A Microsoft Entra Connect Sync csoport v2 visszaírásának migrálása a Microsoft Entra Cloud Syncbe
Fontos
A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azon ügyfelek esetében, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
Az alábbi dokumentum bemutatja, hogyan migrálhatja a csoportvisszaírást a Microsoft Entra Connect Sync (korábbi nevén Azure AD Connect) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva.
Fontos
Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják
Emellett ez a forgatókönyv csak a következő esetekben támogatott:
- felhőben létrehozott biztonsági csoportok
- az AD-be visszaírt csoportok, amelyek hatóköre univerzális.
Az AD-be visszaírt levelezési csoportok és DLL-ek továbbra is együttműködnek a Microsoft Entra Connect-csoportvisszaíróval, de visszaállnak a csoportvisszaíró V1 viselkedésére, így ebben a forgatókönyvben a V2 csoportvisszaírás letiltása után az összes M365-csoport vissza lesz írva az AD-be az Entra Felügyeleti központban a Visszaírás engedélyezve beállítástól függetlenül. További információ: Az Active Directory üzembe helyezése a Microsoft Entra Cloud Synctel – gyakori kérdések.
Előfeltételek
A forgatókönyv megvalósításához a következő előfeltételek szükségesek.
- Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
- Legalább tartományi rendszergazdai engedélyekkel rendelkező helyszíni AD-fiók – az adminDescription attribútum eléréséhez és az msDS-ExternalDirectoryObjectId attribútumba való másolásához szükséges
- Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- Kiépítési ügynök az 1.1.1367.0-s vagy újabb buildtel.
- A kiépítési ügynöknek képesnek kell lennie kommunikálni a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton lévő tartományvezérlőkkel.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
Visszaírt csoportok elnevezési konvenciója
A Microsoft Entra Connect Sync alapértelmezés szerint a következő formátumot használja a visszaírt csoportok elnevezésekor.
Alapértelmezett formátum: CN=Group_<guid,OU>=<container,DC>=<domain component,DC>=<domain component>
Példa: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
A Microsoft Entra ID-ból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a Microsoft Entra Connect Sync a felhőbeli megjelenítési név használatával lehetővé tette a csoport nevének visszaírását. Ehhez válassza ki a visszaírócsoport megkülönböztető nevét felhőbeli megjelenítési névvel a csoportvisszaíró v2 kezdeti beállítása során. Ha ez a funkció engedélyezve van, a Microsoft Entra Connect az alapértelmezett formátum helyett a következő új formátumot használja:
Új formátum: CN=<display name>_<last 12 digits of object ID,OU>=<container,DC>=<domain component,DC>=<domain component>
Példa: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Fontos
Alapértelmezés szerint a Microsoft Entra felhőszinkronizálása az új formátumot használja, még akkor is, ha a Visszaírási csoport megkülönböztető neve felhőbeli megjelenítési név funkcióval nincs engedélyezve a Microsoft Entra Connect Syncben. Ha az alapértelmezett Microsoft Entra Connect Sync-elnevezést használja, majd migrálja a csoportot úgy, hogy a Microsoft Entra felhőszinkronizálás felügyelje, a csoport átnevezve lesz az új formátumra. Az alábbi szakaszban engedélyezheti, hogy a Microsoft Entra felhőszinkronizálása a Microsoft Entra Connect alapértelmezett formátumát használja.
Az alapértelmezett formátum használata
Ha azt szeretné, hogy a felhőszinkronizálás ugyanazt az alapértelmezett formátumot használja, mint a Microsoft Entra Connect Sync, módosítania kell a CN attribútum attribútum attribútumfolyamat-kifejezését. A két lehetséges leképezés a következő:
Expression | Szintaxis | Leírás |
---|---|---|
Alapértelmezett felhőszinkronizálási kifejezés a DisplayName használatával | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | A Microsoft Entra felhőszinkronizálás által használt alapértelmezett kifejezés (azaz az új formátum) |
Új kifejezés felhőbeli szinkronizálása a DisplayName használata nélkül | Append("Group_", [objectId]) | A Microsoft Entra Connect Sync alapértelmezett formátumát használó új kifejezés. |
További információ: Attribútumleképezés hozzáadása – Microsoft Entra-azonosító az Active Directoryhoz
1. lépés – Az adminDescription másolása az msDS-ExternalDirectoryObjectID fájlba
A csoporttagság-hivatkozások érvényesítéséhez a Microsoft Entra Cloud Syncnek le kell kérdeznie az Active Directory globális katalógusát az msDS-ExternalDirectoryObjectID attribútumhoz. Ez egy indexelt attribútum, amely az Active Directory-erdő összes globális katalógusában replikálódik.
A helyszíni környezetben nyissa meg az ADSI-szerkesztést.
