Włączanie zapisywania zwrotnego grup Połączenie firmy Microsoft

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.

W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.

Zapisywanie zwrotne grup to funkcja umożliwiająca zapisywanie grup w chmurze z powrotem do wystąpienia lokalna usługa Active Directory przy użyciu usługi Microsoft Entra Połączenie Sync.

Ten artykuł przeprowadzi Cię przez proces włączania zapisywania zwrotnego grup.

Kroki wdrażania

Zapisywanie zwrotne grup wymaga włączenia zarówno oryginalnych, jak i nowych wersji funkcji. Jeśli oryginalna wersja została wcześniej włączona w danym środowisku, musisz użyć tylko pierwszego zestawu poniższych kroków, ponieważ drugi zestaw kroków został już ukończony.

Uwaga

Zalecamy stosowanie metody migracji swing w celu wdrażania nowej funkcji zapisywania zwrotnego grup w danym środowisku. Ta metoda zapewni jasny plan awaryjny, jeśli konieczne jest poważne wycofanie.

Rozszerzona funkcja zapisywania zwrotnego grup jest włączona w dzierżawie, a nie na wystąpienie klienta firmy Microsoft Entra Połączenie. Upewnij się, że wszystkie wystąpienia klienta usługi Microsoft Entra Połączenie zostały zaktualizowane do minimalnej wersji kompilacji 1.6.4.0 lub nowszej.

Uwaga

Jeśli nie chcesz zapisywać zwrotne wszystkich istniejących grup platformy Microsoft 365 w usłudze Active Directory, przed wykonaniem kroków opisanych w tym artykule należy wprowadzić zmiany w domyślnym zachowaniu zapisywania zwrotnego grup. Zobacz Modyfikowanie domyślnego zachowania zapisywania zwrotnego grup firmy Microsoft Połączenie. Ponadto nowe i oryginalne wersje funkcji należy włączyć w kolejności udokumentowanej. Jeśli oryginalna funkcja jest włączona, wszystkie istniejące grupy platformy Microsoft 365 zostaną zapisane z powrotem w usłudze Active Directory.

Włączanie zapisywania zwrotnego grup przy użyciu programu PowerShell

1. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.

2. Wyłącz harmonogram synchronizacji po sprawdzeniu, czy nie są uruchomione żadne operacje synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Zaimportuj moduł ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Włącz funkcję zapisywania zwrotnego grup dla dzierżawy:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Ponownie włącz harmonogram synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Uruchom cykl pełnej synchronizacji, jeśli funkcja zapisywania zwrotnego grup została wcześniej skonfigurowana i nie zostanie skonfigurowana w kreatorze microsoft Entra Połączenie:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Włączanie zapisywania zwrotnego grup przy użyciu kreatora microsoft Entra Połączenie

Jeśli oryginalna wersja zapisywania zwrotnego grup nie została wcześniej włączona, wykonaj następujące czynności:

1. Na serwerze Microsoft Entra Połączenie otwórz kreatora Microsoft Entra Połączenie.
2. Wybierz pozycję Konfiguruj, a następnie wybierz przycisk Dalej.
3. Wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz przycisk Dalej.
4. Na stronie Połączenie do identyfikatora entra firmy Microsoft wprowadź swoje poświadczenia. Wybierz Dalej.
5. Na stronie Funkcje opcjonalne sprawdź, czy opcje, które zostały wcześniej skonfigurowane, są nadal zaznaczone.
6. Wybierz pozycję Zapisywanie zwrotne grup, a następnie wybierz pozycję Dalej.
7. Na stronie Zapisywanie zwrotne wybierz jednostkę organizacyjną usługi Active Directory (OU), aby przechowywać obiekty synchronizowane z platformy Microsoft 365 do organizacji lokalnej. Wybierz Dalej.
8. Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
9. Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.

Po zakończeniu tej procedury zapisywanie zwrotne grup jest konfigurowane automatycznie. Jeśli wystąpią problemy z uprawnieniami podczas eksportowania obiektu do usługi Active Directory, otwórz program Windows PowerShell jako administrator na serwerze Microsoft Entra Połączenie. Następnie uruchom następujące polecenia. To krok jest opcjonalny.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Opcjonalna konfiguracja

Aby ułatwić znajdowanie grup zapisywanych z powrotem z identyfikatora Entra firmy Microsoft w usłudze Active Directory, istnieje możliwość zapisania nazwy wyróżniającej grupy przy użyciu nazwy wyświetlanej w chmurze:

• Format domyślny: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nowy format: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Podczas konfigurowania zapisywania zwrotnego grup w dolnej części okna konfiguracji zostanie wyświetlone pole wyboru. Wybierz ją, aby włączyć tę funkcję.

Uwaga

Grupy zapisywane z powrotem z identyfikatora Entra firmy Microsoft do usługi Active Directory będą miały źródło uprawnień w chmurze. Wszelkie zmiany wprowadzone lokalnie w grupach, które są zapisywane z powrotem z identyfikatora Entra firmy Microsoft, zostaną zastąpione w następnym cyklu synchronizacji.

Następne kroki

• Zapis zwrotny grup Microsoft Entra Connect.
• Modyfikowanie domyślnego zachowania zapisywania zwrotnego grup w usłudze Microsoft Entra Połączenie
• Wyłączanie zapisywania zwrotnego grup Połączenie firmy Microsoft