Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
L'anteprima pubblica di Group Writeback v2 in Microsoft Entra Connect Sync non è più disponibile a partire dal 30 giugno 2024. Questa funzionalità non è più disponibile in questa data e non è più supportata in Microsoft Entra Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continua a funzionare oltre la data di interruzione; tuttavia, non riceve più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.
È disponibile una funzionalità simile in Microsoft Entra Cloud Sync, denominata Provisioning di gruppi in Active Directory, che è possibile usare al posto di Group Writeback v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Stiamo lavorando per migliorare questa funzionalità in Microsoft Entra Cloud Sync insieme ad altre nuove funzionalità che stiamo sviluppando in Microsoft Entra Cloud Sync.
I clienti che usano questa funzionalità di anteprima in Microsoft Entra Connect Sync devono cambiare la configurazione da Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Microsoft Entra Cloud Sync (se supporta le proprie esigenze). È anche possibile eseguire Microsoft Entra Cloud Sync in parallelo e spostare solo il provisioning del gruppo di sicurezza cloud verso Active Directory tramite Microsoft Entra Cloud Sync.
I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.
È possibile valutare il passaggio esclusivamente a Microsoft Entra Cloud Sync usando la procedura guidata di sincronizzazione utente .
Questo articolo descrive come eseguire la migrazione del writeback del gruppo usando Microsoft Entra Connect Sync (in precedenza Azure Active Directory Connect) a Microsoft Entra Cloud Sync. Questo scenario è destinato solo ai clienti che attualmente usano il writeback del gruppo Entra Connect v2. Il processo descritto in questo articolo riguarda solo i gruppi di sicurezza creati dal cloud che vengono riscritto con un ambito universale.
Questo scenario è supportato solo per:
- Gruppi di sicurezza creati dal cloud.
- I gruppi sono stati riscritti in Active Directory con ambito universale.
I gruppi abilitati alla posta elettronica e le liste di distribuzione riscritti in Active Directory continuano a funzionare con il writeback del gruppo Microsoft Entra Connect, ma ritornano al comportamento di Group Writeback v1. In questo scenario, dopo aver disabilitato Group Writeback v2, tutti i gruppi di Microsoft 365 vengono riscritto in Active Directory indipendentemente dall'impostazione Writeback Enabled nell'interfaccia di amministrazione di Microsoft Entra. Per ulteriori informazioni, vedere Domande frequenti sul provisioning in Active Directory con Microsoft Entra Cloud Sync.
Prerequisiti
Un account Microsoft Entra con almeno un ruolo di amministratore dell'identità ibrida .
Un account Active Directory locale con almeno autorizzazioni di amministratore di dominio.
Obbligatorio per accedere all'attributo
adminDescriptione copiarlo nell'attributomsDS-ExternalDirectoryObjectId.Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versioni successive.
Obbligatorio per l'attributo
msDS-ExternalDirectoryObjectIdschema di Active Directory .Agente di provisioning con versione di build 1.1.1367.0 o successive.
L'agente di provisioning deve essere in grado di comunicare con i controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (catalogo globale).
Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide.
Convenzione di denominazione per i gruppi di cui viene eseguito il writeback
Per impostazione predefinita, Microsoft Entra Connect Sync usa il formato seguente quando vengono riscritto i gruppi di denominazione:
-
Formato predefinito:
CN=Group_<guid>,OU=<container>,DC=<domain component>,DC=\<domain component> - Esempio di :
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Per semplificare l'individuazione dei gruppi di cui viene eseguito il writeback da Microsoft Entra ID in Active Directory, Microsoft Entra Connect Sync ha aggiunto un'opzione per eseguire il writeback del nome del gruppo usando il nome visualizzato del cloud. Per usare questa opzione, selezionare Writeback Group Distinguished Name with Cloud Display Name durante l'installazione iniziale del Group Writeback v2. Se questa funzionalità è abilitata, Microsoft Entra Connect usa il nuovo formato seguente anziché il formato predefinito:
-
Nuovo formato:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>,DC=\<domain component> - Esempio di :
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Per impostazione predefinita, Microsoft Entra Cloud Sync usa il nuovo formato, anche se la funzionalità denominata "Writeback Group Distinguished Name with Cloud Display Name" non è abilitata in Microsoft Entra Connect Sync. Se si utilizza la denominazione predefinita di Microsoft Entra Connect Sync e si esegue la migrazione del gruppo affinché sia gestito da Microsoft Entra Cloud Sync, il gruppo viene rinominato nel nuovo formato. Usare la sezione seguente per consentire a Microsoft Entra Cloud Sync di usare il formato predefinito di Microsoft Entra Connect.
