A Microsoft Entra Connect csoportvisszaírásának engedélyezése
Fontos
A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
A csoportvisszaírás olyan funkció, amellyel felhőbeli csoportokat írhat vissza a helyi Active Directory-példányba a Microsoft Entra Connect Sync használatával.
Ez a cikk végigvezeti a csoportvisszaírás engedélyezésén.
Központi telepítési lépések
A csoportos visszaíráshoz engedélyezni kell a funkció eredeti és új verzióit is. Ha az eredeti verzió korábban engedélyezve volt a környezetben, csak az alábbi lépések első készletét kell használnia, mert a második lépéskészlet már befejeződött.
Feljegyzés
Javasoljuk, hogy kövesse a swing migration metódust az új csoportvisszaíró funkció környezetében való bevezetése érdekében. Ez a módszer egyértelmű készenléti tervet biztosít, ha jelentős visszaállításra van szükség.
A továbbfejlesztett csoportvisszaíró funkció engedélyezve van a bérlőn, és nem a Microsoft Entra Connect-ügyfélpéldányonként. Győződjön meg arról, hogy az összes Microsoft Entra Connect-ügyfélpéldány az 1.6.4.0-s vagy újabb buildverzióra frissül.
Feljegyzés
Ha nem szeretné visszaírni az összes meglévő Microsoft 365-csoportot az Active Directoryba, a funkció engedélyezéséhez módosítania kell a csoportvisszaírás alapértelmezett viselkedését. Lásd: A Microsoft Entra Connect csoportvisszaíró alapértelmezett viselkedésének módosítása. Emellett a funkció új és eredeti verzióit is engedélyezni kell a dokumentált sorrendben. Ha az eredeti funkció először engedélyezve van, az összes meglévő Microsoft 365-csoport vissza lesz írva az Active Directoryba.
Csoportvisszaíró engedélyezése a PowerShell használatával
A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.
Tiltsa le a szinkronizálásütemezőt, miután ellenőrizte, hogy nincsenek-e szinkronizálási műveletek:
Set-ADSyncScheduler -SyncCycleEnabled $false
Importálja az ADSync modult:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
A csoportvisszaíró funkció engedélyezése a bérlő számára:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Engedélyezze újra a szinkronizálásütemezőt:
Set-ADSyncScheduler -SyncCycleEnabled $true
Futtasson teljes szinkronizálási ciklust, ha a csoportvisszaírás korábban konfigurálva volt, és nem lesz konfigurálva a Microsoft Entra Connect varázslóban:
Start-ADSyncSyncCycle -PolicyType Initial
Csoportvisszaíró engedélyezése a Microsoft Entra Connect varázslóval
Ha a csoportvisszaírás eredeti verziója korábban nem volt engedélyezve, folytassa a következő lépésekkel:
- A Microsoft Entra Connect-kiszolgálón nyissa meg a Microsoft Entra Connect varázslót.
- Válassza a Konfigurálás, majd a Tovább gombot.
- Válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
- A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a hitelesítő adatait. Válassza a Tovább lehetőséget.
- A Választható funkciók lapon ellenőrizze, hogy a korábban konfigurált beállítások továbbra is ki vannak-e választva.
- Válassza a Csoportvisszaíró lehetőséget, majd a Tovább gombot.
- A Visszaírás lapon válasszon ki egy Active Directory szervezeti egységet (OU) a Microsoft 365-ből a helyszíni szervezetbe szinkronizált objektumok tárolásához. Válassza a Tovább lehetőséget.
- A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.
- A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.
Az eljárás befejezése után a rendszer automatikusan konfigurálja a csoportvisszaírást. Ha engedélyekkel kapcsolatos problémákat tapasztal az objektum Active Directoryba való exportálása során, nyissa meg a Windows PowerShellt rendszergazdaként a Microsoft Entra Connect-kiszolgálón. Ezután futtassa a következő parancsokat. Ez a lépés nem kötelező.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Választható konfiguráció
A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a felhőbeli megjelenítendő névvel visszaírhatja a csoport megkülönböztető nevét:
Alapértelmezett formátum:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Új formátum:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
A csoportvisszaíró konfigurálásakor megjelenik egy jelölőnégyzet a konfigurációs ablak alján. Válassza ki a funkció engedélyezéséhez.
Feljegyzés
A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportoknak rendelkezniük kell a felhőbeli jogosultságokkal. A Microsoft Entra-azonosítóból visszaírt csoportokon végzett helyszíni módosítások felülíródnak a következő szinkronizálási ciklusban.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: