Eseguire la migrazione del writeback dei gruppi v2 di Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync

Importante

L'anteprima pubblica del writeback dei gruppi v2 in Microsoft Entra Connect Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in tale data e non sarà più supportata in Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continuerà a funzionare oltre la data di interruzione; tuttavia, non riceverà più supporto dopo questa data e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

È disponibile una funzionalità simile in Microsoft Entra Cloud Sync denominata Provisioning dei gruppi in Active Directory che è possibile usare al posto del writeback dei gruppi v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità che verranno sviluppate in Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Connect Sync dovranno cambiare la configurazione da Connect Sync to Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se soddisfa specifiche esigenze). È anche possibile eseguire Cloud Sync affiancato e spostare in Cloud Sync solo il provisioning dei gruppi di sicurezza in Active Directory.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare lo spostamento esclusivo in Cloud Sync usando la procedura guidata di sincronizzazione utenti.

Il documento seguente descrive come eseguire la migrazione del writeback dei gruppi a Microsoft Entra Connect Sync tramite Microsoft Entra Cloud Sync (in precedenza Azure AD Connect). Questo scenario riguarda solo i clienti che attualmente usano il writeback dei gruppi v2 di Microsoft Entra Connect. Il processo descritto in questo documento riguarda solo i gruppi di sicurezza creati dal cloud di cui viene eseguito il writeback con un ambito universale.

Importante

Questo scenario riguarda solo i clienti che attualmente usano il writeback dei gruppi v2 di Microsoft Entra Connect

Inoltre, questo scenario è supportato solo per:

• Gruppi di sicurezza creati dal cloud
• Questi gruppi vengono sottoposti a writeback con l'ambito dei gruppi universale di AD.

I gruppi abilitati alla posta elettronica e gli elenchi di dominio scritti con il writeback del gruppo Microsoft Entra Connect V1 o V2 non sono applicabili per questo scenario e non sono interessati da questa migrazione. Per altre informazioni, vedere le domande frequenti sul provisioning in Active Directory con Microsoft Entra Cloud Sync.

Prerequisiti

Per implementare questo scenario, è necessario soddisfare i prerequisiti seguenti.

• Account Microsoft Entra con almeno un ruolo di amministratore delle identità ibride.
• Un account AD locale con almeno le autorizzazioni di amministratore di dominio, necessario per accedere all'attributo adminDescription e copiarlo nell'attributo msDS-ExternalDirectoryObjectId
• Ambiente Active Directory Domain Services locale con sistema operativo Windows Server 2016 o versione successiva.
  • Necessario per l'attributo dello schema di AD - msDS-ExternalDirectoryObjectId
• Agente di provisioning con build versione 1.1.1367.0 o successiva.
• L'agente di provisioning deve essere in grado di comunicare con i controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
  • Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide

Convenzione di denominazione per i gruppi riscritto

Per impostazione predefinita, Microsoft Entra Connect Sync usa il formato seguente quando si denominano i gruppi di cui viene eseguito il scrittura.

• Formato predefinito: CN=Group_guid,OU>=<container,DC>=<domain component,DC>=<domain component<>

• Esempio: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Per semplificare il writeback dei gruppi da Microsoft Entra ID in Active Directory, Microsoft Entra Connect Sync ha aggiunto un'opzione per scrivere il nome del gruppo usando il nome visualizzato del cloud. A tale scopo, selezionare il nome distinto del gruppo di writeback con il nome visualizzato del cloud durante la configurazione iniziale del writeback del gruppo v2. Se questa funzionalità è abilitata, Microsoft Entra Connect usa il nuovo formato seguente, anziché il formato predefinito:

• Nuovo formato: CN=<display name>_<last 12 cifre dell'ID> oggetto,OU=<container,DC>=<domain component,DC=<domain component>>

• Esempio: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Importante

Per impostazione predefinita, la sincronizzazione cloud di Microsoft Entra usa il nuovo formato, anche se la funzionalità Nome distinto gruppo writeback con nome visualizzato cloud non è abilitata in Microsoft Entra Connect Sync. Se si usa la denominazione predefinita di Microsoft Entra Connect Sync e quindi si esegue la migrazione del gruppo in modo che sia gestito dalla sincronizzazione cloud di Microsoft Entra, il gruppo viene rinominato nel nuovo formato. Usare la sezione seguente per consentire alla sincronizzazione cloud di Microsoft Entra di usare il formato predefinito di Microsoft Entra Connect.