Usare il formato predefinito
Se si vuole che Microsoft Entra Cloud Sync usi lo stesso formato predefinito di Microsoft Entra Connect Sync, è necessario modificare l'espressione del flusso di attributi per l'attributo CN . Le due possibili mappature sono:
| Espressione | Sintassi | Descrizione |
|---|---|---|
Espressione predefinita per la sincronizzazione con il cloud utilizzando DisplayName |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Espressione predefinita usata da Microsoft Entra Cloud Sync (ovvero il nuovo formato). |
Nuova espressione di sincronizzazione cloud senza usare DisplayName |
Append("Group_", [objectId]) |
La nuova espressione per usare il formato predefinito di Microsoft Entra Connect Sync. |
Per altre informazioni, vedere Aggiungere una mappatura degli attributi - Microsoft Entra ID ad Active Directory.
Passaggio 1: Copiare adminDescription in msDS-ExternalDirectoryObjectID
Per convalidare i riferimenti all'appartenenza ai gruppi, Microsoft Entra Cloud Sync deve eseguire una query sul catalogo globale di Active Directory per l'attributo msDS-ExternalDirectoryObjectID . Questo attributo indicizzato viene replicato in tutti i cataloghi globali all'interno della foresta Active Directory.
Nell'ambiente locale aprire ADSI Edit (Modifica ADSI).
Copiare il valore incluso nell'attributo del
adminDescriptiongruppo.
Incollare il valore nell'attributo
msDS-ExternalDirectoryObjectID.
È possibile usare lo script di PowerShell seguente per automatizzare questo passaggio. Questo script accetta tutti i gruppi nel OU=Groups,DC=Contoso,DC=com contenitore e copia il valore dell'attributo adminDescription nel valore dell'attributo msDS-ExternalDirectoryObjectID . Prima di usare questo script, aggiorna la variabile $gwbOU con il valore DistinguishedName dell'unità organizzativa di destinazione per il writeback del gruppo.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
È possibile usare lo script di PowerShell seguente per controllare i risultati dello script precedente. È anche possibile verificare che tutti i gruppi abbiano il adminDescription valore uguale al msDS-ExternalDirectoryObjectID valore .
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
Passaggio 2: Posizionare il server di sincronizzazione Microsoft Entra Connect in modalità di gestione temporanea e disabilitare l'utilità di pianificazione della sincronizzazione
Avvia la procedura guidata di Microsoft Entra Connect Sync.
Seleziona Configura.
Selezionare Configura modalità di gestione temporanea e selezionare Avanti.
Immettere le credenziali di Microsoft Entra.
Selezionare la casella di controllo Abilita modalità di gestione temporanea e selezionare Avanti.
Seleziona Configura.
Selezionare Esci.
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Disabilitare l'utilità di pianificazione della sincronizzazione:
Set-ADSyncScheduler -SyncCycleEnabled $false
Passaggio 3: Creare una regola in ingresso per un gruppo personalizzato
Nell'editor delle regole di sincronizzazione di Microsoft Entra Connect si crea una regola di sincronizzazione in ingresso che filtra i gruppi che dispongono NULL dell'attributo mail. La regola di sincronizzazione in ingresso è una regola di join con un attributo di destinazione di cloudNoFlow. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi gruppi. Per creare questa regola di sincronizzazione, è possibile scegliere di usare l'interfaccia utente o crearla tramite PowerShell con lo script fornito.
Creare una regola personalizzata di gruppo in ingresso nell'interfaccia utente
Nel menu Start avviare l'Editor regole di sincronizzazione.
In Direzione selezionare In ingresso nell'elenco a discesa e selezionare Aggiungi nuova regola.
Nella pagina Descrizione immettere i valori seguenti e selezionare Avanti:
- Nome: assegnare alla regola un nome significativo.
- Descrizione: aggiungere una descrizione significativa.
- Sistema Connesso: scegliere il connettore Microsoft Entra per cui si sta scrivendo la regola di sincronizzazione personalizzata.
- Connected System Object Type (Tipo di oggetto sistema connesso): selezionare il gruppo.
- Tipo di oggetto metaverse: selezionare il gruppo.
- tipo di collegamento: seleziona unisci.
- Precedenza: Fornire un valore univoco nel sistema. È consigliabile usare un valore inferiore a 100 in modo da avere la precedenza sulle regole predefinite.
- Etichetta: Lascia il campo vuoto.
Nella pagina Filtro di ambito, aggiungere i valori seguenti e selezionare Avanti:
Attributo Operatore Valore cloudMasteredEQUALtruemailISNULL
Nella pagina regole di join, selezionare Avanti.
Nella pagina Aggiungi trasformazioni, per FlowType, selezionare Costante. Per Attributo di destinazione selezionare cloudNoFlow. In Origine selezionare Vero.
Selezionare Aggiungi.
Creare una regola di ingresso di gruppo personalizzata in PowerShell
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il modulo.
Import-Module ADSyncSpecificare un valore univoco per la precedenza della regola di sincronizzazione (0-99).
[int] $inboundSyncRulePrecedence = 88Eseguire lo script seguente:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
Passaggio 4: Creare una regola in uscita per un gruppo personalizzato
È anche necessaria una regola di sincronizzazione in uscita con un tipo di collegamento JoinNoFlow e un filtro di ambito che ha l'attributo cloudNoFlow impostato a True. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi gruppi. Per creare questa regola di sincronizzazione, è possibile scegliere di usare l'interfaccia utente o crearla tramite PowerShell con lo script fornito.
Creare una regola in uscita del gruppo personalizzata nell'interfaccia utente
In Direzione selezionare In uscita dall'elenco a discesa e quindi selezionare Aggiungi regola.
Nella pagina Descrizione immettere i valori seguenti e selezionare Avanti:
- Nome: assegnare alla regola un nome significativo.
- Descrizione: aggiungere una descrizione significativa.
- Sistema connesso: scegliere il connettore Active Directory per cui si sta scrivendo la regola di sincronizzazione personalizzata.
- Connected System Object Type (Tipo di oggetto sistema connesso): selezionare il gruppo.
- Tipo di oggetto metaverse: selezionare il gruppo.
- tipo di collegamento: selezionare JoinNoFlow.
- Precedenza: Fornire un valore univoco nel sistema. È consigliabile usare un valore inferiore a 100 in modo da avere la precedenza sulle regole predefinite.
- Tag: lasciare vuoto il campo.
Nella pagina Filtro di ambito, per Attributo, selezionare cloudNoFlow. Per Operatore selezionare EQUAL. Per Valoreselezionare True. Quindi seleziona Avanti.
Nella pagina regole di join, selezionare Avanti.
Nella pagina Trasformazioni, selezionare Aggiungi.
Creare una regola di ingresso di gruppo personalizzata in PowerShell
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il modulo.
Import-Module ADSyncSpecificare un valore univoco per la precedenza della regola di sincronizzazione (0-99).
[int] $outboundSyncRulePrecedence = 89Scarica il connettore Active Directory per il writeback di gruppo.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"Eseguire lo script seguente:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
Passaggio 5: Usare PowerShell per completare la configurazione
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il
ADSyncmodulo:Import-Module ADSyncEseguire un ciclo di sincronizzazione completo:
Start-ADSyncSyncCycle -PolicyType InitialDisabilitare la funzionalità di writeback del gruppo per il tenant.
Avviso
questa operazione è irreversibile. Dopo aver disabilitato Group Writeback v2, tutti i gruppi di Microsoft 365 vengono riscritto in Active Directory, indipendentemente dall'impostazione Writeback Enabled nell'interfaccia di amministrazione di Microsoft Entra.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseEseguire di nuovo un ciclo di sincronizzazione completo:
Start-ADSyncSyncCycle -PolicyType InitialRiattivare l'utilità di pianificazione della sincronizzazione:
Set-ADSyncScheduler -SyncCycleEnabled $true
Passaggio 6: Rimuovere il server di sincronizzazione Microsoft Entra Connect dalla modalità di gestione temporanea
- Avvia la procedura guidata Microsoft Entra Connect Sync.
- Seleziona Configura.
- Selezionare Configura modalità di gestione temporanea e selezionare Avanti.
- Immettere le credenziali di Microsoft Entra.
- Deselezionare la casella di controllo Abilita modalità di gestione temporanea e selezionare Avanti.
- Seleziona Configura.
- Selezionare Esci.
Passaggio 7: Configurare Microsoft Entra Cloud Sync
Ora che i gruppi sono rimossi dall'ambito di sincronizzazione di Microsoft Entra Connect Sync, è possibile configurare Microsoft Entra Cloud Sync in modo tale che assumi il controllo della sincronizzazione dei gruppi di sicurezza. Per altre informazioni, vedere Effettuare il provisioning di gruppi in Active Directory usando Microsoft Entra Cloud Sync.