Microsoft Entra Verbinding maken standaardgedrag voor terugschrijven van groepen wijzigen
Groeps terugschrijven is een functie waarmee u cloudgroepen kunt terugschrijven naar uw on-premises Active Directory-exemplaar met behulp van Microsoft Entra Verbinding maken Sync. U kunt het standaardgedrag op de volgende manieren wijzigen:
- Alleen groepen die zijn geconfigureerd voor write-back, worden teruggeschreven, inclusief nieuw gemaakte Microsoft 365-groepen.
- Groepen die worden teruggeschreven, worden verwijderd in Active Directory wanneer ze zijn uitgeschakeld voor terugschrijven van groepen, voorlopig verwijderd of hard verwijderd in Microsoft Entra-id.
- Microsoft 365-groepen met maximaal 250.000 leden kunnen worden teruggeschreven naar on-premises.
In dit artikel worden de opties beschreven voor het wijzigen van het standaardgedrag van Microsoft Entra Verbinding maken groeps terugschrijven.
Overwegingen voor bestaande implementaties
Als de oorspronkelijke versie van Write-back van groep al is ingeschakeld en in gebruik is in uw omgeving, zijn al uw Microsoft 365-groepen al teruggeschreven naar Active Directory. In plaats van alle Microsoft 365-groepen uit te schakelen, controleert u het gebruik van de eerder teruggeschreven groepen. Schakel alleen de resources uit die niet meer nodig zijn in on-premises Active Directory.
Automatische terugschrijven van nieuwe Microsoft 365-groepen uitschakelen
Als u directory-instellingen wilt configureren om automatische terugschrijven van nieuw gemaakte Microsoft 365-groepen uit te schakelen, gebruikt u een van de volgende methoden:
PowerShell: gebruik de Microsoft Graph Beta PowerShell SDK. Bijvoorbeeld:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
Notitie
U wordt aangeraden Microsoft Graph PowerShell SDK te gebruiken met PowerShell 7.
- Microsoft Graph: Gebruik het resourcetype directorySetting .
Terugschrijven uitschakelen voor alle bestaande Microsoft 365-groep
Als u terugschrijven wilt uitschakelen van alle Microsoft 365-groepen die vóór deze wijzigingen zijn gemaakt, gebruikt u een van de volgende methoden:
Portal: Gebruik het Microsoft Entra-beheercentrum.
PowerShell: gebruik de Microsoft Graph Beta PowerShell SDK. Bijvoorbeeld:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }Microsoft Graph Explorer: Een groepsobject gebruiken.
Groepen verwijderen wanneer ze zijn uitgeschakeld voor terugschrijven of voorlopig verwijderd
Notitie
Nadat u teruggeschreven groepen in Active Directory hebt verwijderd, worden ze niet automatisch hersteld vanuit de functie Prullenbak van Active Directory als ze zijn ingeschakeld voor terugschrijven of herstellen vanuit een status voor voorlopig verwijderen. Er worden nieuwe groepen gemaakt. Verwijderde groepen die zijn hersteld uit de Prullenbak van Active Directory voordat ze opnieuw worden ingeschakeld voor terugschrijven of die worden hersteld vanuit een status voor voorlopig verwijderen in Microsoft Entra-id, worden toegevoegd aan hun respectieve Microsoft Entra-groepen.
Open op uw Microsoft Entra Verbinding maken-server een PowerShell-prompt als beheerder.
Schakel de Microsoft Entra Verbinding maken Sync Scheduler uit:
Set-ADSyncScheduler -SyncCycleEnabled $falseMaak een aangepaste synchronisatieregel in Microsoft Entra Verbinding maken om teruggeschreven groepen te verwijderen wanneer ze zijn uitgeschakeld voor terugschrijven of voorlopig verwijderd:
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'Schakel terugschrijven van groepen in.
Schakel de Microsoft Entra Verbinding maken Sync Scheduler in:
Set-ADSyncScheduler -SyncCycleEnabled $true
Notitie
Als u de synchronisatieregel maakt, wordt de vlag voor volledige synchronisatie true ingesteld op de Microsoft Entra-connector. Deze wijziging zorgt ervoor dat de regelwijzigingen tijdens de volgende synchronisatiecyclus worden doorgevoerd.
Microsoft 365-groepen met maximaal 250.000 leden terugschrijven
Omdat de standaardsynchronisatieregel die de groepsgrootte beperkt, wordt gemaakt wanneer groeps terugschrijven is ingeschakeld, moet u de volgende stappen uitvoeren nadat u groeps terugschrijven hebt ingeschakeld:
Open op uw Microsoft Entra Verbinding maken-server een PowerShell-prompt als beheerder.
Schakel de Microsoft Entra Verbinding maken Sync Scheduler uit:
Set-ADSyncScheduler -SyncCycleEnabled $falseOpen de editor voor synchronisatieregels.
Stel de richting in op Uitgaand.
Zoek en schakel de regel Out to AD – Group Writeback Member Limit synchronization rule.
Schakel de Microsoft Entra Verbinding maken Sync Scheduler in:
Set-ADSyncScheduler -SyncCycleEnabled $true
Notitie
Als u de synchronisatieregel uitschakelt, wordt de vlag voor volledige synchronisatie true ingesteld op de Microsoft Entra-connector. Deze wijziging zorgt ervoor dat de regelwijzigingen tijdens de volgende synchronisatiecyclus worden doorgevoerd.
Terugzetten vanuit de Prullenbak van Active Directory
Als u het standaardgedrag bijwerkt om groepen te verwijderen wanneer ze zijn uitgeschakeld voor terugschrijven of voorlopig verwijderd, raden we u aan om de functie Prullenbak van Active Directory in te schakelen voor uw on-premises exemplaren van Active Directory. U kunt deze functie gebruiken om eerder verwijderde Active Directory-groepen handmatig te herstellen, zodat ze opnieuw kunnen worden toegevoegd aan hun respectieve Microsoft Entra-groepen, als ze per ongeluk zijn uitgeschakeld voor terugschrijven of voorlopig verwijderd.
Voordat u terugschrijven of terugzetten vanuit voorlopig verwijderen opnieuw inschakelt in Microsoft Entra ID, moet u eerst de groep herstellen in Active Directory.