A Microsoft Entra Csatlakozás csoportvisszaírásának engedélyezése

  • Cikk

Fontos

A Microsoft Entra Csatlakozás Sync csoportvisszaíró v2 nyilvános előzetes verziója 2024. június 30-a után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a továbbiakban nem támogatott a Csatlakozás Szinkronizálás a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Csatlakozás Sync szolgáltatásban, át kell váltaniuk a konfigurációjukat Csatlakozás Szinkronizálásról Felhőszinkronizálásra. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

A csoportvisszaírás olyan funkció, amellyel felhőbeli csoportokat írhat vissza a helyi Active Directory-példányba a Microsoft Entra Csatlakozás Sync használatával.

Ez a cikk végigvezeti a csoportvisszaírás engedélyezésén.

Központi telepítési lépések

A csoportos visszaíráshoz engedélyezni kell a funkció eredeti és új verzióit is. Ha az eredeti verzió korábban engedélyezve volt a környezetben, csak az alábbi lépések első készletét kell használnia, mert a második lépéskészlet már befejeződött.

Megjegyzés:

Javasoljuk, hogy kövesse a swing migration metódust az új csoportvisszaíró funkció környezetében való bevezetése érdekében. Ez a módszer egyértelmű készenléti tervet biztosít, ha jelentős visszaállításra van szükség.

A továbbfejlesztett csoportvisszaíró funkció engedélyezve van a bérlőn, és nem a Microsoft Entra Csatlakozás ügyfélpéldányonként. Győződjön meg arról, hogy az összes Microsoft Entra Csatlakozás ügyfélpéldány az 1.6.4.0-s vagy újabb minimális buildverzióra frissül.

Megjegyzés:

Ha nem szeretné visszaírni az összes meglévő Microsoft 365-csoportot az Active Directoryba, a funkció engedélyezéséhez módosítania kell a csoportvisszaírás alapértelmezett viselkedését. Lásd: A Microsoft Entra Csatlakozás csoportvisszaírás alapértelmezett viselkedésének módosítása. Emellett a funkció új és eredeti verzióit is engedélyezni kell a dokumentált sorrendben. Ha az eredeti funkció először engedélyezve van, az összes meglévő Microsoft 365-csoport vissza lesz írva az Active Directoryba.

Csoportvisszaíró engedélyezése a PowerShell használatával

  1. A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Tiltsa le a szinkronizálásütemezőt, miután ellenőrizte, hogy nincsenek-e szinkronizálási műveletek:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Importálja az ADSync modult:

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. A csoportvisszaíró funkció engedélyezése a bérlő számára:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Engedélyezze újra a szinkronizálásütemezőt:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Futtasson teljes szinkronizálási ciklust, ha a csoportvisszaírás korábban konfigurálva volt, és nem lesz konfigurálva a Microsoft Entra Csatlakozás varázslóban:

    Start-ADSyncSyncCycle -PolicyType Initial

Csoportvisszaíró engedélyezése a Microsoft Entra Csatlakozás varázslóval

Ha a csoportvisszaírás eredeti verziója korábban nem volt engedélyezve, folytassa a következő lépésekkel:

  1. A Microsoft Entra Csatlakozás kiszolgálón nyissa meg a Microsoft Entra Csatlakozás varázslót.
  2. Válassza a Konfigurálás, majd a Tovább gombot.
  3. Válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
  4. A Microsoft Entra-azonosító lap Csatlakozás adja meg a hitelesítő adatait. Válassza a Következő lehetőséget.
  5. A Választható funkciók lapon ellenőrizze, hogy a korábban konfigurált beállítások továbbra is ki vannak-e választva.
  6. Válassza a Csoportvisszaíró lehetőséget, majd a Tovább gombot.
  7. A Visszaírás lapon válasszon ki egy Active Directory szervezeti egységet (OU) a Microsoft 365-ből a helyszíni szervezetbe szinkronizált objektumok tárolásához. Válassza a Következő lehetőséget.
  8. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.
  9. A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.

Az eljárás befejezése után a rendszer automatikusan konfigurálja a csoportvisszaírást. Ha engedélyekkel kapcsolatos problémákat tapasztal az objektum Active Directoryba való exportálása során, nyissa meg a Windows PowerShellt rendszergazdaként a Microsoft Entra Csatlakozás-kiszolgálón. Ezután futtassa a következő parancsokat. Ez a lépés nem kötelező.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Választható konfiguráció

A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a felhőbeli megjelenítendő névvel visszaírhatja a csoport megkülönböztető nevét:

  • Alapértelmezett formátum: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Új formátum: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

A csoportvisszaíró konfigurálásakor megjelenik egy jelölőnégyzet a konfigurációs ablak alján. Válassza ki a funkció engedélyezéséhez.

Megjegyzés:

A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportoknak rendelkezniük kell a felhőbeli jogosultságokkal. A Microsoft Entra-azonosítóból visszaírt csoportokon végzett helyszíni módosítások felülíródnak a következő szinkronizálási ciklusban.

További lépések