Write-back van Azure AD Connect-groep plannen

Met write-back van groepen kunt u cloudgroepen terugschrijven naar uw on-premises Active Directory-exemplaar met behulp van Azure Active Directory (Azure AD) Connect-synchronisatie. U kunt deze functie gebruiken om groepen in de cloud te beheren, terwijl u de toegang tot on-premises toepassingen en resources beheert.

Notitie

De functionaliteit voor het terugschrijven van groepen bevindt zich momenteel in openbare preview omdat we feedback en telemetrie van klanten verzamelen. Raadpleeg de beperkingen voordat u deze functionaliteit inschakelt.

Er zijn twee versies van het terugschrijven van groepen. De oorspronkelijke versie is algemeen beschikbaar en is beperkt tot het terugschrijven van Microsoft 365-groepen naar uw on-premises Active Directory-exemplaar als distributiegroepen. De nieuwe, uitgebreide versie van write-back van groepen bevindt zich in openbare preview en biedt de volgende mogelijkheden:

  • U kunt Microsoft 365-groepen terugschrijven als distributiegroepen, beveiligingsgroepen of beveiligingsgroepen met e-mail.
  • U kunt Azure AD beveiligingsgroepen terugschrijven als beveiligingsgroepen.
  • Alle groepen worden teruggeschreven met het groepsbereik Universeel.
  • U kunt groepen met toegewezen en dynamische lidmaatschappen terugschrijven.
  • U kunt directory-instellingen configureren om te bepalen of nieuw gemaakte Microsoft 365-groepen standaard worden teruggeschreven.
  • Het nesten van groepen in Azure AD wordt teruggeschreven als beide groepen bestaan in Active Directory.
  • Groepen die zijn genest als leden van on-premises Active Directory gesynchroniseerde groepen, worden tot Azure AD als geneste groepen gesynchroniseerd.
  • Apparaten die lid zijn van groepen waarvoor write-back is ingeschakeld in Azure AD, worden teruggeschreven als leden van Active Directory. Azure AD-geregistreerde en Azure AD-gekoppelde apparaten vereisen dat write-back van apparaten is ingeschakeld om groepslidmaatschap terug te schrijven.
  • U kunt de algemene naam in de DN-naam van een Active Directory-groep configureren om de weergavenaam van de groep op te nemen wanneer deze wordt teruggeschreven.
  • U kunt de Azure AD-beheerportal, Graph Explorer en PowerShell gebruiken om te configureren welke Azure AD groepen worden teruggeschreven.

De nieuwe versie is ingeschakeld op de tenant en niet per Azure AD Connect-clientexemplaar. Zorg ervoor dat alle Azure AD Connect-clientexemplaren zijn bijgewerkt naar een minimale build van Azure AD Connect versie 2.0 of hoger als write-back van groepen momenteel is ingeschakeld op het clientexemplaar.

In dit artikel worden de activiteiten beschreven die u moet uitvoeren voordat u write-back van groepen inschakelt voor uw tenant. Deze activiteiten omvatten het detecteren van uw huidige configuratie, het controleren van de vereisten en het kiezen van de implementatiebenadering.

Ontdekken of write-back van groepen is ingeschakeld in uw omgeving

Gebruik de PowerShell-cmdlet om te ontdekken of Azure AD Write-back van groepen al is ingeschakeld in uw Get-ADSyncAADCompanyFeature omgeving. De cmdlet maakt deel uit van de ADSync PowerShell-module die is geïnstalleerd met Azure AD Connect.

Schermopname van Get-ADSyncAADCompanyFeature cmdlet.

UnifiedGroupWriteback verwijst naar de oorspronkelijke versie. GroupWritebackV2 verwijst naar de nieuwe versie.

Een waarde van False geeft aan dat de functie niet is ingeschakeld.

De huidige write-backinstellingen voor bestaande Microsoft 365-groepen ontdekken

Als u de bestaande write-back-instellingen voor Microsoft 365-groepen in de portal wilt weergeven, gaat u naar elke groep en selecteert u de eigenschappen ervan.

Schermopname van Microsoft 365-groepseigenschappen.

U kunt de write-backstatus ook bekijken via Microsoft Graph. Zie Groep ophalen voor meer informatie.

Voorbeeld: GET https://graph.microsoft.com/beta/groups?$filter=groupTypes/any(c:c eq 'Unified')&$select=id,displayName,writebackConfiguration

Als isEnabled of trueisnull, wordt de groep teruggeschreven.

Als isEnabled is false, wordt de groep niet teruggeschreven.

Ten slotte kunt u de status van de write-back bekijken via PowerShell met behulp van de PowerShell-module Microsoft Identity Tools.

Voorbeeld: Get-mggroup -filter "groupTypes/any(c:c eq 'Unified')" | Get-MsIdGroupWritebackConfiguration

De standaardinstelling voor terugschrijven detecteren voor nieuw gemaakte Microsoft 365-groepen

Voor groepen die nog niet zijn gemaakt, kunt u bekijken of ze automatisch worden teruggeschreven.

Als u het standaardgedrag in uw omgeving wilt zien voor nieuw gemaakte groepen, gebruikt u het resourcetype directorySetting in Microsoft Graph.

Voorbeeld: GET https://graph.microsoft.com/beta/Settings

Als de directorySetting waarde Group.Unified van niet bestaat, wordt de standaardmapinstelling toegepast en worden nieuw gemaakte Microsoft 365-groepen automatisch teruggeschreven.

Als er een directorySetting waarde van Group.Unified bestaat met de NewUnifiedGroupWritebackDefault waarde van false, worden Microsoft 365-groepen niet automatisch ingeschakeld voor write-back wanneer ze worden gemaakt. Als de waarde niet is opgegeven of is ingesteld op true, worden nieuw gemaakte Microsoft 365-groepen automatisch teruggeschreven.

U kunt ook de PowerShell-cmdlet AzureADDirectorySetting gebruiken.

Voorbeeld: (Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"} | FL *).values

Als er niets wordt geretourneerd, gebruikt u de standaarddirectory-instellingen. Nieuw gemaakte Microsoft 365-groepen worden automatisch teruggeschreven.

Als directorySetting wordt geretourneerd met de NewUnifiedGroupWritebackDefault waarde van false, worden Microsoft 365-groepen niet automatisch ingeschakeld voor write-back wanneer ze worden gemaakt. Als de waarde niet is opgegeven of is ingesteld op true, worden nieuw gemaakte Microsoft 365-groepen automatisch teruggeschreven.

Ontdekken of Active Directory is voorbereid voor Exchange

Zie Active Directory en domeinen voorbereiden voor Exchange Server om te controleren of Active Directory is voorbereid voor Exchange.

Voldoen aan de vereisten voor openbare preview

Hier volgen vereisten voor het terugschrijven van groepen:

  • Een Azure AD Premium 1-licentie
  • Azure AD Connect versie 2.0.89.0 of hoger

Een optionele vereiste is Exchange Server 2016 CU15 of hoger. U hebt deze alleen nodig voor het configureren van cloudgroepen met een hybride Exchange-versie. Zie Configure Microsoft 365 Groepen with on-premises Exchange hybrid (Microsoft 365 Groepen configureren met on-premises Exchange Hybrid) voor meer informatie. Als u Active Directory nog niet hebt voorbereid voor Exchange, worden e-mailgerelateerde kenmerken van groepen niet teruggeschreven.

De juiste aanpak kiezen

De juiste implementatiebenadering voor uw organisatie is afhankelijk van de huidige status van het terugschrijven van groepen in uw omgeving en het gewenste write-backgedrag.

Wanneer u write-back van groepen inschakelt, treedt het volgende standaardgedrag op:

  • Alle bestaande Microsoft 365-groepen worden automatisch teruggeschreven naar Active Directory, inclusief alle Microsoft 365-groepen die in de toekomst worden gemaakt. Azure AD beveiligingsgroepen worden niet automatisch teruggeschreven. Ze moeten elk zijn ingeschakeld voor write-back.

  • Groepen die zijn teruggeschreven, worden niet verwijderd in Active Directory als ze zijn uitgeschakeld voor terugschrijven of voorlopig worden verwijderd. Ze blijven in Active Directory totdat ze definitief worden verwijderd in Azure AD.

    Wijzigingen in deze groepen in Azure AD worden niet teruggeschreven totdat de groepen opnieuw zijn ingeschakeld voor terugschrijven of worden hersteld vanuit een status voor voorlopig verwijderen. Deze vereiste helpt de Active Directory-groepen te beschermen tegen onbedoelde verwijdering als ze per ongeluk zijn uitgeschakeld voor write-back of voorlopig worden verwijderd in Azure AD.

  • Microsoft 365-groepen met meer dan 50.000 leden en Azure AD beveiligingsgroepen met meer dan 250.000 leden kunnen niet worden teruggeschreven naar on-premises.

Als u het standaardgedrag wilt behouden, gaat u verder met het artikel Write-back van groepen inschakelen Azure AD Connect.

U kunt het standaardgedrag als volgt wijzigen:

  • Alleen groepen die zijn geconfigureerd voor write-back, worden teruggeschreven, inclusief nieuw gemaakte Microsoft 365-groepen.
  • Groepen die naar on-premises worden geschreven, worden verwijderd in Active Directory wanneer ze zijn uitgeschakeld voor het terugschrijven van groepen, voorlopig verwijderd of definitief verwijderd in Azure AD.
  • Microsoft 365-groepen met maximaal 250.000 leden kunnen worden teruggeschreven naar on-premises.

Als u van plan bent om het standaardgedrag te wijzigen, raden we u aan dit te doen voordat u write-back van groepen inschakelt. U kunt echter nog steeds het standaardgedrag wijzigen als write-back van groepen al is ingeschakeld. Zie Standaardgedrag voor het terugschrijven van groepen wijzigen Azure AD voor meer informatie.

Notitie

U moet deze wijzigingen aanbrengen voordat u het terugschrijven van groepen inschakelt. Anders worden alle bestaande Microsoft 365-groepen automatisch teruggeschreven naar Active Directory. Ook moeten de nieuwe en oorspronkelijke versies van de functie worden ingeschakeld in de gedocumenteerde volgorde. Als de oorspronkelijke functie eerst is ingeschakeld, worden alle bestaande Microsoft 365-groepen teruggeschreven naar Active Directory.

De beperkingen van openbare preview begrijpen

Hoewel deze release uitgebreid is getest, kunnen er nog steeds problemen optreden. Een van de doelen van deze openbare preview-versie is om eventuele problemen op te sporen en op te lossen voordat de functie algemeen beschikbaar wordt. Houd er ook rekening mee dat elke openbare preview-functionaliteit nog steeds belangrijke wijzigingen kan ontvangen, waardoor u mogelijk wijzigingen in uw configuratie moet aanbrengen om deze functie te kunnen blijven gebruiken. We kunnen ook besluiten om bepaalde functionaliteit te wijzigen of te verwijderen zonder voorafgaande kennisgeving. Microsoft biedt ondersteuning voor deze openbare preview-versie, maar we kunnen mogelijk niet onmiddellijk problemen oplossen die u ondervindt. Om deze redenen raden we u aan deze release niet te implementeren in uw productieomgeving. 

Deze beperkingen en bekende problemen zijn specifiek voor het terugschrijven van groepen:

  • Clouddistributielijstgroepen die zijn gemaakt in Exchange Online kunnen niet worden teruggeschreven naar AD, alleen Microsoft 365 en Azure AD beveiligingsgroepen worden ondersteund.

  • Wanneer u write-back van groepen inschakelt, worden alle bestaande Microsoft 365-groepen standaard teruggeschreven en gemaakt als distributiegroepen om achterwaarts compatibel te zijn met de huidige versie van het terugschrijven van groepen.

  • Wanneer u write-back voor een groep uitschakelt, wordt de groep niet automatisch verwijderd uit uw on-premises Active Directory, totdat deze definitief is verwijderd in Azure AD. Dit gedrag kan worden gewijzigd door de stappen te volgen die worden beschreven in Write-back van groep wijzigen

  • Write-back van groepen biedt geen ondersteuning voor write-back van geneste groepsleden met het bereik 'Domein lokaal' in AD, omdat Azure AD beveiligingsgroepen worden teruggeschreven met bereik 'Universeel'. Als u een geneste groep zoals deze hebt, ziet u een exportfout in Azure AD Verbinding maken met het bericht 'Een universele groep kan geen lokale groep als lid hebben'. De oplossing is om het lid met het bereik 'Domein lokaal' uit de Azure AD groep te verwijderen of het bereik van het geneste groepslid in AD bij te werken naar de groep 'Globaal' of 'Universeel'.

  • Write-back van groep ondersteunt alleen het terugschrijven van groepen naar één organisatie-eenheid (OE). Zodra de functie is ingeschakeld, kunt u de organisatie-eenheid die u hebt geselecteerd, niet meer wijzigen. Een tijdelijke oplossing is het volledig uitschakelen van het terugschrijven van groepen in Azure AD Connect en vervolgens een andere organisatie-eenheid te selecteren wanneer u de functie opnieuw inschakelt. 

  • Geneste cloudgroepen die lid zijn van groepen waarvoor write-back is ingeschakeld, moeten ook worden ingeschakeld om terugschrijven genest te blijven in AD.

  • De instelling Write-back van groep voor het beheren van het terugschrijven van nieuwe beveiligingsgroepen op schaal is nog niet beschikbaar. U moet write-back configureren voor elke groep. 

    Als u een geneste groep zoals deze hebt, ziet u een exportfout in Azure AD Verbinding maken met het bericht 'Een universele groep kan geen lokale groep als lid hebben'. De oplossing is om het lid met het lokale domeinbereik te verwijderen uit de Azure AD groep, of het bereik van het geneste groepslid in Active Directory bij te werken naar Globaal of Universeel.

  • Write-back van groepen ondersteunt het terugschrijven van groepen naar slechts één organisatie-eenheid (OE). Nadat de functie is ingeschakeld, kunt u de organisatie-eenheid die u hebt geselecteerd, niet meer wijzigen. Een tijdelijke oplossing is het volledig uitschakelen van het terugschrijven van groepen in Azure AD Connect en vervolgens een andere organisatie-eenheid te selecteren wanneer u de functie opnieuw inschakelt. 

  • Geneste cloudgroepen die lid zijn van groepen waarvoor write-back is ingeschakeld, moeten ook worden ingeschakeld om terugschrijven genest te blijven in Active Directory.

  • Een instelling voor het terugschrijven van groepen voor het beheren van het terugschrijven van nieuwe beveiligingsgroepen op schaal is nog niet beschikbaar. U moet write-back configureren voor elke groep. 

Volgende stappen