Écriture différée de groupe dans le centre d'administration Microsoft Entra

  • Article

Remarque

Cet article explique comment effectuer des opérations relatives à l’écriture différée de groupe dans le centre d’administration Microsoft Entra. Pour plus d’informations sur l’installation et la configuration, consultez Approvisionner des groupes sur Active Directory à l’aide de Microsoft Entra Cloud Sync (préversion)

Avec la publication de l'agent d'approvisionnement 1.1.1370.0, la synchronisation cloud permet désormais d'approvisionner des groupes directement dans votre environnement Active Directory local. Avec cette fonctionnalité, vous pouvez utiliser des fonctionnalités de gouvernance des identités pour régir l'accès aux applications basées sur Active Directory. Par exemple, vous pouvez inclure un groupe dans un package d'accès de gestion des droits d'utilisation. Cette fonctionnalité est actuellement en préversion publique.

Pour plus d'informations, consultez Approvisionnement de groupe dans Active Directory et Gouverner les applications basées sur Active Directory sur site (Kerberos) à l'aide de Gouvernance des ID Microsoft Entra (préversion).

Important

La préversion publique de l'écriture différée de groupe V2 dans Microsoft Entra Connect Sync ne sera plus disponible après le 30 juin 2024. Cette fonctionnalité ne sera plus disponible à cette date et vous ne serez plus pris en charge dans Connect Sync pour approvisionner des groupes de sécurité cloud sur Active Directory.

Nous proposons une fonctionnalité similaire dans Microsoft Entra Cloud Sync appelée Approvisionnement de groupe vers Active Directory que vous pouvez utiliser au lieu d'Écriture différée de groupe v2 pour approvisionner des groupes de sécurité cloud sur Active Directory. Nous travaillons à améliorer cette fonctionnalité dans Cloud Sync, ainsi que d'autres nouvelles fonctionnalités que nous développons dans Cloud Sync.

Les clients qui utilisent cette fonctionnalité d'évaluation dans Connect Sync doivent basculer leur configuration de Connect Sync vers Cloud Sync. Vous pouvez choisir de procéder à la migration de toute votre synchronisation hybride vers Cloud Sync (si elle prend en charge vos besoins). Vous pouvez également exécuter Cloud Sync côte à côte et déplacer uniquement l'approvisionnement de groupes de sécurité du cloud vers Active Directory vers Cloud Sync.

Pour les clients qui approvisionnent des groupes Microsoft 365 dans Active Directory, vous pouvez continuer à utiliser l'Écriture différée de groupe v1 pour cette capacité.

Vous pouvez évaluer la possibilité de passer exclusivement à Cloud Sync en utilisant l'assistant de synchronisation des utilisateurs.

Si vous utilisez l'écriture différée v2 de groupe de à l'aide de la synchronisation Microsoft Entra Connect, vous devrez passer à l'approvisionnement de synchronisation cloud vers Active Directory avant de pouvoir bénéficier de l'approvisionnement de groupes de synchronisation cloud. Pour plus d'informations, consultez Migrer l'écriture différée de groupe de synchronisation v2 vers Synchronisation cloud Microsoft Entra.

Remarque

Si vous avez écrit en différé des groupes Microsoft 365 sur Active Directory local en tant que groupes de distribution universels, ils apparaissent sur le portail Azure comme étant non activés pour l'écriture différée dans la page Groupes ainsi que dans la page de propriétés d'un groupe. Ces pages affichent une nouvelle propriété introduite pour la préversion, à savoir writeback enabled. Cette propriété n'est pas définie par la version actuelle de l'écriture différée de groupe pour garantir la compatibilité descendante avec la version héritée de l'écriture différée de groupe et pour éviter de briser les configurations client existantes.

Pour comprendre le comportement de No writeback dans le portail, vous pouvez voir l’état de l’écriture différée avec Microsoft Graph. Pour plus d’informations, consultez Get group.

Portail Microsoft Graph Comportement
Écriture différée isEnabled = null ou true Le groupe est réécrit.
Aucune écriture différée isEnabled = false Le groupe n’est pas réécrit.
Aucune écriture différée IsEnabled = null & onPremisesGroupType = null S'il s'agit d'un groupe Microsoft 365, il est écrit en différé dans Active Directory local en tant que groupe de distribution.
Dans le cas d’un groupe de sécurité Microsoft Entra, il est réécrit dans l’annuaire Active Directory local.

Par défaut, l’état d’écriture différée de groupe des groupes est défini sur Aucune écriture différée. En d’autres termes :

  • Groupes Microsoft 365 : si le groupe a IsEnabled = null et onPremisesGroupType = null, pour garantir la compatibilité descendante avec l'ancienne version d'écriture différée du groupe, le groupe est écrit en différé dans votre annuaire Active Directory local en tant que groupe de distribution.
  • Groupes de sécurité Microsoft Entra : si le groupe est défini avec IsEnabled = null et onPremisesGroupType = null, il est réécrit dans l’annuaire Active Directory local.

Afficher les colonnes de réécriture

Dans la page de page de présentation Tous les groupes, vous pouvez ajouter les colonnes d'écriture différée de groupes Type d'écriture différée cible et Écriture différée activée à la vue. Vous pouvez afficher les colonnes Type de réécriture cible et Réécriture activée, que vous ayez activé ou non la réécriture dans Microsoft Entra Connect.

Screenshot that shows selecting columns for writeback in the All groups list.

Paramètres de colonne de réécriture

La colonne Réécriture activée vous permet de désactiver la fonctionnalité de réécriture pour des groupes spécifiques. La colonne Type d'écriture différée cible vous permet de spécifier le type de groupe dans lequel vous souhaitez que ce groupe cloud soit écrit en différé au sein de votre annuaire Active Directory local. S’il s’agit d’un groupe Microsoft 365 Microsoft Entra, vous pouvez le réécrire en tant que groupe de sécurité, groupe de distribution ou groupe de sécurité à extension messagerie. S’il s’agit d’un groupe de sécurité Microsoft Entra, vous pouvez le réécrire uniquement en tant que groupe de sécurité.

Screenshot that shows writeback settings columns that are visible on the All groups page.

Paramètres de réécriture dans les propriétés de groupe

Vous pouvez également configurer les paramètres de réécriture d’un groupe dans la page de propriétés du groupe. Il existe un paramètre État de l’écriture différée du groupe, qui vous permet de désactiver l’écriture différée du groupe ou de spécifier le type de groupe d’écriture différée. Quand l’option Aucune écriture différée est sélectionnée, le groupe n’est pas écrit en différé. Si vous sélectionnez l'un des autres types d'écriture différée (par exemple, sécurité), vous disposez des éléments suivants :

  • Activation du groupe pour l'écriture différée
  • Ciblage du type d'écriture différée en tant que groupe de sécurité

Screenshot that shows changing writeback settings in the group properties.

Lire la configuration de l'écriture différée à l'aide de PowerShell

Vous pouvez utiliser PowerShell pour obtenir la liste des groupes activés pour l'écriture différée à l'aide de l'applet de cmdlet Get-MgGroup.

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

Lire la configuration d'écriture différée à l'aide de l'Explorateur graphique

Ouvrez l'Explorateur Microsoft Graph et utilisez le point de terminaison https://graph.microsoft.com/beta/groups/{Group_ID}.

Remplacez l'ID du groupe par un ID de groupe cloud, puis sélectionnez Exécuter la requête. Sur l'aperçu de la réponse, faites défiler jusqu'à la fin pour voir la partie du fichier JSON.

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

Étapes suivantes