Másolja ki a csoport adminDescription attribútumában lévő értéket
Beillesztés az msDS-ExternalDirectoryObjectID attribútumba
A lépés automatizálásához az alábbi PowerShell-szkript használható. Ez a szkript az OU=Groups,DC=Contoso,DC=com tároló összes csoportját átveszi, és az adminDescription attribútum értékét az msDS-ExternalDirectoryObjectID attribútum értékére másolja. A szkript használata előtt frissítse a változót $gwbOU
a csoportvisszaíró cél szervezeti egységének (OU) Megkülönböztető nevével.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
A következő PowerShell-szkripttel ellenőrizheti a fenti szkript eredményeit, vagy ellenőrizheti, hogy minden csoport rendelkezik-e az msDS-ExternalDirectoryObjectID értékkel egyenlő adminDescription értékkel.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
2. lépés – Helyezze a Microsoft Entra Connect Szinkronizálási kiszolgálót átmeneti módban, és tiltsa le a szinkronizálásütemezőt
A Microsoft Entra Connect Szinkronizálás varázslójának elindítása
Kattintson a Konfigurálás gombra
Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
Adja meg a Microsoft Entra hitelesítő adatait
Jelölje be az Átmeneti mód engedélyezése jelölőnégyzetet, és kattintson a Tovább gombra
Kattintson a Konfigurálás gombra
Kattintson a Kilépés gombra
A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
A szinkronizálásütemező letiltása:
Set-ADSyncScheduler -SyncCycleEnabled $false
3. lépés – Egyéni csoport bejövő szabályának létrehozása
A Microsoft Entra Connect szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri azokat a csoportokat, amelyek NULL értékkel rendelkeznek a levelezési attribútumhoz. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Connectet, hogy ne szinkronizálja ezeknek a csoportoknak az attribútumait. A szinkronizálási szabály létrehozásához dönthet úgy, hogy a felhasználói felületet használja, vagy a PowerShellen keresztül hozza létre a megadott szkripttel.
Egyéni csoport bejövő szabályának létrehozása a felhasználói felületen
Indítsa el a Szinkronizálási szabályok szerkesztőt a start menüből.
Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
Név: Adjon egy értelmes nevet a szabálynak
Leírás: Adjon hozzá egy érthető leírást
Csatlakoztatott rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyhez az egyéni szinkronizálási szabályt írja
Csatlakoztatott rendszerobjektum típusa: Csoport
Metaverzumobjektum típusa: Csoport
Hivatkozás típusa: Csatlakozás
Elsőbbség: Adjon meg egy olyan értéket, amely egyedi a rendszerben. 100-nál kisebb érték ajánlott, hogy elsőbbséget élvezhesse az alapértelmezett szabályokkal szemben.
Címke: Hagyja üresen
A Hatókörszűrő lapon adja hozzá a következőt, majd válassza a Tovább gombot.
Attribútum Operátor Érték cloudMastered EGYENLŐ true levélküldés ISNULL A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum.
Válassza a Hozzáadás lehetőséget.
Egyéni csoport bejövő szabályának létrehozása a PowerShellben
A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Importálja a modult.
Import-Module ADSync
Adjon meg egy egyedi értéket a szinkronizálási szabály elsőbbsége számára [0-99].
[int] $inboundSyncRulePrecedence = 88
Hajtsa végre a következő szkriptet:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
4. lépés – Egyéni csoport kimenő szabályának létrehozása
Szüksége van egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Connectet, hogy ne szinkronizálja ezeknek a csoportoknak az attribútumait. A szinkronizálási szabály létrehozásához dönthet úgy, hogy a felhasználói felületet használja, vagy a PowerShellen keresztül hozza létre a megadott szkripttel.
Egyéni csoport kimenő szabályának létrehozása a felhasználói felületen
Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
- Név: Adjon egy értelmes nevet a szabálynak
- Leírás: Adjon hozzá egy érthető leírást
- Csatlakoztatott rendszer: Válassza ki azt az AD-összekötőt, amelyhez az egyéni szinkronizálási szabályt írja
- Csatlakoztatott rendszerobjektum típusa: Csoport
- Metaverzumobjektum típusa: Csoport
- Hivatkozás típusa: JoinNoFlow
- Elsőbbség: Adjon meg egy olyan értéket, amely egyedi a rendszerben. 100-nál kisebb érték ajánlott, hogy elsőbbséget élvezhesse az alapértelmezett szabályokkal szemben.
- Címke: Hagyja üresen
A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.
A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon válassza a Hozzáadás lehetőséget.
Egyéni csoport bejövő szabályának létrehozása a PowerShellben
A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Importálja a modult.
Import-Module ADSync
Adjon meg egy egyedi értéket a szinkronizálási szabály elsőbbsége számára [0-99].
[int] $outboundSyncRulePrecedence = 89
Kérje le az Active Directory-összekötőt a csoportvisszaíráshoz.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"
Hajtsa végre a következő szkriptet:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
5. lépés – A PowerShell használata a konfiguráció befejezéséhez
A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Importálja az ADSync modult:
Import-Module ADSync
Teljes szinkronizálási ciklus futtatása:
Start-ADSyncSyncCycle -PolicyType Initial
Tiltsa le a bérlő csoportvisszaíró funkcióját:
Figyelmeztetés
Ez a művelet visszavonhatatlan. A V2-csoportvisszaíró letiltása után az összes Microsoft 365-csoport vissza lesz írva az AD-be, függetlenül az Entra Felügyeleti központ Visszaírásra engedélyezett beállításától.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
Teljes szinkronizálási ciklus futtatása (ismét igen):
Start-ADSyncSyncCycle -PolicyType Initial
Engedélyezze újra a szinkronizálásütemezőt:
Set-ADSyncScheduler -SyncCycleEnabled $true
6. lépés – A Microsoft Entra Connect Sync-kiszolgáló eltávolítása az előkészítési módból
- A Microsoft Entra Connect Szinkronizálás varázslójának elindítása
- Kattintson a Konfigurálás gombra
- Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
- Adja meg a Microsoft Entra hitelesítő adatait
- Távolítsa el a jelölőnégyzetet az Átmeneti mód engedélyezése jelölőnégyzetből, és kattintson a Tovább gombra
- Kattintson a Konfigurálás gombra
- Kattintson a Kilépés gombra
7. lépés – A Microsoft Entra Cloud Sync konfigurálása
Most, hogy a csoportok el lettek távolítva a Microsoft Entra Connect Sync szinkronizálási hatóköréből, beállíthatja és konfigurálhatja a Microsoft Entra Cloud Syncet a biztonsági csoportok szinkronizálásának átvételére. Lásd: Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával.