Megosztás a következőn keresztül:


A Microsoft Entra Connect Sync csoport v2 visszaírásának migrálása a Microsoft Entra Cloud Syncbe

Fontos

A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azon ügyfelek esetében, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

Az alábbi dokumentum bemutatja, hogyan migrálhatja a csoportvisszaírást a Microsoft Entra Connect Sync (korábbi nevén Azure AD Connect) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva.

Fontos

Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Connect csoportvisszaíró v2-t használják

Emellett ez a forgatókönyv csak a következő esetekben támogatott:

Az AD-be visszaírt levelezési csoportok és DLL-ek továbbra is együttműködnek a Microsoft Entra Connect-csoportvisszaíróval, de visszaállnak a csoportvisszaíró V1 viselkedésére, így ebben a forgatókönyvben a V2 csoportvisszaírás letiltása után az összes M365-csoport vissza lesz írva az AD-be az Entra Felügyeleti központban a Visszaírás engedélyezve beállítástól függetlenül. További információ: Az Active Directory üzembe helyezése a Microsoft Entra Cloud Synctel – gyakori kérdések.

Előfeltételek

A forgatókönyv megvalósításához a következő előfeltételek szükségesek.

  • Legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező Microsoft Entra-fiók.
  • Legalább tartományi rendszergazdai engedélyekkel rendelkező helyszíni AD-fiók – az adminDescription attribútum eléréséhez és az msDS-ExternalDirectoryObjectId attribútumba való másolásához szükséges
  • Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
    • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
  • Kiépítési ügynök az 1.1.1367.0-s vagy újabb buildtel.
  • A kiépítési ügynöknek képesnek kell lennie kommunikálni a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton lévő tartományvezérlőkkel.
    • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez

Visszaírt csoportok elnevezési konvenciója

A Microsoft Entra Connect Sync alapértelmezés szerint a következő formátumot használja a visszaírt csoportok elnevezésekor.

  • Alapértelmezett formátum: CN=Group_<guid,OU>=<container,DC>=<domain component,DC>=<domain component>

  • Példa: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

A Microsoft Entra ID-ból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a Microsoft Entra Connect Sync a felhőbeli megjelenítési név használatával lehetővé tette a csoport nevének visszaírását. Ehhez válassza ki a visszaírócsoport megkülönböztető nevét felhőbeli megjelenítési névvel a csoportvisszaíró v2 kezdeti beállítása során. Ha ez a funkció engedélyezve van, a Microsoft Entra Connect az alapértelmezett formátum helyett a következő új formátumot használja:

  • Új formátum: CN=<display name>_<last 12 digits of object ID,OU>=<container,DC>=<domain component,DC>=<domain component>

  • Példa: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Fontos

Alapértelmezés szerint a Microsoft Entra felhőszinkronizálása az új formátumot használja, még akkor is, ha a Visszaírási csoport megkülönböztető neve felhőbeli megjelenítési név funkcióval nincs engedélyezve a Microsoft Entra Connect Syncben. Ha az alapértelmezett Microsoft Entra Connect Sync-elnevezést használja, majd migrálja a csoportot úgy, hogy a Microsoft Entra felhőszinkronizálás felügyelje, a csoport átnevezve lesz az új formátumra. Az alábbi szakaszban engedélyezheti, hogy a Microsoft Entra felhőszinkronizálása a Microsoft Entra Connect alapértelmezett formátumát használja.

Az alapértelmezett formátum használata

Ha azt szeretné, hogy a felhőszinkronizálás ugyanazt az alapértelmezett formátumot használja, mint a Microsoft Entra Connect Sync, módosítania kell a CN attribútum attribútum attribútumfolyamat-kifejezését. A két lehetséges leképezés a következő:

Expression Szintaxis Leírás
Alapértelmezett felhőszinkronizálási kifejezés a DisplayName használatával Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) A Microsoft Entra felhőszinkronizálás által használt alapértelmezett kifejezés (azaz az új formátum)
Új kifejezés felhőbeli szinkronizálása a DisplayName használata nélkül Append("Group_", [objectId]) A Microsoft Entra Connect Sync alapértelmezett formátumát használó új kifejezés.

További információ: Attribútumleképezés hozzáadása – Microsoft Entra-azonosító az Active Directoryhoz

1. lépés – Az adminDescription másolása az msDS-ExternalDirectoryObjectID fájlba

A csoporttagság-hivatkozások érvényesítéséhez a Microsoft Entra Cloud Syncnek le kell kérdeznie az Active Directory globális katalógusát az msDS-ExternalDirectoryObjectID attribútumhoz. Ez egy indexelt attribútum, amely az Active Directory-erdő összes globális katalógusában replikálódik.

  1. A helyszíni környezetben nyissa meg az ADSI-szerkesztést.

  2. Másolja ki a csoport adminDescription attribútumában lévő értéket

    Képernyőkép az adminDescription attribútumról.

  3. Beillesztés az msDS-ExternalDirectoryObjectID attribútumba

    Képernyőkép az msDS-ExternalDirectoryObjectID attribútumról.

A lépés automatizálásához az alábbi PowerShell-szkript használható. Ez a szkript az OU=Groups,DC=Contoso,DC=com tároló összes csoportját átveszi, és az adminDescription attribútum értékét az msDS-ExternalDirectoryObjectID attribútum értékére másolja. A szkript használata előtt frissítse a változót $gwbOU a csoportvisszaíró cél szervezeti egységének (OU) Megkülönböztető nevével.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

A következő PowerShell-szkripttel ellenőrizheti a fenti szkript eredményeit, vagy ellenőrizheti, hogy minden csoport rendelkezik-e az msDS-ExternalDirectoryObjectID értékkel egyenlő adminDescription értékkel.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

2. lépés – Helyezze a Microsoft Entra Connect Szinkronizálási kiszolgálót átmeneti módban, és tiltsa le a szinkronizálásütemezőt

  1. A Microsoft Entra Connect Szinkronizálás varázslójának elindítása

  2. Kattintson a Konfigurálás gombra

  3. Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra

  4. Adja meg a Microsoft Entra hitelesítő adatait

  5. Jelölje be az Átmeneti mód engedélyezése jelölőnégyzetet, és kattintson a Tovább gombra

    Képernyőkép az átmeneti mód engedélyezéséről.

  6. Kattintson a Konfigurálás gombra

  7. Kattintson a Kilépés gombra

    Képernyőkép az előkészítési mód sikerességéről.

  8. A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  9. A szinkronizálásütemező letiltása:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    

3. lépés – Egyéni csoport bejövő szabályának létrehozása

A Microsoft Entra Connect szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri azokat a csoportokat, amelyek NULL értékkel rendelkeznek a levelezési attribútumhoz. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Connectet, hogy ne szinkronizálja ezeknek a csoportoknak az attribútumait. A szinkronizálási szabály létrehozásához dönthet úgy, hogy a felhasználói felületet használja, vagy a PowerShellen keresztül hozza létre a megadott szkripttel.

Egyéni csoport bejövő szabályának létrehozása a felhasználói felületen

  1. Indítsa el a Szinkronizálási szabályok szerkesztőt a start menüből.

  2. Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.

  3. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

    • Név: Adjon egy értelmes nevet a szabálynak

    • Leírás: Adjon hozzá egy érthető leírást

    • Csatlakoztatott rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyhez az egyéni szinkronizálási szabályt írja

    • Csatlakoztatott rendszerobjektum típusa: Csoport

    • Metaverzumobjektum típusa: Csoport

    • Hivatkozás típusa: Csatlakozás

    • Elsőbbség: Adjon meg egy olyan értéket, amely egyedi a rendszerben. 100-nál kisebb érték ajánlott, hogy elsőbbséget élvezhesse az alapértelmezett szabályokkal szemben.

    • Címke: Hagyja üresen

      Képernyőkép a bejövő szinkronizálási szabályról.

  4. A Hatókörszűrő lapon adja hozzá a következőt, majd válassza a Tovább gombot.

    Attribútum Operátor Érték
    cloudMastered EGYENLŐ true
    levélküldés ISNULL

    Képernyőkép a hatókörszűrőről.

  5. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

  6. Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum.

    Képernyőkép az átalakításról.

