Freigeben über

Gruppenrückschreiben im Microsoft Entra Admin Center (Vorschau)

  • Artikel

Hinweis

In diesem Artikel wird erläutert, wie Vorgänge im Microsoft Entra Admin Center im Hinblick auf Gruppenrückschreiben ausgeführt werden. Informationen zur Einrichtung und Konfiguration finden Sie unter Bereitstellen von Gruppen für Active Directory mithilfe von Microsoft Entra-Cloudsynchronisierung (Vorschau)

Mit der Veröffentlichung von Version 1.1.1370.0 des Bereitstellungs-Agents kann die Cloudsynchronisierung jetzt Gruppen direkt in Ihrer lokalen Active Directory-Umgebung bereitstellen. Mit dieser Funktion können Sie Identitätsgovernancefeatures verwenden, um den Zugriff auf Active Directory-basierte Anwendungen zu steuern. Sie können z. B. eine Gruppe in ein Zugriffspaket für die Berechtigungsverwaltung einschließen. Dies befindet sich derzeit in der öffentlichen Vorschau.

Weitere Informationen finden Sie unter Steuern lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance

Wichtig

Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Verbinden Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird an diesem Datum nicht mehr unterstützt, und Sie werden in Verbinden Synchronisierung nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen.

Wir bieten ähnliche Funktionen in Microsoft Entra Cloud Sync namens "Gruppenbereitstellung in Active Directory ", die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen in Active Directory verwenden können. Wir arbeiten daran, diese Funktionalität in Cloud Sync zusammen mit anderen neuen Features zu verbessern, die wir in Cloud Sync entwickeln.

Kunden, die dieses Vorschaufeature in Verbinden Synchronisieren verwenden, sollten ihre Konfiguration von Verbinden Synchronisierung in Cloud Sync wechseln. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern sie Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.

Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktion weiterhin Group Writeback v1 verwenden.

Sie können das Verschieben ausschließlich in Cloud Sync auswerten, indem Sie den Benutzersynchronisierungs-Assistenten verwenden.

Wenn Sie Version 2 des Gruppenrückschreibens in Azure AD Connect verwenden, müssen Sie zur Cloudsynchronisierungsbereitstellung von AD wechseln, bevor Sie die Bereitstellung von Cloudsynchronisierungsgruppen verwenden können. Weitere Informationen finden Sie unter Migrieren des Microsoft Entra Connect Sync-Gruppenrückschreibens V2 zu Microsoft Entra Cloud Sync.

Hinweis

Wenn Sie zuvor Microsoft 365-Gruppen als universelle Verteilergruppen in lokales Active Directory schreiben, werden sie in der Azure-Portal angezeigt, da sie nicht für das Schreiben auf der Seite Gruppen und auf der Eigenschaftenseite für eine Gruppe aktiviert sind. Auf diesen Seiten wird eine für die Vorschau neu eingeführte Eigenschaft angezeigt: „Rückschreiben aktiviert“. Diese Eigenschaft wird von der aktuellen Version für das Gruppenrückschreiben nicht festgelegt. So wird Abwärtskompatibilität mit der Legacyversion des Gruppenrückschreibens gewährleistet, und es wird vermieden, dass vorhandene Kundenkonfigurationen beschädigt werden.

Um das Verhalten von No writeback im Portal zu verstehen, können Sie den Rückschreibe-Status über Microsoft Graph anzeigen. Weitere Informationen finden Sie unter Gruppe abrufen.

Portal Microsoft Graph Verhalten
Rückschreiben isEnabled = null or true Die Gruppe wird zurückgeschrieben.
Kein Rückschreiben isEnabled = false Die Gruppe wird nicht zurückgeschrieben.
Kein Rückschreiben IsEnabled = null & onPremisesGroupType = null Microsoft 365-Gruppe: Die Gruppe wird als Verteilergruppe in das lokale Active Directory-System zurückgeschrieben.
Wenn es sich um eine Microsoft Entra-Sicherheitsgruppe handelt, wird sie in das lokale Active Directory zurückgeschrieben.

