A Microsoft Entra Csatlakozás csoportvisszaírásának engedélyezése
Fontos
A Microsoft Entra Csatlakozás Sync csoportvisszaíró v2 nyilvános előzetes verziója 2024. június 30-a után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a továbbiakban nem támogatott a Csatlakozás Szinkronizálás a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Csatlakozás Sync szolgáltatásban, át kell váltaniuk a konfigurációjukat Csatlakozás Szinkronizálásról Felhőszinkronizálásra. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
A csoportvisszaírás olyan funkció, amellyel felhőbeli csoportokat írhat vissza a helyi Active Directory-példányba a Microsoft Entra Csatlakozás Sync használatával.
Ez a cikk végigvezeti a csoportvisszaírás engedélyezésén.
Központi telepítési lépések
A csoportos visszaíráshoz engedélyezni kell a funkció eredeti és új verzióit is. Ha az eredeti verzió korábban engedélyezve volt a környezetben, csak az alábbi lépések első készletét kell használnia, mert a második lépéskészlet már befejeződött.
Megjegyzés:
Javasoljuk, hogy kövesse a swing migration metódust az új csoportvisszaíró funkció környezetében való bevezetése érdekében. Ez a módszer egyértelmű készenléti tervet biztosít, ha jelentős visszaállításra van szükség.
A továbbfejlesztett csoportvisszaíró funkció engedélyezve van a bérlőn, és nem a Microsoft Entra Csatlakozás ügyfélpéldányonként. Győződjön meg arról, hogy az összes Microsoft Entra Csatlakozás ügyfélpéldány az 1.6.4.0-s vagy újabb minimális buildverzióra frissül.
Megjegyzés:
Ha nem szeretné visszaírni az összes meglévő Microsoft 365-csoportot az Active Directoryba, a funkció engedélyezéséhez módosítania kell a csoportvisszaírás alapértelmezett viselkedését. Lásd: A Microsoft Entra Csatlakozás csoportvisszaírás alapértelmezett viselkedésének módosítása. Emellett a funkció új és eredeti verzióit is engedélyezni kell a dokumentált sorrendben. Ha az eredeti funkció először engedélyezve van, az összes meglévő Microsoft 365-csoport vissza lesz írva az Active Directoryba.
Csoportvisszaíró engedélyezése a PowerShell használatával
A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Tiltsa le a szinkronizálásütemezőt, miután ellenőrizte, hogy nincsenek-e szinkronizálási műveletek:
Set-ADSyncScheduler -SyncCycleEnabled $false
Importálja az ADSync modult:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
A csoportvisszaíró funkció engedélyezése a bérlő számára:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Engedélyezze újra a szinkronizálásütemezőt:
Set-ADSyncScheduler -SyncCycleEnabled $true
Futtasson teljes szinkronizálási ciklust, ha a csoportvisszaírás korábban konfigurálva volt, és nem lesz konfigurálva a Microsoft Entra Csatlakozás varázslóban:
Start-ADSyncSyncCycle -PolicyType Initial
Csoportvisszaíró engedélyezése a Microsoft Entra Csatlakozás varázslóval
Ha a csoportvisszaírás eredeti verziója korábban nem volt engedélyezve, folytassa a következő lépésekkel:
- A Microsoft Entra Csatlakozás kiszolgálón nyissa meg a Microsoft Entra Csatlakozás varázslót.
- Válassza a Konfigurálás, majd a Tovább gombot.
- Válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
- A Microsoft Entra-azonosító lap Csatlakozás adja meg a hitelesítő adatait. Válassza a Következő lehetőséget.
- A Választható funkciók lapon ellenőrizze, hogy a korábban konfigurált beállítások továbbra is ki vannak-e választva.
- Válassza a Csoportvisszaíró lehetőséget, majd a Tovább gombot.
- A Visszaírás lapon válasszon ki egy Active Directory szervezeti egységet (OU) a Microsoft 365-ből a helyszíni szervezetbe szinkronizált objektumok tárolásához. Válassza a Következő lehetőséget.
- A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.
- A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.
Az eljárás befejezése után a rendszer automatikusan konfigurálja a csoportvisszaírást. Ha engedélyekkel kapcsolatos problémákat tapasztal az objektum Active Directoryba való exportálása során, nyissa meg a Windows PowerShellt rendszergazdaként a Microsoft Entra Csatlakozás-kiszolgálón. Ezután futtassa a következő parancsokat. Ez a lépés nem kötelező.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Választható konfiguráció
A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a felhőbeli megjelenítendő névvel visszaírhatja a csoport megkülönböztető nevét:
Alapértelmezett formátum:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Új formátum:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
A csoportvisszaíró konfigurálásakor megjelenik egy jelölőnégyzet a konfigurációs ablak alján. Válassza ki a funkció engedélyezéséhez.
Megjegyzés:
A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportoknak rendelkezniük kell a felhőbeli jogosultságokkal. A Microsoft Entra-azonosítóból visszaírt csoportokon végzett helyszíni módosítások felülíródnak a következő szinkronizálási ciklusban.