Microsoft Entra Csatlakozás Szinkronizálási csoport visszaírási V2 migrálása a Microsoft Entra Cloud Syncbe
Fontos
A Microsoft Entra Csatlakozás Sync csoportvisszaíró v2 nyilvános előzetes verziója 2024. június 30-a után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a továbbiakban nem támogatott a Csatlakozás Szinkronizálás a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Csatlakozás Sync szolgáltatásban, át kell váltaniuk a konfigurációjukat Csatlakozás Szinkronizálásról Felhőszinkronizálásra. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
Az alábbi dokumentum bemutatja, hogyan migrálhatja a csoportvisszaírást a Microsoft Entra Csatlakozás Sync (korábbi nevén Azure AD Csatlakozás) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Csatlakozás csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Csatlakozás csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.
Fontos
Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Csatlakozás csoportvisszaíró v2-t használják
Emellett ez a forgatókönyv csak a következő esetekben támogatott:
- felhőben létrehozott biztonsági csoportok
- ezek a csoportok az AD-csoportok univerzális hatókörével vannak visszaírva.
A Microsoft Entra Csatlakozás csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.
További információ: Az Active Directory üzembe helyezése a Microsoft Entra Cloud Synctel – gyakori kérdések.
Előfeltételek
A forgatókönyv megvalósításához a következő előfeltételek szükségesek.
- Legalább hibrid Rendszergazda istrator szerepkörrel rendelkező Microsoft Entra-fiók.
- Legalább tartományi rendszergazdai engedélyekkel rendelkező helyszíni AD-fiók – az adminDescription attribútum eléréséhez és az msDS-ExternalDirectoryObjectId attribútumba való másolásához szükséges
- Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
- Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
- Kiépítési ügynök az 1.1.1367.0-s vagy újabb buildtel.
- A kiépítési ügynöknek képesnek kell lennie kommunikálni a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton lévő tartományvezérlőkkel.
- Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez
1. lépés – Az adminDescription másolása az msDS-ExternalDirectoryObjectID fájlba
A helyszíni környezetben nyissa meg az ADSI-szerkesztést.
Másolja ki a csoport adminDescription attribútumában lévő értéket
Beillesztés az msDS-ExternalDirectoryObjectID attribútumba
2. lépés – Helyezze a Microsoft Entra Csatlakozás Szinkronizálási kiszolgálót átmeneti módban, és tiltsa le a szinkronizálási ütemezőt
A Microsoft Entra Csatlakozás Szinkronizálás varázsló elindítása
Kattintson a Konfigurálás gombra
Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
Adja meg a Microsoft Entra hitelesítő adatait
Jelölje be az Átmeneti mód engedélyezése jelölőnégyzetet, és kattintson a Tovább gombra
Kattintson a Konfigurálás gombra
Kattintson a Kilépés gombra
A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
A szinkronizálásütemező letiltása:
Set-ADSyncScheduler -SyncCycleEnabled $false
3. lépés – Egyéni csoport bejövő szabályának létrehozása
A Microsoft Entra Csatlakozás Szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri azokat a csoportokat, amelyek NULL értékkel rendelkeznek a levelezési attribútumhoz. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja az attribútumokat ezekhez a csoportokhoz.
Indítsa el a szinkronizálási szerkesztőt az asztali alkalmazásmenüből az alábbi módon:
Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
Név: Adjon egy értelmes nevet a szabálynak
Leírás: Adjon hozzá egy érthető leírást
Csatlakozás rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
Csatlakozás rendszerobjektum típusa: Csoport
Metaverzumobjektum típusa: Csoport
Hivatkozás típusa: Csatlakozás
Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
Címke: Hagyja üresen
A Hatókörszűrő lapon adja hozzá a következőt, majd válassza a Tovább gombot.
Attribútum Operátor Érték cloudMastered EGYENLŐ true levélküldés ISNULL A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum. Válassza a Hozzáadás lehetőséget.
4. lépés – Egyéni csoport kimenő szabályának létrehozása
Szüksége lesz egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja az attribútumokat ezekhez a csoportokhoz.
Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
- Név: Adjon egy értelmes nevet a szabálynak
- Leírás: Adjon hozzá egy érthető leírást
- Csatlakozás rendszer: Válassza ki azt az AD-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
- Csatlakozás rendszerobjektum típusa: Csoport
- Metaverzumobjektum típusa: Csoport
- Hivatkozás típusa: JoinNoFlow
- Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
- Címke: Hagyja üresen
A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.
A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon válassza a Hozzáadás lehetőséget.
5. lépés – A PowerShell használata a konfiguráció befejezéséhez
A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Importálja az ADSync modult:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'
Teljes szinkronizálási ciklus futtatása:
Start-ADSyncSyncCycle -PolicyType Initial
Tiltsa le a bérlő csoportvisszaíró funkcióját:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
Teljes szinkronizálási ciklus futtatása (ismét igen):
Start-ADSyncSyncCycle -PolicyType Initial
Engedélyezze újra a szinkronizálásütemezőt:
Set-ADSyncScheduler -SyncCycleEnabled $true
6. lépés – A Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló eltávolítása átmeneti módból
- A Microsoft Entra Csatlakozás Szinkronizálás varázsló elindítása
- Kattintson a Konfigurálás gombra
- Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
- Adja meg a Microsoft Entra hitelesítő adatait
- Távolítsa el a jelölőnégyzetet az Átmeneti mód engedélyezése jelölőnégyzetből, és kattintson a Tovább gombra
- Kattintson a Konfigurálás gombra
- Kattintson a Kilépés gombra
7. lépés – A Microsoft Entra Cloud Sync konfigurálása
Most, hogy sikeresen eltávolította a csoportokat a Microsoft Entra Csatlakozás Sync hatóköréből, beállíthatja és konfigurálhatja a Microsoft Entra Cloud Syncet a szinkronizálás átvételére. Lásd: Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával.
Következő lépések
Csoportos visszaírás a Microsoft Entra Cloud Sync használatával
Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával
Helyi Active Directory-alapú alkalmazások (Kerberos) szabályozása Microsoft Entra ID-kezelés
Üzembe helyezés az Active Directoryban a Microsoft Entra Cloud Sync használatával – gyakori kérdések