Uso del formato predefinito

Se si vuole che la sincronizzazione cloud usi lo stesso formato predefinito di Microsoft Entra Connect Sync, è necessario modificare l'espressione del flusso di attributi per l'attributo CN. I due possibili mapping sono:

Espressione	Sintassi	Descrizione
Espressione predefinita di sincronizzazione cloud con DisplayName	Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	Espressione predefinita usata dalla sincronizzazione cloud di Microsoft Entra (ovvero il nuovo formato)
Nuova espressione di sincronizzazione cloud senza usare DisplayName	Append("Group_", [objectId])	Nuova espressione da usare il formato predefinito di Microsoft Entra Connect Sync.

Per altre informazioni, vedere Aggiungere un mapping di attributi - Microsoft Entra ID to Active Directory

Passaggio 1 - Copiare adminDescription in msDS-ExternalDirectoryObjectID

Per convalidare i riferimenti all'appartenenza ai gruppi, Microsoft Entra Cloud Sync deve eseguire una query sul Catalogo globale di Active Directory per l'attributo msDS-ExternalDirectoryObjectID. Si tratta di un attributo indicizzato che viene replicato in tutti i cataloghi globali all'interno della foresta Active Directory.

1. Nell'ambiente locale aprire ADSI Edit.

2. Copiare il valore nell'attributo adminDescription del gruppo

   

3. Incollarlo nell'attributo msDS-ExternalDirectoryObjectID

   

Lo script di PowerShell seguente può essere usato per automatizzare questo passaggio. Questo script accetta tutti i gruppi nel contenitore OU=Groups,DC=Contoso,DC=com e copia il valore dell'attributo adminDescription nel valore dell'attributo msDS-ExternalDirectoryObjectID. Prima di usare questo script, aggiornare la variabile $gwbOU con DistinguishedName dell'unità organizzativa (OU) di destinazione del writeback del gruppo.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
Import-module ActiveDirectory
$properties = @('Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Passaggio 2 - Inserire il server di Microsoft Entra Connect Sync in modalità di staging e disabilitare l'utilità di pianificazione della sincronizzazione

1. Avviare la procedura guidata di Microsoft Entra Connect Sync

2. Fare clic su Configura.

3. Selezionare Configurazione della modalità di staging e fare clic su Avanti

4. Immettere le credenziali di Microsoft Entra

5. Selezionare la casella di controllo Abilita modalità di staging e fare clic su Avanti

   

6. Fare clic su Configura.

7. Fare clic su Esci

   

8. Nel server di Microsoft Entra Connect aprire un prompt di PowerShell come amministratore.

9. Disabilitare l'utilità di pianificazione della sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Passaggio 3 - Creare una regola in ingresso personalizzata per i gruppi

Nell'editor delle regole di sincronizzazione di Microsoft Entra Connect è necessario creare una regola di sincronizzazione in ingresso che filtri i gruppi che hanno NULL per l'attributo mail. La regola di sincronizzazione in ingresso è una regola di join con un attributo di destinazione cloudNoFlow. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi gruppi.