Der Status für Gruppenrückschreiben wird standardmäßig auf Kein Rückschreiben festgelegt. Das bedeutet Folgendes:

  • Microsoft 365-Gruppen: Falls für die Gruppe IsEnabled = null und onPremisesGroupType = null festgelegt ist, um Abwärtskompatibilität mit älteren Versionen für das Gruppenrückschreiben zu gewährleisten, wird die Gruppe als Verteilergruppe in Ihr lokales Active Directory-System zurückgeschrieben.
  • Microsoft Entra-Sicherheitsgruppen: Wenn für die Gruppe IsEnabled = null und onPremisesGroupType = null festgelegt sind, wird die Gruppe in das lokales Active Directory zurückgeschrieben.

Zurückschreibungsspalten anzeigen

Auf der Seite der Übersicht Alle Gruppen können Sie der Ansicht die Gruppenrückschreibungsspalten Zielrückschreibungstyp und Rückschreibung aktiviert zur Ansicht hinzufügen. Die Spalten Zielrückschreibungstyp und Rückschreibung aktiviert stehen für die Ansicht zur Verfügung, ob in Microsoft Entra Connect Rückschreibung aktiviert ist oder nicht.

Screenshot that shows selecting columns for writeback in the All groups list.

Einstellungen für die Rückschreibung von Spalten

Mit der Spalte Rückschreibung aktiviert können Sie die Schreibzugriffsfunktion für einzelne Gruppen deaktivieren. Mit der Spalte Zielrückschreibungstyp können Sie angeben, welchen Gruppentyp diese Cloud-Gruppe in Ihrem lokales Active Directory zurückgeschrieben werden soll. Eine Microsoft Entra Microsoft 365-Gruppe können Sie als Sicherheitsgruppe, Verteilergruppe oder E-Mail-aktivierte Sicherheitsgruppe zurückschreiben. Eine Microsoft Entra-Sicherheitsgruppe können Sie nur als Sicherheitsgruppe zurückschreiben.

Screenshot that shows writeback settings columns that are visible on the All groups page.

Rückschreibungseinstellungen in Gruppeneigenschaften

Sie können auch Rückschreibungseinstellungen für eine Gruppe auf der Eigenschaftenseite für die Gruppe konfigurieren. Es gibt eine Einstellung Status für Gruppenrückschreiben, mit der Sie das Rückschreiben für die Gruppe deaktivieren oder den Typ der Rückschreibegruppe angeben können. Wenn Kein Rückschreiben ausgewählt ist, wird die Gruppe nicht zurückgeschrieben. Wenn Sie einen der anderen Rückschreibungstypen als Option (zum Beispiel Sicherheit) auswählen, haben Sie folgendes:

  • Die Gruppe für die Rückschreibung aktiviert
  • Den Rückschreibungszugriffstyp als Sicherheitsgruppe anvisiert

Screenshot that shows changing writeback settings in the group properties.

Lesen der Rückschreibkonfiguration mithilfe von PowerShell

Sie können PowerShell verwenden, um mithilfe des folgenden PowerShell-Get-MgGroup-Cmdlets eine Liste der rückschreibfähigen Gruppen abzurufen.

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

Lesen der Rückschreibkonfiguration mithilfe von Graph-Tester

Öffnen Sie den Microsoft Graph-Tester, und verwenden Sie den folgenden Endpunkt https://graph.microsoft.com/beta/groups/{Group_ID}.

Ersetzen Sie die „Group_ID“ durch eine Cloudgruppen-ID, und wählen Sie dann „Abfrage ausführen“ aus. Scrollen Sie in der Antwortvorschau bis zum Ende, um den Teil der JSON-Datei anzuzeigen.

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

Nächste Schritte