Megosztás a következőn keresztül:

A Microsoft Entra Connect csoportvisszaírásának engedélyezése

  • Cikk

Fontos

A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.

A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.

Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.

Azoknak az ügyfeleknek, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.

A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.

A csoportvisszaírás olyan funkció, amellyel felhőbeli csoportokat írhat vissza a helyi Active Directory-példányba a Microsoft Entra Connect Sync használatával.

Ez a cikk végigvezeti a csoportvisszaírás engedélyezésén.

Központi telepítési lépések

A csoportos visszaíráshoz engedélyezni kell a funkció eredeti és új verzióit is. Ha az eredeti verzió korábban engedélyezve volt a környezetben, csak az alábbi lépések első készletét kell használnia, mert a második lépéskészlet már befejeződött.

Feljegyzés

Javasoljuk, hogy kövesse a swing migration metódust az új csoportvisszaíró funkció környezetében való bevezetése érdekében. Ez a módszer egyértelmű készenléti tervet biztosít, ha jelentős visszaállításra van szükség.

A továbbfejlesztett csoportvisszaíró funkció engedélyezve van a bérlőn, és nem a Microsoft Entra Connect-ügyfélpéldányonként. Győződjön meg arról, hogy az összes Microsoft Entra Connect-ügyfélpéldány az 1.6.4.0-s vagy újabb buildverzióra frissül.

Feljegyzés

Ha nem szeretné visszaírni az összes meglévő Microsoft 365-csoportot az Active Directoryba, a funkció engedélyezéséhez módosítania kell a csoportvisszaírás alapértelmezett viselkedését. Lásd: A Microsoft Entra Connect csoportvisszaíró alapértelmezett viselkedésének módosítása. Emellett a funkció új és eredeti verzióit is engedélyezni kell a dokumentált sorrendben. Ha az eredeti funkció először engedélyezve van, az összes meglévő Microsoft 365-csoport vissza lesz írva az Active Directoryba.

Csoportvisszaíró engedélyezése a PowerShell használatával

  1. A Microsoft Entra Connect-kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

  2. Tiltsa le a szinkronizálásütemezőt, miután ellenőrizte, hogy nincsenek-e szinkronizálási műveletek:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Importálja az ADSync modult:

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. A csoportvisszaíró funkció engedélyezése a bérlő számára:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Engedélyezze újra a szinkronizálásütemezőt:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Futtasson teljes szinkronizálási ciklust, ha a csoportvisszaírás korábban konfigurálva volt, és nem lesz konfigurálva a Microsoft Entra Connect varázslóban:

    Start-ADSyncSyncCycle -PolicyType Initial

Csoportvisszaíró engedélyezése a Microsoft Entra Connect varázslóval

Ha a csoportvisszaírás eredeti verziója korábban nem volt engedélyezve, folytassa a következő lépésekkel:

  1. A Microsoft Entra Connect-kiszolgálón nyissa meg a Microsoft Entra Connect varázslót.
  2. Válassza a Konfigurálás, majd a Tovább gombot.
  3. Válassza a Szinkronizálási beállítások testreszabása, majd a Tovább gombot.
  4. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a hitelesítő adatait. Válassza a Tovább lehetőséget.
  5. A Választható funkciók lapon ellenőrizze, hogy a korábban konfigurált beállítások továbbra is ki vannak-e választva.
  6. Válassza a Csoportvisszaíró lehetőséget, majd a Tovább gombot.
  7. A Visszaírás lapon válasszon ki egy Active Directory szervezeti egységet (OU) a Microsoft 365-ből a helyszíni szervezetbe szinkronizált objektumok tárolásához. Válassza a Tovább lehetőséget.
  8. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.
  9. A Konfiguráció befejezése lapon válassza a Kilépés lehetőséget.

Az eljárás befejezése után a rendszer automatikusan konfigurálja a csoportvisszaírást. Ha engedélyekkel kapcsolatos problémákat tapasztal az objektum Active Directoryba való exportálása során, nyissa meg a Windows PowerShellt rendszergazdaként a Microsoft Entra Connect-kiszolgálón. Ezután futtassa a következő parancsokat. Ez a lépés nem kötelező.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Választható konfiguráció

A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportok könnyebb megtalálása érdekében a felhőbeli megjelenítendő névvel visszaírhatja a csoport megkülönböztető nevét:

  • Alapértelmezett formátum: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Új formátum: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

A csoportvisszaíró konfigurálásakor megjelenik egy jelölőnégyzet a konfigurációs ablak alján. Válassza ki a funkció engedélyezéséhez.

Feljegyzés

A Microsoft Entra-azonosítóból az Active Directoryba visszaírt csoportoknak rendelkezniük kell a felhőbeli jogosultságokkal. A Microsoft Entra-azonosítóból visszaírt csoportokon végzett helyszíni módosítások felülíródnak a következő szinkronizálási ciklusban.

Következő lépések