  7. Válassza a Hozzáadás lehetőséget.

Egyéni csoport bejövő szabályának létrehozása a PowerShellben

  1. A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Importálja a modult.

    Import-Module ADSync
    
  3. Adjon meg egy egyedi értéket a szinkronizálási szabály elsőbbsége számára [0-99].

    [int] $inboundSyncRulePrecedence = 88
    
  4. Hajtsa végre a következő szkriptet:

     New-ADSyncRule  `
     -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Inbound' `
     -Precedence $inboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
     -LinkType 'Join' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     Add-ADSyncAttributeFlowMapping  `
     -SynchronizationRule $syncRule[0] `
     -Source @('true') `
     -Destination 'cloudNoFlow' `
     -FlowType 'Constant' `
     -ValueMergeType 'Update' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudMastered','true','EQUAL' `
     -OutVariable condition0
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'mail','','ISNULL' `
     -OutVariable condition1
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0],$condition1[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
    

4. lépés – Egyéni csoport kimenő szabályának létrehozása

Szüksége van egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Connectet, hogy ne szinkronizálja ezeknek a csoportoknak az attribútumait. A szinkronizálási szabály létrehozásához dönthet úgy, hogy a felhasználói felületet használja, vagy a PowerShellen keresztül hozza létre a megadott szkripttel.

Egyéni csoport kimenő szabályának létrehozása a felhasználói felületen

  1. Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.

  2. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

    • Név: Adjon egy értelmes nevet a szabálynak
    • Leírás: Adjon hozzá egy érthető leírást
    • Csatlakoztatott rendszer: Válassza ki azt az AD-összekötőt, amelyhez az egyéni szinkronizálási szabályt írja
    • Csatlakoztatott rendszerobjektum típusa: Csoport
    • Metaverzumobjektum típusa: Csoport
    • Hivatkozás típusa: JoinNoFlow
    • Elsőbbség: Adjon meg egy olyan értéket, amely egyedi a rendszerben. 100-nál kisebb érték ajánlott, hogy elsőbbséget élvezhesse az alapértelmezett szabályokkal szemben.
    • Címke: Hagyja üresen

    Képernyőkép a kimenő szinkronizálási szabályról.

  3. A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.

    Képernyőkép a kimenő hatókörszűrőről.

  4. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

  5. Az Átalakítások lapon válassza a Hozzáadás lehetőséget.

Egyéni csoport bejövő szabályának létrehozása a PowerShellben

  1. A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Importálja a modult.

    Import-Module ADSync
    
  3. Adjon meg egy egyedi értéket a szinkronizálási szabály elsőbbsége számára [0-99].

    [int] $outboundSyncRulePrecedence = 89
    
  4. Kérje le az Active Directory-összekötőt a csoportvisszaíráshoz.

    $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
    
  5. Hajtsa végre a következő szkriptet:

     New-ADSyncRule  `
     -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Outbound' `
     -Precedence $outboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector $connectorAD.Identifier `
     -LinkType 'JoinNoFlow' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudNoFlow','true','EQUAL' `
     -OutVariable condition0
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
    

5. lépés – A PowerShell használata a konfiguráció befejezéséhez

  1. A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Importálja az ADSync modult:

    Import-Module ADSync
    
  3. Teljes szinkronizálási ciklus futtatása:

    Start-ADSyncSyncCycle -PolicyType Initial
    
  4. Tiltsa le a bérlő csoportvisszaíró funkcióját:

    Figyelmeztetés

    Ez a művelet visszavonhatatlan. A V2-csoportvisszaíró letiltása után az összes Microsoft 365-csoport vissza lesz írva az AD-be, függetlenül az Entra Felügyeleti központ Visszaírásra engedélyezett beállításától.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
    
  5. Teljes szinkronizálási ciklus futtatása (ismét igen):

    Start-ADSyncSyncCycle -PolicyType Initial
    
  6. Engedélyezze újra a szinkronizálásütemezőt:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

    Képernyőkép a PowerShell-végrehajtásról.

6. lépés – A Microsoft Entra Connect Sync-kiszolgáló eltávolítása az előkészítési módból

  1. A Microsoft Entra Connect Szinkronizálás varázslójának elindítása
  2. Kattintson a Konfigurálás gombra
  3. Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
  4. Adja meg a Microsoft Entra hitelesítő adatait
  5. Távolítsa el a jelölőnégyzetet az Átmeneti mód engedélyezése jelölőnégyzetből, és kattintson a Tovább gombra
  6. Kattintson a Konfigurálás gombra
  7. Kattintson a Kilépés gombra

7. lépés – A Microsoft Entra Cloud Sync konfigurálása

Most, hogy a csoportok el lettek távolítva a Microsoft Entra Connect Sync szinkronizálási hatóköréből, beállíthatja és konfigurálhatja a Microsoft Entra Cloud Syncet a biztonsági csoportok szinkronizálásának átvételére. Lásd: Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával.

Következő lépések