Share via

Microsoft Entra Csatlakozás Szinkronizálási csoport visszaírási V2 migrálása a Microsoft Entra Cloud Syncbe

  • Cikk

Fontos

A Microsoft Entra Csatlakozás Sync csoportvisszaíró v2 nyilvános előzetes verziója 2024. június 30-a után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a továbbiakban nem támogatott a Csatlakozás Szinkronizálás a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Csatlakozás Sync szolgáltatásban, át kell váltaniuk a konfigurációjukat Csatlakozás Szinkronizálásról Felhőszinkronizálásra. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

Az alábbi dokumentum bemutatja, hogyan migrálhatja a csoportvisszaírást a Microsoft Entra Csatlakozás Sync (korábbi nevén Azure AD Csatlakozás) használatával a Microsoft Entra Cloud Syncbe. Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Csatlakozás csoportvisszaíró v2-t használják. A dokumentumban ismertetett folyamat csak a felhőben létrehozott biztonsági csoportokra vonatkozik, amelyek univerzális hatókörrel vannak visszaírva. A Microsoft Entra Csatlakozás csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.

Fontos

Ez a forgatókönyv csak azoknak az ügyfeleknek szól, akik jelenleg a Microsoft Entra Csatlakozás csoportvisszaíró v2-t használják

Emellett ez a forgatókönyv csak a következő esetekben támogatott:

A Microsoft Entra Csatlakozás csoportvisszaíró V1 vagy V2 használatával visszaírt levelezési csoportok és DLL-ek nem támogatottak.

További információ: Az Active Directory üzembe helyezése a Microsoft Entra Cloud Synctel – gyakori kérdések.

Előfeltételek

A forgatókönyv megvalósításához a következő előfeltételek szükségesek.

  • Legalább hibrid Rendszergazda istrator szerepkörrel rendelkező Microsoft Entra-fiók.
  • Legalább tartományi rendszergazdai engedélyekkel rendelkező helyszíni AD-fiók – az adminDescription attribútum eléréséhez és az msDS-ExternalDirectoryObjectId attribútumba való másolásához szükséges
  • Helyszíni Active Directory tartományi szolgáltatások környezetet Windows Server 2016 operációs rendszerrel vagy újabb verzióval.
    • Az AD-séma attribútumhoz szükséges – msDS-ExternalDirectoryObjectId
  • Kiépítési ügynök az 1.1.1367.0-s vagy újabb buildtel.
  • A kiépítési ügynöknek képesnek kell lennie kommunikálni a TCP/389 (LDAP) és a TCP/3268 (globális katalógus) porton lévő tartományvezérlőkkel.
    • Az érvénytelen tagsági hivatkozások kiszűréséhez szükséges a globális katalóguskereséshez

1. lépés – Az adminDescription másolása az msDS-ExternalDirectoryObjectID fájlba

  1. A helyszíni környezetben nyissa meg az ADSI-szerkesztést.

  2. Másolja ki a csoport adminDescription attribútumában lévő értéket

    Képernyőkép az adminDescription attribútumról.

  3. Beillesztés az msDS-ExternalDirectoryObjectID attribútumba

    Képernyőkép az msDS-ExternalDirectoryObjectID attribútumról.

2. lépés – Helyezze a Microsoft Entra Csatlakozás Szinkronizálási kiszolgálót átmeneti módban, és tiltsa le a szinkronizálási ütemezőt

  1. A Microsoft Entra Csatlakozás Szinkronizálás varázsló elindítása

  2. Kattintson a Konfigurálás gombra

  3. Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra

  4. Adja meg a Microsoft Entra hitelesítő adatait

  5. Jelölje be az Átmeneti mód engedélyezése jelölőnégyzetet, és kattintson a Tovább gombra

    Képernyőkép az átmeneti mód engedélyezéséről.

  6. Kattintson a Konfigurálás gombra

  7. Kattintson a Kilépés gombra

    Képernyőkép az előkészítési mód sikerességéről.

  8. A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  9. A szinkronizálásütemező letiltása:

    Set-ADSyncScheduler -SyncCycleEnabled $false

3. lépés – Egyéni csoport bejövő szabályának létrehozása

A Microsoft Entra Csatlakozás Szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri azokat a csoportokat, amelyek NULL értékkel rendelkeznek a levelezési attribútumhoz. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja az attribútumokat ezekhez a csoportokhoz.

  1. Indítsa el a szinkronizálási szerkesztőt az asztali alkalmazásmenüből az alábbi módon:

  2. Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.

  3. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

    • Név: Adjon egy értelmes nevet a szabálynak

    • Leírás: Adjon hozzá egy érthető leírást

    • Csatlakozás rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyre az egyéni szinkronizálási szabályt írja

    • Csatlakozás rendszerobjektum típusa: Csoport

    • Metaverzumobjektum típusa: Csoport

    • Hivatkozás típusa: Csatlakozás

    • Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket

    • Címke: Hagyja üresen

      Képernyőkép a bejövő szinkronizálási szabályról.

  4. A Hatókörszűrő lapon adja hozzá a következőt, majd válassza a Tovább gombot.

    Attribútum Operátor Érték
    cloudMastered EGYENLŐ true
    levélküldés ISNULL

    Képernyőkép a hatókörszűrőről.

  5. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

  6. Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum. Válassza a Hozzáadás lehetőséget.

    Képernyőkép az átalakításról.

4. lépés – Egyéni csoport kimenő szabályának létrehozása

Szüksége lesz egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja az attribútumokat ezekhez a csoportokhoz.

  1. Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.

  2. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

    • Név: Adjon egy értelmes nevet a szabálynak
    • Leírás: Adjon hozzá egy érthető leírást
    • Csatlakozás rendszer: Válassza ki azt az AD-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
    • Csatlakozás rendszerobjektum típusa: Csoport
    • Metaverzumobjektum típusa: Csoport
    • Hivatkozás típusa: JoinNoFlow
    • Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
    • Címke: Hagyja üresen

    Képernyőkép a kimenő szinkronizálási szabályról.

  3. A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.

    Képernyőkép a kimenő hatókörszűrőről.

  4. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

  5. Az Átalakítások lapon válassza a Hozzáadás lehetőséget.

5. lépés – A PowerShell használata a konfiguráció befejezéséhez

  1. A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Importálja az ADSync modult:

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'

  3. Teljes szinkronizálási ciklus futtatása:

    Start-ADSyncSyncCycle -PolicyType Initial

  4. Tiltsa le a bérlő csoportvisszaíró funkcióját:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

  5. Teljes szinkronizálási ciklus futtatása (ismét igen):

    Start-ADSyncSyncCycle -PolicyType Initial

  6. Engedélyezze újra a szinkronizálásütemezőt:

    Set-ADSyncScheduler -SyncCycleEnabled $true

    Képernyőkép a PowerShell-végrehajtásról.

6. lépés – A Microsoft Entra Csatlakozás Szinkronizálási kiszolgáló eltávolítása átmeneti módból

  1. A Microsoft Entra Csatlakozás Szinkronizálás varázsló elindítása
  2. Kattintson a Konfigurálás gombra
  3. Válassza az Előkészítési mód konfigurálása lehetőséget, és kattintson a Tovább gombra
  4. Adja meg a Microsoft Entra hitelesítő adatait
  5. Távolítsa el a jelölőnégyzetet az Átmeneti mód engedélyezése jelölőnégyzetből, és kattintson a Tovább gombra
  6. Kattintson a Konfigurálás gombra
  7. Kattintson a Kilépés gombra

7. lépés – A Microsoft Entra Cloud Sync konfigurálása

Most, hogy sikeresen eltávolította a csoportokat a Microsoft Entra Csatlakozás Sync hatóköréből, beállíthatja és konfigurálhatja a Microsoft Entra Cloud Syncet a szinkronizálás átvételére. Lásd: Csoportok kiépítése az Active Directoryba a Microsoft Entra Cloud Sync használatával.

Következő lépések