace cloudu používala stejný výchozí formát jako Microsoft Entra Connect Sync, musíte upravit výraz toku atributů pro atribut CN. Dvě možná mapování jsou:
| Výraz | Syntax | Popis |
|---|---|---|
| Výchozí výraz synchronizace cloudu pomocí DisplayName | Append(Append(Left(Trim([displayName]); 51); "_"), Mid([objectId], 25; 12)) | Výchozí výraz používaný synchronizací cloudu Microsoft Entra (to znamená nový formát) |
| Cloud sync new expression without using DisplayName | Append("Group_"; [objectId]) | Nový výraz pro použití výchozího formátu ze služby Microsoft Entra Connect Sync. |
Další informace naleznete v tématu Přidání mapování atributů - Microsoft Entra ID do Active Directory
Krok 1 – kopírování popisů adminDescription do msDS-ExternalDirectoryObjectID
Pokud chcete ověřit odkazy na členství ve skupinách, musí Microsoft Entra Cloud Sync dotazovat globální katalog služby Active Directory pro atribut msDS-ExternalDirectoryObjectID. Jedná se o indexovaný atribut, který se replikuje napříč všemi globálními katalogy v rámci doménové struktury služby Active Directory.
V místním prostředí otevřete ADSI Edit.
Zkopírujte hodnotu, kterou obsahuje v atributu adminDescription skupiny.
Vložení do atributu msDS-ExternalDirectoryObjectID
Následující skript PowerShellu můžete použít k automatizaci tohoto kroku. Tento skript vezme všechny skupiny v kontejneru OU=Groups,DC=Contoso,DC=com a zkopíruje hodnotu atributu adminDescription do hodnoty atributu msDS-ExternalDirectoryObjectID. Před použitím tohoto skriptu aktualizujte proměnnou $gwbOU pomocí rozlišujícího názvu cílové organizační jednotky vaší skupiny pro zpětný zápis.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
Následující skript PowerShellu můžete použít ke kontrole výsledků výše uvedeného skriptu nebo potvrzení, že všechny skupiny mají hodnotu adminDescription rovna hodnotě msDS-ExternalDirectoryObjectID.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
Krok 2: Umístění serveru Synchronizace Microsoft Entra Connect v pracovním režimu a zakázání plánovače synchronizace
Spuštění průvodce Microsoft Entra Connect Sync
Klikněte na Konfigurovat.
Vyberte Konfigurovat pracovní režim a klikněte na Další.
Zadejte přihlašovací údaje Microsoft Entra.
Zaškrtněte políčko Povolit pracovní režim a klikněte na Další.
Klikněte na Konfigurovat.
Klikněte na Ukončit.
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Zakažte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $false
Krok 3 : Vytvoření vlastního příchozího pravidla skupiny
V editoru synchronizačních pravidel služby Microsoft Entra Connect musíte vytvořit příchozí pravidlo synchronizace, které filtruje skupiny s hodnotou NULL pro atribut pošty. Příchozí pravidlo synchronizace je pravidlo spojení s cílovým atributem cloudNoFlow. Toto pravidlo říká službě Microsoft Entra Connect, aby nesynchronizuje atributy pro tyto skupiny. Pokud chcete vytvořit toto pravidlo synchronizace, můžete se rozhodnout použít uživatelské rozhraní nebo ho vytvořit pomocí PowerShellu se zadaným skriptem.
Vytvoření vlastního příchozího pravidla skupiny v uživatelském rozhraní
Spusťte Editor synchronizačních pravidel z nabídky Start.
V rozevíracím seznamu Pro směr vyberte Možnost Příchozí a vyberte Přidat nové pravidlo.
Na stránce Popis zadejte následující a vyberte Další:
Název: Pojmenujte pravidlo smysluplným názvem.
Popis: Přidání smysluplného popisu
Připojený systém: Zvolte konektor Microsoft Entra, pro který píšete vlastní pravidlo synchronizace.
Typ připojeného systémového objektu: Skupina
Typ objektu Metaverse: Skupina
Typ propojení: Spojení
Priorita: Zadejte hodnotu, která je v systému jedinečná. Doporučuje se méně než 100, aby byla přednost před výchozími pravidly.
Značka: Ponechání prázdné
Na stránce filtru oborů přidejte následující a pak vyberte Další.
Atribut Operátor Hodnota cloudMastered ROVNÝ pravdivý pošta ISNULL 
Na stránce Pravidla připojení vyberte Další.
Na stránce Transformace přidejte konstantní transformaci: tok true do atributu cloudNoFlow.
Vyberte Přidat.
Vytvoření vlastního příchozího pravidla skupiny v PowerShellu
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Importujte modul.
Import-Module ADSyncZadejte jedinečnou hodnotu pro prioritu pravidla synchronizace [0–99].
[int] $inboundSyncRulePrecedence = 88Spusťte následující skript:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
Krok 4 : Vytvoření vlastního pravidla odchozích přenosů skupin
Potřebujete také pravidlo odchozí synchronizace s typem odkazu JoinNoFlow a filtrem oborů, který má atribut cloudNoFlow nastavený na Hodnotu True. Toto pravidlo říká službě Microsoft Entra Connect, aby nesynchronizuje atributy pro tyto skupiny. Pokud chcete vytvořit toto pravidlo synchronizace, můžete se rozhodnout použít uživatelské rozhraní nebo ho vytvořit pomocí PowerShellu se zadaným skriptem.
Vytvoření vlastního pravidla odchozích přenosů skupin v uživatelském rozhraní
V rozevíracím seznamu Pro směr vyberte Odchozí a vyberte Přidat pravidlo.
Na stránce Popis zadejte následující a vyberte Další:
- Název: Pojmenujte pravidlo smysluplným názvem.
- Popis: Přidání smysluplného popisu
- Připojený systém: Zvolte konektor AD, pro který píšete vlastní pravidlo synchronizace.
- Typ připojeného systémového objektu: Skupina
- Typ objektu Metaverse: Skupina
- Typ odkazu: JoinNoFlow
- Priorita: Zadejte hodnotu, která je v systému jedinečná. Doporučuje se méně než 100, aby byla přednost před výchozími pravidly.
- Značka: Ponechání prázdné
Na stránce filtru oborů zvolte cloudNoFlow rovno hodnotě True. Pak vyberte Další.
Na stránce Pravidla připojení vyberte Další.
Na stránce Transformace vyberte Přidat.
Vytvoření vlastního příchozího pravidla skupiny v PowerShellu
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Importujte modul.
Import-Module ADSyncZadejte jedinečnou hodnotu pro prioritu pravidla synchronizace [0–99].
[int] $outboundSyncRulePrecedence = 89Získejte konektor služby Active Directory pro zpětný zápis skupiny.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"Spusťte následující skript:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
Krok 5 : Dokončení konfigurace pomocí PowerShellu
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Import modulu ADSync:
Import-Module ADSyncSpusťte úplný cyklus synchronizace:
Start-ADSyncSyncCycle -PolicyType InitialZakažte funkci zpětného zápisu skupiny pro tenanta:
Varování
Tato operace je nevratná. Po zakázání zpětného zápisu skupiny V2 se všechny skupiny Microsoftu 365 zapíšou zpět do AD nezávisle na nastavení Zpětný zápis v Centru pro správu Entra.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseSpusťte úplný cyklus synchronizace (ano znovu):
Start-ADSyncSyncCycle -PolicyType InitialZnovu povolte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $true
Krok 6 : Odebrání serveru Synchronizace Microsoft Entra Connect z pracovního režimu
- Spuštění průvodce Microsoft Entra Connect Sync
- Klikněte na Konfigurovat.
- Vyberte Konfigurovat pracovní režim a klikněte na Další.
- Zadejte přihlašovací údaje Microsoft Entra.
- Odeberte zaškrtnutí z pole Povolit pracovní režim a klikněte na Tlačítko Další.
- Klikněte na Konfigurovat.
- Klikněte na Ukončit.
Krok 7 – Konfigurace synchronizace cloudu Microsoft Entra
Teď, když jsou skupiny odebrány z oboru synchronizace služby Microsoft Entra Connect Sync, můžete nastavit a nakonfigurovat Microsoft Entra Cloud Sync tak, aby převzal synchronizaci skupin zabezpečení. Viz Zřizování skupin pro Active Directory pomocí Microsoft Entra Cloud Sync.