Aktivieren des Microsoft Entra Connect-Gruppenrückschreibens

Wichtig

Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Connect Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird ab diesem Datum nicht mehr unterstützt, und Sie werden in Connect Sync nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen.

Wir bieten in Microsoft Entra Cloud Sync eine ähnliche Funktionalität namens Gruppenbereitstellung für Active Directory, die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen für Active Directory verwenden können. Wir arbeiten an der Verbesserung dieser Funktionalität in Cloud Sync zusammen mit anderen neuen Features, die wir in Cloud Sync entwickeln.

Kunden, die dieses Vorschau-Feature in Connect Sync verwenden, sollten ihre Konfiguration von Connect Sync auf Cloud Sync umstellen. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern das Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.

Für Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktionalität weiterhin Group Writeback v1 verwenden.

Mit dem user synchronization wizard können Sie die Verschiebung ausschließlich zu Cloud Sync auswerten.

Das Gruppenrückschreiben ist ein Feature, mit dem Sie Cloudgruppen mithilfe der Microsoft Entra Connect-Synchronisierung wieder in Ihre lokale Active Directory-Instanz schreiben können.

In diesem Artikel werden Sie durch das Aktivieren des Gruppenrückschreibens geführt.

Bereitstellungsschritte

Die Gruppenrückschreibung erfordert die Aktivierung der ursprünglichen und neuen Versionen des Features. Wenn die ursprüngliche Version zuvor in Ihrer Umgebung aktiviert wurde, müssen Sie nur die ersten der folgenden Schritte ausführen, da die weiteren Schritte bereits abgeschlossen wurden.

Hinweis

Es wird empfohlen, das Rollout des neuen Features „Gruppenrückschreiben“ in Ihrer Umgebung mit der Methode Swingmigration durchzuführen. Diese Methode stellt einen eindeutigen Notfallplan bereit, falls ein umfangreiches Rollback erforderlich ist.

Das erweiterte Feature zum Gruppenrückschreiben ist für den Mandanten aktiviert und nicht per Microsoft Entra Connect-Clientinstanz. Stellen Sie sicher, dass alle Microsoft Entra Connect-Clientinstanzen auf eine minimale Buildversion von 1.6.4.0 oder höher aktualisiert werden.

Hinweis

Wenn Sie nicht alle vorhandenen Microsoft 365-Gruppen in Active Directory zurückschreiben möchten, müssen Sie das Standardverhalten des Gruppenrückschreibens ändern, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen, um das Feature zu aktivieren. Weitere Informationen dazu finden Se unter Ändern des Standardverhaltens der Microsoft Entra Connect-Gruppenrückschreibung. Außerdem müssen die neue und die ursprüngliche Version des Features in der dokumentierten Reihenfolge aktiviert werden. Wenn Sie das ursprüngliche Feature zuerst aktivieren, werden alle vorhandenen Microsoft 365-Gruppen in Active Directory zurückgeschrieben.

Aktivieren des Gruppenrückschreibens mithilfe von PowerShell

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

2. Deaktivieren Sie den Synchronisierungsplaner, nachdem Sie bestätigt haben, dass keine Synchronisierungsvorgänge ausgeführt werden:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importieren Sie das ADSync-Modul:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Aktivieren Sie das Gruppenrückschreiben für den Mandanten:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Aktivieren Sie den Synchronisierungsplaner erneut:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Führen Sie einen vollständigen Synchronisierungszyklus aus, wenn das Gruppenrückschreiben zuvor konfiguriert war und nicht im Microsoft Entra Connect-Assistenten konfiguriert wird:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Aktivieren des Gruppenrückschreibens mithilfe des Microsoft Entra Connect-Assistenten

Wenn die ursprüngliche Version des Gruppenrückschreibens nicht zuvor aktiviert wurde, fahren Sie mit den folgenden Schritten fort:

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server den Microsoft Entra Connect-Assistenten.
2. Wählen Sie Konfigurieren und dann Weiter aus.
3. Wählen Sie Synchronisierungsoptionen anpassen und anschließend Weiter.
4. Geben Sie auf der Seite Mit Microsoft Entra ID verbinden Ihre Anmeldeinformationen ein. Wählen Sie Weiter aus.
5. Vergewissern Sie sich auf der Seite Optionale Features, dass immer noch die zuvor konfigurierten Optionen ausgewählt sind.
6. Wählen Sie Gruppenrückschreiben und dann Weiter aus.
7. Wählen Sie auf der Seite Rückschreiben eine Active Directory-Organisationseinheit (OE) zum Speichern von Objekten aus, die von Microsoft 365 mit Ihrer lokalen Organisation synchronisiert werden. Klicken Sie auf Weiter.
8. Wählen Sie auf der Seite Bereit für Konfiguration die Option Konfigurieren.
9. Wählen Sie auf der Seite Konfiguration abgeschlossen die Option Beenden.

Nachdem Sie dieses Verfahren abgeschlossen haben, wird das Gruppenrückschreiben automatisch konfiguriert. Wenn beim Exportieren des Objekts in Active Directory Berechtigungsprobleme auftreten, öffnen Sie Windows PowerShell als Administrator auf dem Microsoft Entra Connect-Server. Führen Sie die folgenden Befehle aus: Dieser Schritt ist optional.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Optionale Konfiguration

Um die Suche nach Gruppen zu vereinfachen, die von Microsoft Entra ID in Active Directory zurückgeschrieben werden, gibt es die Möglichkeit, den Distinguished Name der Gruppe mit dem Cloudanzeigenamen zurückzuschreiben.

• Standardformat:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Neues Format: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Beim Konfigurieren des Gruppenrückschreibens wird unten im Konfigurationsfenster ein Kontrollkästchen angezeigt. Aktivieren Sie es, um dieses Feature zu aktivieren.

Hinweis

Für Gruppen, die von Microsoft Entra ID in Active Directory zurückgeschrieben werden, gilt die Cloud als Autoritätsquelle. Alle lokalen Änderungen an Gruppen, die von Microsoft Entra ID zurückgeschrieben werden, werden im nächsten Synchronisierungszyklus überschrieben.

Nächste Schritte

• Microsoft Entra Connect-Gruppenrückschreiben
• Ändern des Standardverhaltens der Microsoft Entra Connect-Gruppenrückschreibung
• Deaktivieren des Microsoft Entra Connect-Gruppenrückschreibens