Modificación del comportamiento predeterminado de la escritura diferida de grupos de Microsoft Entra Connect
La escritura diferida de grupos es la característica que permite volver a escribir grupos de la nube en la instancia de Active Directory local mediante la sincronización de Microsoft Entra Connect. Puede cambiar el comportamiento predeterminado de las siguientes maneras:
- Solo se reescribirán de forma diferida los grupos que estén configurados para la escritura diferida, entre los que se incluyen los grupos de Microsoft 365 recién creados.
- Los grupos que se escriben en diferido se eliminarán de Active Directory cuando estén deshabilitados para la escritura diferida de grupos, se eliminen temporalmente o se eliminen permanentemente en Microsoft Entra ID.
- Los grupos de Microsoft 365 con hasta 250 000 miembros se pueden volver a escribir en el entorno local.
Este artículo le explica las opciones para modificar los comportamientos predeterminados de la escritura diferida de grupos de Microsoft Entra Connect.
Consideraciones para las implementaciones existentes
Si la versión original de la escritura diferida de grupos ya está habilitada y en uso en su entorno, todos los grupos de Microsoft 365 ya se habrán escrito en diferido en Active Directory. En vez de deshabilitar todos los grupos de Microsoft 365, revise cualquier uso de los grupos que ya se hayan escrito en diferido. Deshabilite solo los que ya no sean necesarios en la instancia de Active Directory local.
Deshabilitación de la escritura diferida automática de los nuevos grupos de Microsoft 365
Para definir la configuración de directorio para deshabilitar la escritura diferida automática de grupos de Microsoft 365 recién creados, use uno de estos métodos:
PowerShell: use el SDK de PowerShell de Microsoft Graph Beta. Por ejemplo:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
Nota:
Se recomienda usar el SDK de PowerShell de Microsoft Graph con PowerShell 7.
- Microsoft Graph: Use el tipo de recurso directorySetting.
Deshabilitación de la escritura diferida para todos los grupo existente de Microsoft 365
Para deshabilitar la escritura diferida de todos los grupos de Microsoft 365 que se crearon antes de estas modificaciones, use uno de los métodos siguientes:
Portal: Use el centro de administración de Microsoft Entra.
PowerShell: use el SDK de PowerShell de Microsoft Graph Beta. Por ejemplo:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }Microsoft Graph Explorer: Use un objeto de grupo.
Eliminación de grupos cuando están deshabilitados para la escritura diferida o la eliminación temporal
Nota
Después de eliminar los grupos de escritura diferida en Active Directory, no se restauran automáticamente desde la característica Papelera de reciclaje de Active Directory si están rehabilitados para la escritura diferida o si se restauran a partir de un estado de eliminación temporal. Se crearán nuevos grupos. Los grupos eliminados que se restauran desde la Papelera de reciclaje de Active Directory antes de que se vuelvan a habilitar para la escritura diferida, o que se restauran a partir de un estado de eliminación temporal en Microsoft Entra ID, se unirán a sus respectivos grupos de Microsoft Entra.
En el servidor deMicrosoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.
Deshabilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $falseCree una regla de sincronización personalizada en Microsoft Entra Connect para eliminar grupos de escritura diferida cuando estén deshabilitados para la escritura diferida o la eliminación temporal:
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'Habilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $true
Nota:
Al crear la regla de sincronización se establecerá el indicador de sincronización completa trueen el conector Microsoft Entra. Este cambio hará que los cambios de regla se propaguen en el siguiente ciclo de sincronización.
Escritura diferida de grupos de Microsoft 365 con hasta 250 000 miembros
Dado que la regla de sincronización predeterminada que limita el tamaño del grupo se crea cuando se habilita la escritura diferida de grupos, debe completar los pasos siguientes después de habilitar la escritura diferida de grupos:
En el servidor deMicrosoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.
Deshabilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $falseAbra el editor de reglas de sincronización.
Establezca la dirección en Saliente.
Busque y deshabilite la regla de sincronización Fuera de AD – Límite de miembro de escritura diferida de grupos.
Habilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $true
Nota:
Al deshabilitar la regla de sincronización, se establecerá la marca para la sincronización completa para true el conector de Microsoft Entra. Este cambio hará que los cambios de regla se propaguen en el siguiente ciclo de sincronización.
Restauración desde la Papelera de reciclaje de Active Directory
Si va a actualizar el comportamiento predeterminado para eliminar grupos cuando están deshabilitados para la escritura diferida o la eliminación temporal, se recomienda habilitar la característica Papelera de reciclaje de Active Directory para las instancias locales de Active Directory. Puede usar esta característica para restaurar manualmente grupos de Active Directory que ya se hayan eliminado, de modo que se puedan volver a unir a sus respectivos grupos de Microsoft Entra, si se deshabilitaron accidentalmente para la escritura diferida o la eliminación temporal.
Antes de volver a habilitar la escritura diferida o la restauración desde la eliminación temporal en Microsoft Entra ID, primero debe restaurar el grupo en Active Directory.