Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Penting
Pratinjau Group Writeback v2 di Microsoft Entra Connect Sync telah dihentikan dan tidak lagi didukung.
Anda dapat menggunakan Microsoft Entra Cloud Sync untuk memprovisikan grup keamanan cloud ke Active Directory Domain Services (AD DS) lokal.
Jika Anda menggunakan Group Writeback v2 di Sinkronisasi Microsoft Entra Connect, Anda harus memindahkan klien sinkronisasi Anda ke Microsoft Entra Cloud Sync. Untuk memeriksa apakah Anda memenuhi syarat untuk pindah ke Microsoft Entra Cloud Sync, gunakan asisten sinkronisasi pengguna.
Jika Anda tidak dapat menggunakan Microsoft Cloud Sync seperti yang direkomendasikan oleh wizard, Anda dapat menjalankan Microsoft Entra Cloud Sync secara berdampingan dengan Sinkronisasi Microsoft Entra Connect. Dalam hal ini, Anda mungkin menjalankan Microsoft Entra Cloud Sync hanya untuk memprovisikan grup keamanan cloud ke AD DS lokal.
Jika Anda memprovisikan grup Microsoft 365 ke AD DS, Anda dapat terus menggunakan Group Writeback v1.
Artikel ini menjelaskan cara memigrasikan Tulis Balik Grup dengan menggunakan Sinkronisasi Microsoft Entra Connect (sebelumnya Azure Active Directory Connect) ke Microsoft Entra Cloud Sync. Skenario ini hanya untuk pelanggan yang saat ini menggunakan Microsoft Entra Connect Group Writeback v2. Proses yang diuraikan dalam artikel ini hanya berkaitan dengan kelompok keamanan yang dibuat di cloud yang ditulis kembali dengan cakupan universal.
Skenario ini hanya didukung untuk:
- Grup keamanan yang dibuat oleh cloud.
- Grup ditulis kembali ke Direktori Aktif dengan cakupan universal.
Grup yang diaktifkan email dan daftar distribusi yang ditulis kembali ke Active Directory terus bekerja dengan Microsoft Entra Connect Group Writeback tetapi kembali ke perilaku Group Writeback v1. Dalam skenario ini, setelah Anda menonaktifkan Group Writeback v2, semua grup Microsoft 365 ditulis kembali ke Direktori Aktif secara independen dari pengaturan Writeback Enabled di pusat admin Microsoft Entra. Untuk informasi selengkapnya, lihat Provision to Active Directory dengan Microsoft Entra Cloud Sync FAQ.
Prasyarat
Akun Microsoft Entra dengan peran administrator Hybrid Identity setidaknya.
Akun Direktori Aktif lokal dengan setidaknya izin administrator domain.
Diperlukan untuk mengakses
adminDescriptionatribut dan menyalinnya kemsDS-ExternalDirectoryObjectIdatribut .Lingkungan Active Directory Domain Services lokal yang menjalankan Windows Server 2022, Windows Server 2019, atau Windows Server 2016.
Diperlukan untuk atribut
msDS-ExternalDirectoryObjectIdSkema Direktori Aktif .Agen provisi dengan build versi 1.1.1367.0 atau yang lebih baru.
Agen provisi harus dapat berkomunikasi dengan pengendali domain pada port TCP/389 (LDAP) dan TCP/3268 (katalog global).
Diperlukan untuk pencarian katalog global untuk memfilter referensi keanggotaan yang tidak valid.
Konvensi penamaan untuk grup yang ditulis kembali
Secara default, Sinkronisasi Microsoft Entra Connect menggunakan format berikut saat penamaan grup ditulis kembali:
-
Format default:
CN=Group_<guid>,OU=<container>,DC=<domain component>,DC=\<domain component> - Contoh :
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Untuk mempermudah menemukan grup yang ditulis kembali dari MICROSOFT Entra ID ke Active Directory, Microsoft Entra Connect Sync menambahkan opsi untuk menulis kembali nama grup dengan menggunakan nama tampilan cloud. Untuk menggunakan opsi ini, pilih Nama Khusus Grup Tulis Balik dengan Nama Tampilan Cloud selama penyiapan awal Group Writeback v2. Jika fitur ini diaktifkan, Microsoft Entra Connect menggunakan format baru berikut alih-alih format default:
-
Format baru:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>,DC=\<domain component> - Contoh :
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Secara default, Microsoft Entra Cloud Sync menggunakan format baru, meskipun fitur Nama Khusus Grup Tulis Balik dengan Nama Tampilan Cloud tidak diaktifkan di Sinkronisasi Microsoft Entra Connect. Jika Anda menggunakan penamaan Sinkronisasi Microsoft Entra Connect default lalu memigrasikan grup sehingga dikelola oleh Microsoft Entra Cloud Sync, grup akan diganti namanya menjadi format baru. Gunakan bagian berikut untuk mengizinkan Microsoft Entra Cloud Sync menggunakan format default dari Microsoft Entra Connect.
