Share via

Migrieren der Version 2 des Gruppenrückschreibens in der Microsoft Entra Connect-Synchronisierung zur Microsoft Entra-Cloudsynchronisierung

  • Artikel

Wichtig

Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Verbinden Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird an diesem Datum nicht mehr unterstützt, und Sie werden in Verbinden Synchronisierung nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen.

Wir bieten ähnliche Funktionen in Microsoft Entra Cloud Sync namens "Gruppenbereitstellung in Active Directory ", die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen in Active Directory verwenden können. Wir arbeiten daran, diese Funktionalität in Cloud Sync zusammen mit anderen neuen Features zu verbessern, die wir in Cloud Sync entwickeln.

Kunden, die dieses Vorschaufeature in Verbinden Synchronisieren verwenden, sollten ihre Konfiguration von Verbinden Synchronisierung in Cloud Sync wechseln. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern sie Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.

Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktion weiterhin Group Writeback v1 verwenden.

Mit dem user synchronization wizard können Sie die Verschiebung ausschließlich zu Cloud Sync auswerten.

In diesem Artikel wird beschrieben, wie Sie das Gruppenrückschreiben mithilfe der Microsoft Entra Connect-Synchronisierung (ehemals Azure AD Connect) zur Microsoft Entra-Cloudsynchronisierung migrieren. Dieses Szenario richtet sich lediglich an Kunden, die derzeit die Version 2 des Gruppenrückschreibens in Microsoft Entra Connect verwenden. Der in diesem Artikel beschriebene Prozess bezieht sich lediglich auf in der Cloud erstellte Sicherheitsgruppen, die mit dem Bereich „Universell“ zurückgeschrieben werden. E-Mail-aktivierte Gruppen und DLs, die mithilfe der Versionen 1 oder 2 des Gruppenrückschreibens in Microsoft Entra Connect zurückgeschrieben wurden, werden nicht unterstützt.

Wichtig

Dieses Szenario richtet sich lediglich an Kunden, die derzeit die Version 2 des Gruppenrückschreibens in Microsoft Entra Connect verwenden.

Außerdem wird dieses Szenario lediglich für Folgendes unterstützt:

  • In der Cloud erstellte Sicherheitsgruppen werden unterstützt.
  • Diese Gruppen werden mit dem AD-Gruppenbereich Universell zurückgeschrieben.

E-Mail-aktivierte Gruppen und DLs, die mithilfe der Versionen 1 oder 2 des Gruppenrückschreibens in Microsoft Entra Connect zurückgeschrieben wurden, werden nicht unterstützt.

Weitere Informationen finden Sie unter Bereitstellen in Active Directory mithilfe der Microsoft Entra-Cloudsynchronisierung: Häufig gestellte Fragen.

Voraussetzungen

Für die Implementierung dieses Szenarios sind die folgenden Voraussetzungen erforderlich.

  • Ein Microsoft Entra-Konto mit der Rolle Hybridadministrator oder höher
  • Ein lokales AD-Konto mit Domänenadministratorberechtigungen oder höher. Dies ist erforderlich, um auf das adminDescription-Attribut zuzugreifen und dieses in das msDS-ExternalDirectoryObjectId-Attribut zu kopieren.
  • Eine lokale Active Directory Domain Services-Umgebung mit dem Betriebssystem Windows Server 2016 oder höher
    • Erforderlich für das AD-Schemaattribut: msDS-ExternalDirectoryObjectId
  • Ein Bereitstellungs-Agent mit der Buildversion 1.1.1367.0 oder höher
  • Der Bereitstellungs-Agent muss mit den Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.
    • Erforderlich für die globale Katalogsuche zum Filtern ungültiger Mitgliedschaftsverweise

Schritt 1: Kopieren von adminDescription in msDS-ExternalDirectoryObjectID

  1. Öffnen Sie die ADSI-Bearbeitung in Ihrer lokalen Umgebung.

  2. Kopieren Sie den Wert im AdminDescription-Attribut der Gruppe.

    Screenshot des Attributs adminDescription.

  3. Fügen Sie ihn in das msDS-ExternalDirectoryObjectID-Attribut ein.

    Screenshot des Attributs msDS-ExternalDirectoryObjectID.

Schritt 2: Versetzen des Microsoft Entra Connect-Synchronisierungsservers in den Stagingmodus und Deaktivieren des Synchronisierungsplaners

  1. Starten Sie den Microsoft Entra Connect-Sync-Assistenten.

  2. Klicken Sie auf Konfigurieren.

  3. Klicken Sie auf Stagingmodus konfigurieren und dann auf Weiter.

  4. Geben Sie die Microsoft Entra-Anmeldeinformationen ein

  5. Aktivieren Sie das Kontrollkästchen Stagingmodus aktivieren, und klicken Sie auf Weiter.

    Screenshot der Aktivierung von des Stagingmodus.

  6. Klicken Sie auf Konfigurieren.

  7. Klicken Sie auf Beenden.

    Screenshot des Erfolgs des Stagingmodus.

