Share via


Microsoft Entra Connect Sync-groep writeback V2 migreren naar Microsoft Entra Cloud Sync

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Connect Sync is na 30 juni 2024 niet meer beschikbaar. Deze functie wordt op deze datum stopgezet en u wordt niet meer ondersteund in Connect Sync om cloudbeveiligingsgroepen in te richten op Active Directory. De functie blijft actief na de beëindigingsdatum; het zal echter na deze datum geen ondersteuning meer ontvangen en kan op elk moment zonder kennisgeving niet meer functioneren.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision to Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Cloud Sync.

Klanten die deze preview-functie in Connect Sync gebruiken, moeten hun configuratie wijzigen van Connect Sync naar Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt cloudsynchronisatie ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u groep terugschrijven v1 blijven gebruiken voor deze mogelijkheid.

U kunt het verplaatsen naar Cloud Sync evalueren met behulp van de wizard gebruikerssynchronisatie.

In het volgende document wordt beschreven hoe u terugschrijven van groepen migreert met Behulp van Microsoft Entra Connect Sync (voorheen Azure AD Connect) naar Microsoft Entra Cloud Sync. Dit scenario is alleen bedoeld voor klanten die momenteel microsoft Entra Connect-groeps terugschrijven v2 gebruiken. Het proces dat in dit document wordt beschreven, heeft alleen betrekking op beveiligingsgroepen die in de cloud zijn gemaakt en die met een universeel bereik worden teruggeschreven.

Belangrijk

Dit scenario is alleen bedoeld voor klanten die momenteel microsoft Entra Connect-groeps terugschrijven v2 gebruiken

Dit scenario wordt ook alleen ondersteund voor:

  • beveiligingsgroepen die in de cloud zijn gemaakt
  • deze groepen worden teruggeschreven met het bereik van ad-groepen van universeel.

Groepen met e-mail en DLs die zijn teruggeschreven met microsoft Entra Connect-groeps terugschrijven V1 of V2, zijn niet van toepassing op dit scenario en worden niet beïnvloed door deze migratie. Zie de veelgestelde vragen over inrichting voor Active Directory met Microsoft Entra Cloud Sync voor meer informatie.

Vereisten

De volgende vereisten zijn vereist om dit scenario te implementeren.

  • Microsoft Entra-account met ten minste de rol Hybride identiteitsbeheerder .
  • Een on-premises AD-account met ten minste domeinbeheerdersmachtigingen: vereist voor toegang tot het kenmerk adminDescription en kopieer het naar het kenmerk msDS-ExternalDirectoryObjectId
  • On-premises Active Directory-domein Services-omgeving met windows Server 2016-besturingssysteem of hoger.
    • Vereist voor ad-schemakenmerk - msDS-ExternalDirectoryObjectId
  • Inrichtingsagent met buildversie 1.1.1367.0 of hoger.
  • De inrichtingsagent moet kunnen communiceren met de domeincontrollers op poorten TCP/389 (LDAP) en TCP/3268 (Global Catalog).
    • Vereist voor het opzoeken van globale catalogus om ongeldige lidmaatschapsverwijzingen te filteren

Naamconventie voor groepen die zijn teruggeschreven

Microsoft Entra Connect Sync gebruikt standaard de volgende indeling bij het benoemen van groepen die worden teruggeschreven.

  • Standaardindeling: CN=Group_<guid,OU>=<container,DC>=<domeinonderdeel,DC=<domeinonderdeel>>

  • Voorbeeld: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Microsoft Entra Connect Sync heeft een optie toegevoegd om de groepsnaam terug te schrijven met behulp van de weergavenaam van de cloud, zodat u gemakkelijker groepen kunt vinden die worden teruggeschreven van Microsoft Entra ID naar Active Directory. Dit wordt gedaan door de DN-naam van de writeback-groep te selecteren met de weergavenaam van de cloud tijdens de eerste installatie van terugschrijven van groepen v2. Als deze functie is ingeschakeld, gebruikt Microsoft Entra Connect de volgende nieuwe indeling in plaats van de standaardindeling:

  • Nieuwe indeling: CN=<display name>_<last 12 digits of object ID,OU>=<container,DC>=<domain component,DC=<domain component>>

  • Voorbeeld: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Belangrijk

Microsoft Entra-cloudsynchronisatie maakt standaard gebruik van de nieuwe indeling, zelfs als de functie Distinguished Name van writeback-groep met weergavenaam in de cloud niet is ingeschakeld in Microsoft Entra Connect Sync. Als u de standaardnaamgeving voor Microsoft Entra Connect Sync gebruikt en vervolgens de groep migreert zodat deze wordt beheerd door Microsoft Entra-cloudsynchronisatie, wordt de naam van de groep gewijzigd in de nieuwe indeling. Gebruik de volgende sectie om Microsoft Entra-cloudsynchronisatie toe te staan om de standaardindeling van Microsoft Entra Connect te gebruiken.

De standaardindeling gebruiken

Als u wilt dat cloudsynchronisatie dezelfde standaardindeling gebruikt als Microsoft Entra Connect Sync, moet u de kenmerkstroomexpressie voor het CN-kenmerk wijzigen. De twee mogelijke toewijzingen zijn:

Expression Syntaxis Beschrijving
Standaardexpressie voor cloudsynchronisatie met Behulp van DisplayName Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) De standaardexpressie die wordt gebruikt door Microsoft Entra-cloudsynchronisatie (de nieuwe indeling)
Nieuwe expressie in de cloud synchroniseren zonder DisplayName te gebruiken Append("Group_", [objectId]) De nieuwe expressie voor het gebruik van de standaardindeling van Microsoft Entra Connect Sync.

Zie Een kenmerktoewijzing toevoegen - Microsoft Entra-id aan Active Directory voor meer informatie

Stap 1: AdminDescription kopiëren naar msDS-ExternalDirectoryObjectID

Als u verwijzingen naar groepslidmaatschappen wilt valideren, moet Microsoft Entra Cloud Sync een query uitvoeren op het kenmerk Active Directory Global Catalog voor msDS-ExternalDirectoryObjectID. Dit is een geïndexeerd kenmerk dat wordt gerepliceerd in alle globale catalogi binnen het Active Directory-forest.

  1. Open ADSI Edit in uw on-premises omgeving.

  2. Kopieer de waarde in het kenmerk adminDescription van de groep

    Schermopname van het kenmerk adminDescription.

  3. Plakken in het kenmerk msDS-ExternalDirectoryObjectID

    Schermopname van het kenmerk msDS-ExternalDirectoryObjectID.

Het volgende PowerShell-script kan worden gebruikt om deze stap te automatiseren. Met dit script worden alle groepen in de OE=Groepen,DC=Contoso,DC=com-container gebruikt en wordt de waarde van het adminDescription-kenmerk gekopieerd naar de kenmerkwaarde msDS-ExternalDirectoryObjectID. Voordat u dit script gebruikt, werkt u de variabele $gwbOU bij met de DistinguishedName van de doel-organisatie-eenheid (OE) van uw groep terugschrijven.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
Import-module ActiveDirectory
$properties = @('Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Stap 2: plaats de Microsoft Entra Connect Sync-server in de faseringsmodus en schakel de synchronisatieplanner uit

  1. De wizard Microsoft Entra Connect Sync starten

  2. Klik op Configureren

  3. Selecteer Faseringsmodus configureren en klik op Volgende

  4. Microsoft Entra-referenties invoeren

  5. Schakel het selectievakje Faseringsmodus inschakelen in en klik op Volgende

    Schermopname van het inschakelen van de faseringsmodus.

  6. Klik op Configureren

  7. Klik op Afsluiten

    Schermopname van geslaagde faseringsmodus.

  8. Open op uw Microsoft Entra Connect-server een PowerShell-prompt als beheerder.

  9. Schakel de synchronisatieplanner uit:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    

Stap 3: een aangepaste regel voor binnenkomende groepen maken

In de Microsoft Entra Connect-synchronisatieregels-editor moet u een regel voor binnenkomende synchronisatie maken waarmee groepen met NULL worden gefilterd voor het e-mailkenmerk. De regel voor binnenkomende synchronisatie is een joinregel met een doelkenmerk van cloudNoFlow. Deze regel vertelt Microsoft Entra Connect dat kenmerken voor deze groepen niet worden gesynchroniseerd.

  1. Start de Editor voor synchronisatieregels in het menu Start.

  2. Selecteer Inkomend in de vervolgkeuzelijst voor Richting en selecteer Nieuwe regel toevoegen.

  3. Voer op de pagina Beschrijving het volgende in en selecteer Volgende:

    • Naam: Geef de regel een betekenisvolle naam

    • Beschrijving: Een zinvolle beschrijving toevoegen

    • Verbonden systeem: kies de Microsoft Entra-connector waarvoor u de aangepaste synchronisatieregel schrijft

    • Type verbonden systeemobject: groep

    • Objecttype metaverse: groep

    • Koppelingstype: Deelnemen

    • Prioriteit: Geef een waarde op die uniek is in het systeem. Lager dan 100 wordt aanbevolen, zodat deze voorrang heeft op de standaardregels.

    • Tag: Leeg laten

      Schermopname van de regel voor binnenkomende synchronisatie.

  4. Voeg op de filterpagina Bereik het volgende toe en selecteer vervolgens Volgende.

    Kenmerk Operator Weergegeven als
    cloudMastered GELIJK true
    e-mail ISNULL

    Schermopname van het bereikfilter.

  5. Selecteer Volgende op de pagina Join-regels.

  6. Voeg op de pagina Transformaties een constante transformatie toe: gebruik True voor het kenmerk cloudNoFlow. Selecteer Toevoegen.

    Schermopname van transformatie.

Stap 4: een uitgaande regel voor een aangepaste groep maken

U hebt ook een uitgaande synchronisatieregel nodig met een koppelingstype JoinNoFlow en het bereikfilter waarvoor het cloudNoFlow-kenmerk is ingesteld op Waar. Deze regel vertelt Microsoft Entra Connect dat kenmerken voor deze groepen niet worden gesynchroniseerd.

  1. Selecteer Uitgaand in de vervolgkeuzelijst voor Richting en selecteer Regel toevoegen.

  2. Voer op de pagina Beschrijving het volgende in en selecteer Volgende:

    • Naam: Geef de regel een betekenisvolle naam
    • Beschrijving: Een zinvolle beschrijving toevoegen
    • Verbonden systeem: kies de AD-connector waarvoor u de aangepaste synchronisatieregel schrijft
    • Type verbonden systeemobject: groep
    • Objecttype metaverse: groep
    • Koppelingstype: JoinNoFlow
    • Prioriteit: Geef een waarde op die uniek is in het systeem. Lager dan 100 wordt aanbevolen, zodat deze voorrang heeft op de standaardregels.
    • Tag: Leeg laten

    Schermopname van de regel voor uitgaande synchronisatie.

  3. Kies op de pagina Bereikfilter de optie cloudNoFlow is gelijk aan True. Selecteer Volgende.

    Schermopname van het bereikfilter voor uitgaand verkeer.

  4. Selecteer Volgende op de pagina Join-regels.

  5. Selecteer Toevoegen op de pagina Transformaties.

Stap 5: PowerShell gebruiken om de configuratie te voltooien

  1. Open op uw Microsoft Entra Connect-server een PowerShell-prompt als beheerder.

  2. Importeer de ADSync-module:

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
    
  3. Een volledige synchronisatiecyclus uitvoeren:

    Start-ADSyncSyncCycle -PolicyType Initial
    
  4. Schakel de functie voor het terugschrijven van groepen uit voor de tenant:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
    
  5. Een volledige synchronisatiecyclus uitvoeren (ja nogmaals):

    Start-ADSyncSyncCycle -PolicyType Initial
    
  6. Schakel de synchronisatieplanner opnieuw in:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

    Schermopname van PowerShell-uitvoering.

Stap 6: De Microsoft Entra Connect Sync-server verwijderen uit de faseringsmodus

  1. De wizard Microsoft Entra Connect Sync starten
  2. Klik op Configureren
  3. Selecteer Faseringsmodus configureren en klik op Volgende
  4. Microsoft Entra-referenties invoeren
  5. Verwijder het selectievakje uit het vak Faseringsmodus inschakelen en klik op Volgende
  6. Klik op Configureren
  7. Klik op Afsluiten

Stap 7: Microsoft Entra Cloud Sync configureren

Nu de groepen zijn verwijderd uit het synchronisatiebereik van Microsoft Entra Connect Sync, kunt u Microsoft Entra Cloud Sync instellen en configureren om de synchronisatie van de beveiligingsgroepen over te nemen. Zie Groepen inrichten voor Active Directory met behulp van Microsoft Entra Cloud Sync.

Volgende stappen