A Microsoft Entra Csatlakozás csoportvisszaírás alapértelmezett viselkedésének módosítása

A csoportvisszaírás olyan funkció, amellyel felhőbeli csoportokat írhat vissza a helyi Active Directory-példányba a Microsoft Entra Csatlakozás Sync használatával. Az alapértelmezett viselkedést az alábbi módokon módosíthatja:

• Csak a visszaírásra konfigurált csoportok lesznek visszaírva, beleértve az újonnan létrehozott Microsoft 365-csoportokat is.
• A visszaírt csoportok akkor törlődnek az Active Directoryban, ha le vannak tiltva a csoportvisszaírás, a helyreállítható törlés vagy a Microsoft Entra-azonosítóban való kemény törlés céljából.
• A legfeljebb 250 000 tagot tartalmazó Microsoft 365-csoportok a helyszínen írhatók vissza.

Ez a cikk bemutatja a Microsoft Entra Csatlakozás csoportvisszaíró alapértelmezett viselkedésének módosítására vonatkozó beállításokat.

Considerations for existing deployments

If the original version of group writeback is already enabled and in use in your environment, all your Microsoft 365 groups have already been written back to Active Directory. Instead of disabling all Microsoft 365 groups, review any use of the previously written-back groups. Csak azokat tiltsa le, amelyekre már nincs szükség helyi Active Directory.

Új Microsoft 365-csoportok automatikus visszaírásának letiltása

Ha a címtárbeállításokat úgy szeretné konfigurálni, hogy letiltsa az újonnan létrehozott Microsoft 365-csoportok automatikus visszaírását, használja az alábbi módszerek egyikét:

• PowerShell: Használja a Microsoft Graph bétaverziójú PowerShell SDK-t. Például:

    # Import Module
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Directory.ReadWrite.All
  
  
    # Verify if "Group.Unified" directory settings exist
    $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
  
    # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
    if ($DirectorySetting) 
    {
      $params = @{
        Values = @(
          @{
            Name = "NewUnifiedGroupWritebackDefault"
            Value = $false
          }
        )
      }
      Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
    }
    else
    {
      # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
      # Import "Group.Unified" template values to a hashtable
      $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
      $TemplateValues = @{}
      $Template.Values | ForEach-Object {
          $TemplateValues.Add($_.Name, $_.DefaultValue)
      }
  
      # Update the value for new unified group writeback default
      $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
  
      # Create a directory setting using the Template values hashtable including the updated value
      $params = @{}
      $params.Add("TemplateId", $Template.Id)
      $params.Add("Values", @())
      $TemplateValues.Keys | ForEach-Object {
          $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
      }
      New-MgBetaDirectorySetting -BodyParameter $params
    }
  

Megjegyzés:

Javasoljuk, hogy a Microsoft Graph PowerShell SDK-t használja a PowerShell 7-zel.

• Microsoft Graph: Használja a directorySetting erőforrástípust.

Az összes meglévő Microsoft 365-csoport visszaírásának letiltása

A módosítások előtt létrehozott összes Microsoft 365-csoport visszaírásának letiltásához használja az alábbi módszerek egyikét:

• Portál: Használja a Microsoft Entra felügyeleti központot.

• PowerShell: Használja a Microsoft Graph bétaverziójú PowerShell SDK-t. Például:

    #Import-module
    Import-Module Microsoft.Graph.Beta
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Group.ReadWrite.All
  
    #List all Microsoft 365 Groups
    $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
  
    #Disable Microsoft 365 Groups
    Foreach ($group in $Groups) 
    {
      Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
    }
  

• Microsoft Graph Explorer: Csoportobjektum használata.

Delete groups when they're disabled for writeback or soft deleted

Megjegyzés:

Miután törölte a visszaírt csoportokat az Active Directoryban, azok nem lesznek automatikusan visszaállítva az Active Directory Lomtár funkcióból, ha újra engedélyezve vannak a visszaíráshoz, vagy helyreállítható törlési állapotból visszaállítják őket. Új csoportok jönnek létre. Azok a törölt csoportok, amelyeket az Active Directory Lomtárból állítottak vissza, mielőtt újra engedélyezve lettek a visszaíráshoz, vagy amelyek helyreállítható törlési állapotból lettek visszaállítva a Microsoft Entra-azonosítóban, csatlakoznak a megfelelő Microsoft Entra-csoportokhoz.

