Partage via


Modifier le comportement par défaut de réécriture du groupe Microsoft Entra Connect

La réécriture de groupe est une fonctionnalité qui vous permet de réécrire des groupes cloud sur votre instance Active Directory sur site à l'aide de Microsoft Entra Connect Sync. Vous pouvez modifier le comportement par défaut des manières suivantes :

  • Seuls les groupes configurés pour l’écriture différée seront réécrits, y compris les groupes Microsoft 365 nouvellement créés.
  • Les groupes réécrits seront supprimés dans Active Directory lorsqu'ils sont désactivés pour la réécriture de groupe, supprimés de manière logicielle ou supprimés définitivement dans Microsoft Entra ID.
  • Les groupes Microsoft 365 comptant jusqu’à 250 000 membres peuvent être réécrits localement.

Cet article vous guide à travers les options permettant de modifier les comportements par défaut de la réécriture du groupe Microsoft Entra Connect.

Considérations relatives aux déploiements existants

Si la version d’origine de la réécriture de groupe est déjà activée et utilisée dans votre environnement, tous vos groupes Microsoft 365 ont déjà été réécrits dans Active Directory. Au lieu de désactiver tous les groupes Microsoft 365, passez en revue toute utilisation des groupes précédemment réécrits. Désactivez uniquement ceux qui ne sont plus nécessaires dans l’instance Active Directory locale.

Désactiver l’écriture différée automatique pour les nouveaux groupes Microsoft 365

Pour configurer les paramètres de répertoire afin de désactiver l’écriture différée automatique pour les groupes Microsoft 365 nouvellement créés, utilisez l’une des méthodes suivantes :

  • PowerShell : utilisez le SDK Microsoft Graph Beta PowerShell. Par exemple :

      # Import Module
      Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    
      #Connect to MgGraph with necessary scope
      Connect-MgGraph -Scopes Directory.ReadWrite.All
    
    
      # Verify if "Group.Unified" directory settings exist
      $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
    
      # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
      if ($DirectorySetting) 
      {
        $params = @{
          Values = @(
            @{
              Name = "NewUnifiedGroupWritebackDefault"
              Value = $false
            }
          )
        }
        Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
      }
      else
      {
        # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
        # Import "Group.Unified" template values to a hashtable
        $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
        $TemplateValues = @{}
        $Template.Values | ForEach-Object {
            $TemplateValues.Add($_.Name, $_.DefaultValue)
        }
    
        # Update the value for new unified group writeback default
        $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
    
        # Create a directory setting using the Template values hashtable including the updated value
        $params = @{}
        $params.Add("TemplateId", $Template.Id)
        $params.Add("Values", @())
        $TemplateValues.Keys | ForEach-Object {
            $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
        }
        New-MgBetaDirectorySetting -BodyParameter $params
      }
    

Remarque

Nous vous recommandons d’utiliser le kit de développement logiciel (SDK) Microsoft Graph PowerShell avec PowerShell 7.

Désactiver l’écriture différée pour tous les groupes Microsoft 365 existants

Pour désactiver l’écriture différée de tous les groupes Microsoft 365 créés avant ces modifications, utilisez l’une des méthodes de création suivantes :

  • Portail : utilisez le centre d'administration Microsoft Entra.

  • PowerShell : utilisez le SDK Microsoft Graph Beta PowerShell. Par exemple :

      #Import-module
      Import-Module Microsoft.Graph.Beta
    
      #Connect to MgGraph with necessary scope
      Connect-MgGraph -Scopes Group.ReadWrite.All
    
      #List all Microsoft 365 Groups
      $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
    
      #Disable Microsoft 365 Groups
      Foreach ($group in $Groups) 
      {
        Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
      }
    
  • Microsoft Graph Explorer : utilisez un objet de groupe.

Supprimer des groupes lorsqu’ils sont désactivés pour l’écriture différée ou la suppression réversible

Notes

Une fois les groupes réécrits supprimés dans Active Directory, ils ne sont pas restaurés automatiquement à partir de la fonctionnalité Corbeille Active Directory s’ils sont réactivés pour l’écriture différée ou restaurés à partir d’un état de suppression réversible. De nouveaux groupes seront créés. Les groupes supprimés qui sont restaurés à partir de la corbeille Active Directory avant d'être réactivés pour l'écriture différée, ou qui sont restaurés à partir d'un état de suppression logicielle dans Microsoft Entra ID, seront joints à leurs groupes Microsoft Entra respectifs.

  1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

  2. Désactivez le planificateur Microsoft Entra Connect Sync :

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    
  3. Créez une règle de synchronisation personnalisée dans Microsoft Entra Connect pour supprimer les groupes réécrits lorsqu'ils sont désactivés pour l'écriture différée ou supprimés de manière logicielle :

    import-module ADSync 
    $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
    
    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
    -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
    -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
    -Direction 'Inbound' `
    -Precedence $precedenceValue `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
    
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Destination 'reasonFiltered' `
    -FlowType 'Expression' `
    -ValueMergeType 'Update' `
    -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
     -OutVariable syncRule
    
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
    
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
    
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
    -ArgumentList 'cloudAnchor','cloudAnchor',$false `
    -OutVariable condition0
    
    Add-ADSyncJoinConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -JoinConditions @($condition0[0]) `
    -OutVariable syncRule
    
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
    
    Get-ADSyncRule  `
    -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
    
  4. Activez l’écriture différée des groupes.

  5. Activez le planificateur Microsoft Entra Connect Sync :

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

Remarque

La création de la règle de synchronisation définira l'indicateur de synchronisation complète true sur le connecteur Microsoft Entra. Cette modification entraînera la propagation des modifications de règle lors du prochain cycle de synchronisation.

Écrire en différé des groupes Microsoft 365 comptant jusqu’à 250 000 membres

Étant donné que la règle de synchronisation par défaut, qui limite la taille du groupe, est créée lorsque l’écriture différée de groupe est activée, vous devez effectuer les étapes suivantes une fois l’écriture différée du groupe activée :

  1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

  2. Désactivez le planificateur Microsoft Entra Connect Sync :

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    
  3. Ouvrez l’éditeur de règles de synchronisation.

  4. Définissez la direction sur Sortante.

  5. Recherchez et désactivez la règle de synchronisation Out to AD – Group Writeback Member Limit.

  6. Activez le planificateur Microsoft Entra Connect Sync :

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

Remarque

La désactivation de la règle de synchronisation définira l'indicateur de synchronisation complète true sur le connecteur Microsoft Entra. Cette modification entraînera la propagation des modifications de règle lors du prochain cycle de synchronisation.

Restaurer à partir de la Corbeille Active Directory

Si vous mettez à jour le comportement par défaut pour supprimer des groupes lorsqu’ils sont désactivés pour l’écriture différée ou la suppression réversible, nous vous recommandons d’activer la fonctionnalité Corbeille Active Directory pour vos instances locales d’Active Directory. Vous pouvez utiliser cette fonctionnalité pour restaurer manuellement des groupes Active Directory précédemment supprimés afin qu'ils puissent être rejoints dans leurs groupes Microsoft Entra respectifs, s'ils ont été accidentellement désactivés pour la réécriture ou supprimés de manière logicielle.

Avant de réactiver l'écriture ou la restauration à partir d'une suppression logicielle dans Microsoft Entra ID, vous devez d'abord restaurer le groupe dans Active Directory.

Étapes suivantes