1. Avviare l'Editor regole di sincronizzazione dal menu Start.

2. Selezionare In ingresso nell'elenco a discesa Direzione e fare clic su Aggiungi nuova regola.

3. Nella pagina Descrizione immettere quanto segue e fare clic su Avanti:

   • Nome: assegnare un nome significativo alla regola

   • Descrizione: aggiungere una descrizione significativa

   • Sistema connesso: scegliere il connettore di Microsoft Entra per cui si sta scrivendo la regola di sincronizzazione personalizzata

   • Tipo di oggetto di sistema connesso: Gruppo

   • Tipo di oggetto metaverse: Gruppo

   • Tipo di collegamento: Join

   • Precedence: (Precedenza) fornire un valore univoco nel sistema. È consigliabile un valore inferiore a 100, in modo da avere la precedenza sulle regole predefinite.

   • Tag: lasciare vuoto

     

4. Nella pagina Filtro di ambito selezionare Aggiungi e aggiungere quanto segue, quindi fare clic su Avanti.

   Attributo	Operatore	Valore
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Nella pagina di regole Join fare clic su Avanti.

6. Nella pagina Transformations (Trasformazioni) aggiungere una trasformazione costante: impostare su True l'attributo cloudNoFlow. Selezionare Aggiungi.

   

Passaggio 4 - Creare una regola in uscita personalizzata per i gruppi

È necessaria anche una regola di sincronizzazione in uscita con un tipo di collegamento JoinNoFlow e il filtro di ambito con l'attributo cloudNoFlow impostato su True. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi gruppi.

1. Selezionare In uscita nell'elenco a discesa Direzione e fare clic su Aggiungi regola.

2. Nella pagina Descrizione immettere quanto segue e fare clic su Avanti:

   • Nome: assegnare un nome significativo alla regola
   • Descrizione: aggiungere una descrizione significativa
   • Sistema connesso: scegliere il connettore di AD per cui si sta scrivendo la regola di sincronizzazione personalizzata
   • Tipo di oggetto di sistema connesso: Gruppo
   • Tipo di oggetto metaverse: Gruppo
   • Tipo di collegamento: JoinNoFlow
   • Precedence: (Precedenza) fornire un valore univoco nel sistema. È consigliabile un valore inferiore a 100, in modo da avere la precedenza sulle regole predefinite.
   • Tag: lasciare vuoto

   

3. Nella pagina Scoping filter (Filtro di ambito) scegliere cloudNoFlow uguale True. Quindi seleziona Avanti.

   

4. Nella pagina di regole Join fare clic su Avanti.

5. Nella pagina Trasformazioni selezionare Aggiungi.

Passaggio 5- Usare PowerShell per completare la configurazione

1. Nel server di Microsoft Entra Connect aprire un prompt di PowerShell come amministratore.

2. Importare il modulo ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. Eseguire un ciclo di sincronizzazione completo:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Disabilitare la funzionalità di writeback dei gruppi per il tenant:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Eseguire un ciclo di sincronizzazione completo (di nuovo):

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Riabilitare l'utilità di pianificazione della sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Passaggio 6 - Rimuovere il server di Microsoft Entra Connect Sync dalla modalità di staging

1. Avviare la procedura guidata di Microsoft Entra Connect Sync
2. Fare clic su Configura.
3. Selezionare Configurazione della modalità di staging e fare clic su Avanti
4. Immettere le credenziali di Microsoft Entra
5. Deselezionare la casella di controllo Abilita modalità di staging e fare clic su Avanti
6. Fare clic su Configura.
7. Fare clic su Esci

Passaggio 7 - Configurare Microsoft Entra Cloud Sync

Ora che i gruppi vengono rimossi dall'ambito di sincronizzazione di Microsoft Entra Connect Sync, è possibile configurare e configurare Microsoft Entra Cloud Sync per acquisire la sincronizzazione dei gruppi di sicurezza. Vedere Effettuare il provisioning dei gruppi in Active Directory usando Microsoft Entra Cloud Sync.

Passaggi successivi

• Effettuare il provisioning dei gruppi in Active Directory usando Microsoft Entra Cloud Sync
• Gestire le app locali basate su Active Directory (Kerberos) usando Microsoft Entra ID Governance
• Domande frequenti sul provisioning Active Directory con Microsoft Entra Cloud Sync