Menggunakan format default
Jika Anda ingin Microsoft Entra Cloud Sync menggunakan format default yang sama dengan Microsoft Entra Connect Sync, Anda perlu mengubah ekspresi aliran atribut untuk atribut tersebut CN . Dua kemungkinan pemetaan adalah:
| Ekspresi | Sintaks | Deskripsi |
|---|---|---|
Ekspresi default sinkronisasi cloud dengan menggunakan DisplayName |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Ekspresi default yang digunakan oleh Microsoft Entra Cloud Sync (yaitu, format baru). |
Sinkronisasi cloud ekspresi baru tanpa menggunakan DisplayName |
Append("Group_", [objectId]) |
Ekspresi baru menggunakan format default dari Sinkronisasi Microsoft Entra Connect. |
Untuk informasi selengkapnya, lihat Menambahkan pemetaan atribut - ID Microsoft Entra ke Direktori Aktif.
Langkah 1: Salin adminDescription ke msDS-ExternalDirectoryObjectID
Untuk memvalidasi referensi keanggotaan grup, Microsoft Entra Cloud Sync harus mengkueri katalog global Direktori Aktif untuk atribut tersebut msDS-ExternalDirectoryObjectID . Atribut terindeks ini direplikasi pada semua katalog global dalam Forest Direktori Aktif.
Di lingkungan lokal Anda, buka ADSI Edit.
Salin nilai yang ada di atribut grup
adminDescription.
Tempelkan nilai dalam
msDS-ExternalDirectoryObjectIDatribut .
Anda dapat menggunakan skrip PowerShell berikut untuk membantu mengotomatiskan langkah ini. Skrip ini mengambil semua grup dalam OU=Groups,DC=Contoso,DC=com kontainer dan menyalin nilai atribut dari adminDescription ke msDS-ExternalDirectoryObjectID. Sebelum Anda menggunakan skrip ini, perbarui variabel $gwbOU dengan DistinguishedName nilai unit organisasi (OU) target dari tulis balik grup Anda.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
Anda dapat menggunakan skrip PowerShell berikut untuk memeriksa hasil skrip sebelumnya. Anda juga dapat mengonfirmasi bahwa semua grup memiliki nilai adminDescription sama dengan nilai msDS-ExternalDirectoryObjectID.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
Langkah 2: Tempatkan server Sinkronisasi Microsoft Entra Connect dalam mode penahapan dan nonaktifkan penjadwal sinkronisasi
Mulai Asisten Sinkronisasi Microsoft Entra Connect.
Pilih Konfigurasikan.
Pilih Konfigurasikan mode penahapan dan pilih Berikutnya.
Masukkan kredensial Microsoft Entra.
Pilih kotak centang Aktifkan mode penahapan dan pilih Berikutnya.
Pilih Konfigurasikan.
Pilih Keluar.
Di server Microsoft Entra Connect Anda, buka perintah PowerShell sebagai administrator.
Nonaktifkan penjadwal sinkronisasi:
Set-ADSyncScheduler -SyncCycleEnabled $false
Langkah 3: Membuat aturan akses masuk grup khusus
Di Editor Aturan Sinkronisasi Microsoft Entra Connect, Anda membuat aturan sinkronisasi masuk yang memfilter grup yang memiliki NULL untuk atribut email. Aturan sinkronisasi inbound adalah aturan join dengan atribut target cloudNoFlow. Aturan ini memberi tahu Microsoft Entra Connect untuk tidak menyinkronkan atribut untuk grup ini. Untuk membuat aturan sinkronisasi ini, Anda dapat memilih untuk menggunakan antarmuka pengguna atau membuatnya melalui PowerShell dengan skrip yang disediakan.
Membuat aturan masuk grup kustom di antarmuka pengguna
Pada menu Mulai , mulai Editor Aturan Sinkronisasi.
Di bawah Arah, pilih Masuk dari daftar dropdown, dan pilih Tambahkan aturan baru.
Pada halaman Deskripsi, masukkan nilai berikut dan pilih Berikutnya:
- Nama: Beri nama yang bermakna untuk aturan.
- Deskripsi: Tambahkan deskripsi yang bermakna.
- Sistem Terhubung: Pilih konektor Microsoft Entra di mana Anda menulis aturan sinkronisasi kustom.
- Jenis Objek Sistem Tersambung: Pilih grup.
- Jenis Objek Metaverse: Pilih grup.
- Jenis Tautan: Pilih Gabung.
- Prioritas: Berikan nilai yang unik dalam sistem. Kami menyarankan agar Anda menggunakan nilai yang lebih rendah dari 100 sehingga lebih diutamakan daripada aturan default.
- Tag: Biarkan bidang kosong.
