Freigeben über

Ändern des Standardverhaltens der Microsoft Entra Connect-Gruppenrückschreibung

  • Artikel

Das Gruppenrückschreiben ist ein Feature, mit dem Sie Cloudgruppen mithilfe der Microsoft Entra Connect-Synchronisierung in Ihre lokale Active Directory-Instanz zurückschreiben können. Sie können das Standardverhalten folgendermaßen ändern:

  • Nur Gruppen, die für das Rückschreiben konfiguriert sind, werden zurückgeschrieben, einschließlich neu erstellter Microsoft 365-Gruppen.
  • Gruppen, die zurück geschrieben werden, werden in Active Directory gelöscht, wenn sie zum Gruppenrückschreiben deaktiviert, vorläufig gelöscht oder in Microsoft Entra ID endgültig gelöscht werden.
  • Microsoft 365-Gruppen mit bis zu 250.000 Mitgliedern können lokal rückgeschrieben werden.

Dieser Artikel führt Sie durch die Optionen zum Ändern des Standardverhaltens des Microsoft Entra Connect-Gruppenrückschreibens.

Überlegungen für vorhandene Bereitstellungen

Wenn die ursprüngliche Version des Gruppenrückschreibens bereits aktiviert ist und in Ihrer Umgebung verwendet wird, wurden alle Ihre Microsoft 365-Gruppen bereits in Active Directory zurückgeschrieben. Anstatt alle Microsoft 365-Gruppen zu deaktivieren, überprüfen Sie die Verwendung der zuvor zurückgeschriebenen Gruppen. Deaktivieren Sie nur diejenigen, die im lokalen Active Directory nicht mehr benötigt werden.

Deaktivieren des automatischen Rückschreibens neuer Microsoft 365-Gruppen

Verwenden Sie eine der folgenden Methoden, um Verzeichniseinstellungen zum Deaktivieren des automatischen Rückschreibens neu erstellter Microsoft 365-Gruppen zu konfigurieren:

  • PowerShell: Verwenden Sie das Microsoft Graph Beta PowerShell SDK. Beispiel:

      # Import Module
  Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement

  #Connect to MgGraph with necessary scope
  Connect-MgGraph -Scopes Directory.ReadWrite.All


  # Verify if "Group.Unified" directory settings exist
  $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}

  # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
  if ($DirectorySetting) 
  {
    $params = @{
      Values = @(
        @{
          Name = "NewUnifiedGroupWritebackDefault"
          Value = $false
        }
      )
    }
    Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
  }
  else
  {
    # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
    # Import "Group.Unified" template values to a hashtable
    $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
    $TemplateValues = @{}
    $Template.Values | ForEach-Object {
        $TemplateValues.Add($_.Name, $_.DefaultValue)
    }

    # Update the value for new unified group writeback default
    $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false

    # Create a directory setting using the Template values hashtable including the updated value
    $params = @{}
    $params.Add("TemplateId", $Template.Id)
    $params.Add("Values", @())
    $TemplateValues.Keys | ForEach-Object {
        $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
    }
    New-MgBetaDirectorySetting -BodyParameter $params
  }

Hinweis

Es wird empfohlen, das Microsoft Graph PowerShell SDK mit PowerShell 7 zu verwenden.

Deaktivieren des Rückschreibens für alle vorhandenen Microsoft 365-Gruppen

Um das Rückschreiben aller Microsoft 365-Gruppen zu deaktivieren, die vor diesen Änderungen erstellt wurden, verwenden Sie eine der folgenden Methoden:

  • Portal: Verwenden Sie das Microsoft Entra Admin-Center.

  • PowerShell: Verwenden Sie das Microsoft Graph Beta PowerShell SDK. Beispiel:

      #Import-module
  Import-Module Microsoft.Graph.Beta

  #Connect to MgGraph with necessary scope
  Connect-MgGraph -Scopes Group.ReadWrite.All

  #List all Microsoft 365 Groups
  $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}

  #Disable Microsoft 365 Groups
  Foreach ($group in $Groups) 
  {
    Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
  }

  • Microsoft Graph-Tester: Verwenden Sie ein Gruppenobjekt.

Löschen von Gruppen, wenn sie für das Rückschreiben deaktiviert oder vorläufig gelöscht sind

Hinweis

Nachdem Sie zurückgeschriebene Gruppen in Active Directory gelöscht haben, werden sie nicht automatisch aus der Active Directory-Papierkorbfunktion wiederhergestellt, wenn sie für das Rückschreiben erneut aktiviert oder aus einem vorläufig gelöschten Zustand wiederhergestellt werden. Neue Gruppen werden erstellt. Gelöschte Gruppen, die aus dem Active Directory-Papierkorb wiederhergestellt werden, bevor sie für das Rückschreiben wieder aktiviert werden, oder die aus einem vorläufig gelöschten Zustand in Microsoft Entra ID wiederhergestellt werden, werden ihren jeweiligen Microsoft Entra-Gruppen hinzugefügt.

  1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

  2. Microsoft Entra Connect-Synchronisierungsplaner Deaktivieren:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Erstellen Sie eine benutzerdefinierte Synchronisierungsregel in Microsoft Entra Connect, um zurückgeschriebene Gruppen zu löschen, wenn sie für das Rückschreiben deaktiviert oder vorläufig gelöscht wurden:

    import-module ADSync 
$precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 

New-ADSyncRule  `
-Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
-Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
-Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
-Direction 'Inbound' `
-Precedence $precedenceValue `
-PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
-PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
-SourceObjectType 'group' `
-TargetObjectType 'group' `
-Connector 'b891884f-051e-4a83-95af-2544101c9083' `
-LinkType 'Join' `
-SoftDeleteExpiryInterval 0 `
-ImmutableTag '' `
-OutVariable syncRule

Add-ADSyncAttributeFlowMapping  `
-SynchronizationRule $syncRule[0] `
-Destination 'reasonFiltered' `
-FlowType 'Expression' `
-ValueMergeType 'Update' `
-Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
 -OutVariable syncRule

New-Object  `
-TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
-ArgumentList 'cloudMastered','true','EQUAL' `
-OutVariable condition0

Add-ADSyncScopeConditionGroup  `
-SynchronizationRule $syncRule[0] `
-ScopeConditions @($condition0[0]) `
-OutVariable syncRule

New-Object  `
-TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
-ArgumentList 'cloudAnchor','cloudAnchor',$false `
-OutVariable condition0

Add-ADSyncJoinConditionGroup  `
-SynchronizationRule $syncRule[0] `
-JoinConditions @($condition0[0]) `
-OutVariable syncRule

Add-ADSyncRule  `
-SynchronizationRule $syncRule[0]

Get-ADSyncRule  `
-Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'

  4. Aktivieren Sie das Gruppenrückschreiben.

  5. Microsoft Entra Connect-Synchronisierungsplaner aktivieren:

    Set-ADSyncScheduler -SyncCycleEnabled $true

Hinweis

Durch das Erstellen der Synchronisierungsregel wird das Flag für die vollständige Synchronisierung auf dem Microsoft Entra-Connector auf true gesetzt. Diese Änderung führt dazu, dass die Regeländerungen im nächsten Synchronisierungszyklus weitergegeben werden.

Rückschreiben von Microsoft 365-Gruppen mit bis zu 250.000 Mitgliedern

Da die standardmäßige Synchronisierungsregel, die die Gruppengröße begrenzt, bei der Aktivierung des Gruppenrückschreibens erstellt wird, müssen Sie die folgenden Schritte nach dem Aktivieren des Gruppenrückschreibens ausführen:

  1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

  2. Microsoft Entra Connect-Synchronisierungsplaner Deaktivieren:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Öffnen Sie den Synchronisierungsregel-Editor.

  4. Legen Sie die Richtung auf Ausgehend fest.

  5. Suchen Sie die Synchronisierungsregel Ausgehend an AD – Mitgliederbeschränkung für das Gruppenrückschreiben und deaktivieren Sie sie.

  6. Microsoft Entra Connect-Synchronisierungsplaner aktivieren:

    Set-ADSyncScheduler -SyncCycleEnabled $true

Hinweis

Durch das Deaktivieren der Synchronisierungsregel wird das Flag für die vollständige Synchronisierung auf dem Microsoft Entra-Connector auf true gesetzt. Diese Änderung führt dazu, dass die Regeländerungen im nächsten Synchronisierungszyklus weitergegeben werden.

Wiederherstellung aus dem Active Directory-Papierkorb

Wenn Sie das Standardverhalten so ändern, dass Gruppen gelöscht werden, wenn sie für das Rückschreiben deaktiviert oder vorläufig gelöscht wurden, sollten Sie das Feature Active Directory-Papierkorb für lokale Active Directory-Instanzen aktivieren. Sie können dieses Feature verwenden, um zuvor gelöschte Active Directory-Gruppen manuell wiederherzustellen, damit sie wieder ihren jeweiligen Microsoft Entra-Gruppen hinzugefügt werden können, wenn sie versehentlich für das Rückschreiben deaktiviert oder vorläufig gelöscht wurden.

Bevor Sie das Rückschreiben oder die Wiederherstellung nach vorläufigem Löschen in Microsoft Entra ID erneut aktivieren, müssen Sie die Gruppe zunächst in Active Directory wiederherstellen.

Nächste Schritte