1. A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

2. Tiltsa le a Microsoft Entra Csatlakozás Szinkronizálás ütemezőjét:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Hozzon létre egy egyéni szinkronizálási szabályt a Microsoft Entra Csatlakozás a visszaírt csoportok törléséhez, ha le vannak tiltva a visszaíráshoz vagy a helyreállítható törléshez:

   import-module ADSync 
   $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
   
   New-ADSyncRule  `
   -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
   -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
   -Direction 'Inbound' `
   -Precedence $precedenceValue `
   -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
   -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
   -SourceObjectType 'group' `
   -TargetObjectType 'group' `
   -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
   -LinkType 'Join' `
   -SoftDeleteExpiryInterval 0 `
   -ImmutableTag '' `
   -OutVariable syncRule
   
   Add-ADSyncAttributeFlowMapping  `
   -SynchronizationRule $syncRule[0] `
   -Destination 'reasonFiltered' `
   -FlowType 'Expression' `
   -ValueMergeType 'Update' `
   -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
    -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
   -ArgumentList 'cloudMastered','true','EQUAL' `
   -OutVariable condition0
   
   Add-ADSyncScopeConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -ScopeConditions @($condition0[0]) `
   -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
   -ArgumentList 'cloudAnchor','cloudAnchor',$false `
   -OutVariable condition0
   
   Add-ADSyncJoinConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -JoinConditions @($condition0[0]) `
   -OutVariable syncRule
   
   Add-ADSyncRule  `
   -SynchronizationRule $syncRule[0]
   
   Get-ADSyncRule  `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
   

4. Csoportvisszaíró engedélyezése.

5. Engedélyezze a Microsoft Entra Csatlakozás Szinkronizálás ütemezőjét:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Megjegyzés:

A szinkronizálási szabály létrehozásakor a teljes szinkronizálás true jelzője a Microsoft Entra-összekötőre lesz állítva. Ez a módosítás a szabálymódosítások propagálását eredményezi a következő szinkronizálási ciklusban.

Write back Microsoft 365 groups with up to 250,000 members

Mivel a csoportvisszaírás engedélyezésekor létrejön a csoportméretet korlátokat korlátó alapértelmezett szinkronizálási szabály, a csoportvisszaíró engedélyezése után a következő lépéseket kell végrehajtania:

1. A Microsoft Entra Csatlakozás kiszolgálón nyisson meg egy PowerShell-kérést rendszergazdaként.

2. Tiltsa le a Microsoft Entra Csatlakozás Szinkronizálás ütemezőjét:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Nyissa meg a szinkronizálási szabályszerkesztőt.

4. Állítsa az irányt kimenőre.

5. Keresse meg és tiltsa le a Ki az AD-be – Csoportvisszaíró tagkorlát szinkronizálási szabályát.

6. Engedélyezze a Microsoft Entra Csatlakozás Szinkronizálás ütemezőjét:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Megjegyzés:

A szinkronizálási szabály letiltása esetén a teljes szinkronizálás true jelzője a Microsoft Entra-összekötőn lesz beállítva. Ez a módosítás a szabálymódosítások propagálását eredményezi a következő szinkronizálási ciklusban.

Visszaállítás az Active Directory lomtárából

Ha az alapértelmezett viselkedést a csoportok törlésére frissíti, amikor azok visszaírásra vagy helyreállítható törlésre vannak letiltva, javasoljuk, hogy engedélyezze az Active Directory Lomtár funkcióját az Active Directory helyszíni példányai számára. Ezzel a funkcióval manuálisan visszaállíthatja a korábban törölt Active Directory-csoportokat, hogy újracsatlakozhassanak a megfelelő Microsoft Entra-csoportjaikhoz, ha véletlenül le lettek tiltva a visszaíráshoz vagy a helyreállítható törléshez.

Mielőtt újra engedélyezi a visszaírást vagy a helyreállítható törlésből való visszaállítást a Microsoft Entra ID-ban, először vissza kell állítania a csoportot az Active Directoryban.

További lépések

• Microsoft Entra Connect csoportos visszaírás
• A Microsoft Entra Csatlakozás csoportvisszaírásának engedélyezése
• A Microsoft Entra Csatlakozás csoportvisszaírásának letiltása