Pada halaman Filter cakupan , tambahkan nilai berikut dan pilih Berikutnya:
Atribut Pengoperasi Nilai cloudMasteredEQUALtruemailISNULL
Pada halaman Aturan gabungan, pilih Berikutnya.
Pada halaman Tambahkan transformasi , untuk FlowType, pilih Konstanta. Untuk Atribut Target, pilih cloudNoFlow. Untuk Sumber, pilih True.
Pilih Tambahkan.
Membuat aturan masuk grup kustom di PowerShell
Di server Microsoft Entra Connect Anda, buka perintah PowerShell sebagai administrator.
Mengimpor modul.
Import-Module ADSyncBerikan nilai unik untuk prioritas aturan sinkronisasi (0-99).
[int] $inboundSyncRulePrecedence = 88Jalankan skrip berikut:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
Langkah 4: Membuat aturan outbound grup khusus
Anda juga memerlukan aturan sinkronisasi keluar dengan tautan jenis JoinNoFlow dan filter cakupan di mana atribut cloudNoFlow diatur ke True. Aturan ini memberi tahu Microsoft Entra Connect untuk tidak menyinkronkan atribut untuk grup ini. Untuk membuat aturan sinkronisasi ini, Anda dapat memilih untuk menggunakan antarmuka pengguna atau membuatnya melalui PowerShell dengan skrip yang disediakan.
Buat aturan keluar untuk grup kustom di antarmuka pengguna
Di bawah Arah, pilih Keluar dari daftar dropdown, lalu pilih Tambahkan aturan.
Pada halaman Deskripsi, masukkan nilai berikut dan pilih Berikutnya:
- Nama: Beri nama yang bermakna untuk aturan.
- Deskripsi: Tambahkan deskripsi yang bermakna.
- Sistem Tersambung: Pilih konektor Direktori Aktif tempat Anda menulis aturan sinkronisasi kustom.
- Jenis Objek Sistem Tersambung: Pilih grup.
- Jenis Objek Metaverse: Pilih grup.
- Jenis Tautan: Pilih JoinNoFlow.
- Prioritas: Berikan nilai yang unik dalam sistem. Kami menyarankan agar Anda menggunakan nilai yang lebih rendah dari 100 sehingga lebih diutamakan daripada aturan default.
- Tag: Biarkan bidang kosong.
Pada halaman Filter cakupan, untuk Atribut, pilih cloudNoFlow. Untuk Operator pilih EQUAL. Untuk Nilai, pilih Benar. Kemudian pilih Berikutnya.
Pada halaman Aturan gabungan, pilih Berikutnya.
Pada halaman Transformasi , pilih Tambahkan.
Membuat aturan masuk grup kustom di PowerShell
Di server Microsoft Entra Connect Anda, buka perintah PowerShell sebagai administrator.
Mengimpor modul.
Import-Module ADSyncBerikan nilai unik untuk prioritas aturan sinkronisasi (0-99).
[int] $outboundSyncRulePrecedence = 89Dapatkan Active Directory connector untuk Group Writeback.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"Jalankan skrip berikut:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
Langkah 5: Gunakan PowerShell untuk menyelesaikan konfigurasi
Di server Microsoft Entra Connect Anda, buka perintah PowerShell sebagai administrator.
Impor modul
ADSync:Import-Module ADSyncJalankan siklus sinkronisasi penuh:
Start-ADSyncSyncCycle -PolicyType InitialNonaktifkan fitur Group Writeback untuk tenant.
Peringatan
Operasi ini tidak dapat dibatalkan. Setelah Anda menonaktifkan Group Writeback v2, semua grup Microsoft 365 ditulis kembali ke Active Directory, secara independen dari pengaturan Writeback Enabled di pusat admin Microsoft Entra.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseJalankan siklus sinkronisasi penuh lagi:
Start-ADSyncSyncCycle -PolicyType InitialMengaktifkan kembali penjadwal sinkronisasi:
Set-ADSyncScheduler -SyncCycleEnabled $true
Langkah 6: Hapus Microsoft Entra Connect Sync server dari mode penahapan
- Mulai Asisten Sinkronisasi Microsoft Entra Connect.
- Pilih Konfigurasikan.
- Pilih Konfigurasikan mode penahapan dan pilih Berikutnya.
- Masukkan kredensial Microsoft Entra.
- Kosongkan kotak centang Aktifkan mode penahapan dan pilih Berikutnya.
- Pilih Konfigurasikan.
- Pilih Keluar.
Langkah 7: Mengonfigurasi Microsoft Entra Cloud Sync
Sekarang setelah grup dihapus dari cakupan sinkronisasi Microsoft Entra Connect Sync, Anda dapat menyiapkan dan mengonfigurasi Microsoft Entra Cloud Sync untuk memulai sinkronisasi grup keamanan. Untuk informasi selengkapnya, lihat Memprovisikan grup ke Direktori Aktif dengan menggunakan Microsoft Entra Cloud Sync.