Modyfikowanie domyślnego zachowania zapisywania zwrotnego grup w usłudze Microsoft Entra Połączenie

Zapisywanie zwrotne grup to funkcja umożliwiająca zapisywanie grup w chmurze z powrotem do wystąpienia lokalna usługa Active Directory przy użyciu usługi Microsoft Entra Połączenie Sync. Domyślne zachowanie można zmienić na następujące sposoby:

• Tylko grupy skonfigurowane do zapisywania zwrotnego zostaną zapisane z powrotem, w tym nowo utworzone grupy platformy Microsoft 365.
• Grupy, które są zapisywane z powrotem, zostaną usunięte w usłudze Active Directory, gdy są wyłączone dla zapisywania zwrotnego grup, usuwania nietrwałego lub usuwania twardego w identyfikatorze Entra firmy Microsoft.
• Grupy platformy Microsoft 365 z maksymalnie 250 000 członkami mogą być zapisywane z powrotem do środowiska lokalnego.

W tym artykule przedstawiono opcje modyfikowania domyślnych zachowań programu Microsoft Entra Połączenie zapisywania zwrotnego grup.

Zagadnienia dotyczące istniejących wdrożeń

Jeśli oryginalna wersja zapisywania zwrotnego grup jest już włączona i używana w danym środowisku, wszystkie grupy platformy Microsoft 365 zostały już zapisane zwrotnie w usłudze Active Directory. Zamiast wyłączać wszystkie grupy platformy Microsoft 365, zapoznaj się z dowolnym użyciem wcześniej zapisanych zwrotnie grup. Wyłącz tylko te, które nie są już potrzebne w lokalna usługa Active Directory.

Wyłączanie automatycznego zapisywania zwrotnego nowych grup platformy Microsoft 365

Aby skonfigurować ustawienia katalogu w celu wyłączenia automatycznego zapisywania zwrotnego nowo utworzonych grup platformy Microsoft 365, użyj jednej z następujących metod:

• PowerShell: użyj zestawu MICROSOFT Graph Beta PowerShell SDK. Na przykład:

    # Import Module
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Directory.ReadWrite.All
  
  
    # Verify if "Group.Unified" directory settings exist
    $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
  
    # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
    if ($DirectorySetting) 
    {
      $params = @{
        Values = @(
          @{
            Name = "NewUnifiedGroupWritebackDefault"
            Value = $false
          }
        )
      }
      Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
    }
    else
    {
      # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
      # Import "Group.Unified" template values to a hashtable
      $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
      $TemplateValues = @{}
      $Template.Values | ForEach-Object {
          $TemplateValues.Add($_.Name, $_.DefaultValue)
      }
  
      # Update the value for new unified group writeback default
      $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
  
      # Create a directory setting using the Template values hashtable including the updated value
      $params = @{}
      $params.Add("TemplateId", $Template.Id)
      $params.Add("Values", @())
      $TemplateValues.Keys | ForEach-Object {
          $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
      }
      New-MgBetaDirectorySetting -BodyParameter $params
    }
  

Uwaga

Zalecamy używanie zestawu Microsoft Graph PowerShell SDK z programem PowerShell 7.

• Microsoft Graph: użyj kataloguUstawienia typu zasobu.

Wyłączanie zapisywania zwrotnego dla wszystkich istniejących grup platformy Microsoft 365

Aby wyłączyć zapisywanie zwrotne wszystkich grup platformy Microsoft 365 utworzonych przed tymi modyfikacjami, użyj jednej z następujących metod:

• Portal: użyj centrum administracyjnego firmy Microsoft Entra.

• PowerShell: użyj zestawu MICROSOFT Graph Beta PowerShell SDK. Na przykład:

    #Import-module
    Import-Module Microsoft.Graph.Beta
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Group.ReadWrite.All
  
    #List all Microsoft 365 Groups
    $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
  
    #Disable Microsoft 365 Groups
    Foreach ($group in $Groups) 
    {
      Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
    }
  

• Eksplorator programu Microsoft Graph: użyj obiektu grupy.

Usuwanie grup, gdy mają wyłączone funkcje zapisywania zwrotnego lub usuwania nietrwałego

Uwaga

Po usunięciu grup zapisu zwrotnego w usłudze Active Directory nie są one automatycznie przywracane z funkcji Kosza usługi Active Directory, jeśli są one włączone do zapisywania zwrotnego lub przywracane ze stanu usuwania nietrwałego. Zostaną utworzone nowe grupy. Usunięte grupy przywrócone z Kosza usługi Active Directory przed ponownym włączeniem zapisywania zwrotnego lub przywrócone ze stanu usuwania nietrwałego w usłudze Microsoft Entra ID zostaną dołączone do odpowiednich grup firmy Microsoft Entra.

1. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.

2. Wyłącz harmonogram synchronizacji usługi Microsoft Entra Połączenie:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Utwórz niestandardową regułę synchronizacji w usłudze Microsoft Entra Połączenie, aby usunąć grupy zapisywania zwrotnego, gdy są wyłączone na potrzeby zapisywania zwrotnego lub usuwania nietrwałego:

   import-module ADSync 
   $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
   
   New-ADSyncRule  `
   -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
   -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
   -Direction 'Inbound' `
   -Precedence $precedenceValue `
   -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
   -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
   -SourceObjectType 'group' `
   -TargetObjectType 'group' `
   -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
   -LinkType 'Join' `
   -SoftDeleteExpiryInterval 0 `
   -ImmutableTag '' `
   -OutVariable syncRule
   
   Add-ADSyncAttributeFlowMapping  `
   -SynchronizationRule $syncRule[0] `
   -Destination 'reasonFiltered' `
   -FlowType 'Expression' `
   -ValueMergeType 'Update' `
   -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
    -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
   -ArgumentList 'cloudMastered','true','EQUAL' `
   -OutVariable condition0
   
   Add-ADSyncScopeConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -ScopeConditions @($condition0[0]) `
   -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
   -ArgumentList 'cloudAnchor','cloudAnchor',$false `
   -OutVariable condition0
   
   Add-ADSyncJoinConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -JoinConditions @($condition0[0]) `
   -OutVariable syncRule
   
   Add-ADSyncRule  `
   -SynchronizationRule $syncRule[0]
   
   Get-ADSyncRule  `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
   

4. Włącz zapisywanie zwrotne grup.

5. Włącz harmonogram synchronizacji usługi Microsoft Entra Połączenie:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Uwaga

Utworzenie reguły synchronizacji spowoduje ustawienie flagi pełnej synchronizacji true na wartość w łączniku Microsoft Entra. Ta zmiana spowoduje, że zmiany reguły będą propagowane w następnym cyklu synchronizacji.

Zapisywanie zwrotne grup platformy Microsoft 365 z maksymalnie 250 000 członków

Ponieważ domyślna reguła synchronizacji, która ogranicza rozmiar grupy, jest tworzona po włączeniu zapisywania zwrotnego grup, należy wykonać następujące kroki po włączeniu zapisywania zwrotnego grup:

1. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.

2. Wyłącz harmonogram synchronizacji usługi Microsoft Entra Połączenie:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Otwórz edytor reguł synchronizacji.

4. Ustaw kierunek na Wychodzący.

5. Zlokalizuj i wyłącz regułę synchronizacji limitu elementów członkowskich zapisywania zwrotnego w usłudze AD i wyłącz je.

6. Włącz harmonogram synchronizacji usługi Microsoft Entra Połączenie:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Uwaga

Wyłączenie reguły synchronizacji spowoduje ustawienie flagi pełnej synchronizacji true na wartość w łączniku Microsoft Entra. Ta zmiana spowoduje, że zmiany reguły będą propagowane w następnym cyklu synchronizacji.

Przywracanie z Kosza usługi Active Directory

Jeśli aktualizujesz domyślne zachowanie w celu usunięcia grup, gdy są wyłączone na potrzeby zapisywania zwrotnego lub usuwania nietrwałego, zalecamy włączenie funkcji Kosza usługi Active Directory dla lokalnych wystąpień usługi Active Directory. Tej funkcji można użyć do ręcznego przywrócenia wcześniej usuniętych grup usługi Active Directory, aby można było ponownie połączyć je z odpowiednimi grupami firmy Microsoft Entra, jeśli zostały przypadkowo wyłączone na potrzeby zapisywania zwrotnego lub usuwania nietrwałego.

Przed ponownym włączeniem zapisywania zwrotnego lub przywracania z usuwania nietrwałego w identyfikatorze Entra firmy Microsoft należy najpierw przywrócić grupę w usłudze Active Directory.

Następne kroki

• Zapis zwrotny grup Microsoft Entra Connect.
• Włączanie zapisywania zwrotnego grup Połączenie firmy Microsoft
• Wyłączanie zapisywania zwrotnego grup Połączenie firmy Microsoft