  8. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

  9. Deaktivieren Sie den Synchronisierungsplaner:

    Set-ADSyncScheduler -SyncCycleEnabled $false

Schritt 3: Erstellen einer benutzerdefinierten Eingangsregel für Gruppen

Sie müssen im Editor für Microsoft Entra Connect-Synchronisierungsregeln eine eingehende Synchronisierungsregel erstellen, die Gruppen herausfiltert, die über ein NULL-Attribut für E-Mails verfügen. Die eingehende Synchronisierungsregel ist eine Joinregel mit dem cloudNoFlow-Zielattribut. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Gruppen nicht zu synchronisieren.

  1. Starten Sie den Synchronisierungsregel-Editor im Anwendungsmenü auf dem Desktop, wie unten dargestellt:

  2. Wählen Sie in der Dropdownliste die Richtung Eingehend aus, und wählen Sie Neue Regel hinzufügen aus.

  3. Geben Sie auf der Seite Beschreibung Folgendes ein, und wählen Sie anschließend Weiter aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die Regel ein.

    • Beschreibung: Geben Sie eine aussagekräftige Beschreibung ein.

    • Verbundenes System: Wählen Sie den Microsoft Entra-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel erstellen.

    • Objekttyp des verbundenen Systems: Gruppe

    • Metaverse-Objekttyp: Gruppe

    • Verknüpfungstyp: Join

    • Rangfolge: Geben Sie einen Wert an, der im System eindeutig ist.

    • Tag: Leer lassen

      Screenshot der eingehenden Synchronisierungsregel.

  4. Fügen Sie auf der Seite Bereichsfilter Folgendes über die Option Hinzufügen hinzu, und wählen Sie dann Weiter aus.

    attribute Operator Wert
    cloudMastered EQUAL true
    mail ISNULL

    Screenshot des Bereichsfilters.

  5. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

  6. Fügen Sie auf der Seite Transformationen eine Transformation vom Typ „Konstante“ hinzu, und setzen Sie das Attribut „cloudNoFlow“ auf „True“. Wählen Sie Hinzufügen aus.

    Screenshot einer Transformation.

Schritt 4: Erstellen einer benutzerdefinierten Ausgangsregel für Gruppen

Außerdem benötigen Sie eine ausgehende Synchronisierungsregel mit dem Linktyp „JoinNoFlow“ und einem Bereichsfilter, bei dem das cloudNoFlow-Attribut auf TRUE festgelegt ist. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Gruppen nicht zu synchronisieren.

  1. Wählen Sie in der Dropdownliste die Richtung Ausgehend aus, und wählen Sie Regel hinzufügen aus.

  2. Geben Sie auf der Seite Beschreibung Folgendes ein, und wählen Sie anschließend Weiter aus:

    • Name: Geben Sie einen aussagekräftigen Namen für die Regel ein.
    • Beschreibung: Geben Sie eine aussagekräftige Beschreibung ein.
    • Verbundenes System: Wählen Sie den AD-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel erstellen.
    • Objekttyp des verbundenen Systems: Gruppe
    • Metaverse-Objekttyp: Gruppe
    • Verknüpfungstyp: JoinNoFlow
    • Rangfolge: Geben Sie einen Wert an, der im System eindeutig ist.
    • Tag: Leer lassen

    Screenshot der ausgehenden Synchronisierungsregel.

  3. Wählen Sie auf der Seite Bereichsfilter das Attribut cloudNoFlow, den Operator „Gleich“ und den Wert True aus. Wählen Sie Weiteraus.

    Screenshot des ausgehenden Bereichsfilters.

  4. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

  5. Wählen Sie auf der Seite Transformationen die Option Hinzufügen aus.

Schritt 5: Fertigstellen der Konfiguration mit PowerShell

  1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

  2. Importieren Sie das ADSync-Modul:

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'

  3. Führen Sie einen vollständigen Synchronisierungszyklus aus:

    Start-ADSyncSyncCycle -PolicyType Initial

  4. Deaktivieren Sie das Gruppenrückschreiben für den Mandanten:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

  5. Führen Sie einen vollständigen Synchronisierungszyklus erneut aus:

    Start-ADSyncSyncCycle -PolicyType Initial

  6. Aktivieren Sie den Synchronisierungsplaner erneut:

    Set-ADSyncScheduler -SyncCycleEnabled $true

    Screenshot der PowerShell-Ausführung.

Schritt 6: Entfernen des Microsoft Entra Connect-Synchronisierungsservers aus dem Stagingmodus

  1. Starten Sie den Microsoft Entra Connect-Sync-Assistenten.
  2. Klicken Sie auf Konfigurieren.
  3. Klicken Sie auf Stagingmodus konfigurieren und dann auf Weiter.
  4. Geben Sie die Microsoft Entra-Anmeldeinformationen ein
  5. Deaktivieren Sie das Kontrollkästchen Stagingmodus aktivieren, und klicken Sie auf Weiter.
  6. Klicken Sie auf Konfigurieren.
  7. Klicken Sie auf Beenden.

Schritt 7: Konfigurieren der Microsoft Entra-Cloudsynchronisierung

Nachdem Sie die Gruppen nun erfolgreich aus dem Bereich der Microsoft Entra Connect-Synchronisierung entfernt haben, können Sie die Microsoft Entra-Cloudsynchronisierung für die Übernahme der Synchronisierung freigeben und konfigurieren. Weitere Informationen finden Sie unter Bereitstellen von Gruppen in Active Directory mithilfe der Microsoft Entra-Cloudsynchronisierung.

Nächste Schritte