Modificar o comportamento padrão de write-back de grupos do Microsoft Entra Connect
O write-back de grupo é um recurso que permite gravar grupos na nuvem de volta para a instância do Active Directory local, utilizando o Microsoft Entra Connect Sync. Você pode alterar o comportamento padrão das seguintes maneiras:
- Somente grupos configurados para write-back serão gravados, incluindo grupos do Microsoft 365 recém-criados.
- Os grupos que forem gravados de volta serão excluídos no Active Directory quando forem desabilitados no write-back de grupo, excluídos temporariamente ou excluídos temporariamente no Microsoft Entra ID.
- Os grupos do Microsoft 365 com até 250.000 membros podem ser gravados no local.
Este artigo orientará você sobre as opções para modificar os comportamentos padrão do write-back de grupo do Microsoft Entra Connect.
Considerações para implantações existentes
Se a versão original do write-back de grupo já estiver habilitada e em uso em seu ambiente, todos os seus grupos do Microsoft 365 já foram gravados no Active Directory. Em vez de desabilitar todos os grupos do Microsoft 365, examine qualquer uso dos grupos escritos anteriormente. Desabilite somente aqueles que não são mais necessários no Active Directory local.
Desabilitar o write-back automático dos novos grupos do Microsoft 365
Para definir as configurações de diretório para desabilitar o write-back automático de grupos do Microsoft 365 recém-criados, use um destes métodos:
PowerShell: use o SDK do PowerShell do Microsoft Graph Beta. Por exemplo:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
Observação
Recomendamos utilizar o SDK do Microsoft Graph PowerShell com o PowerShell 7.
- Microsoft Graph: use o tipo de recurso directorySetting.
Desabilite o write-back de todos os grupos existentes do Microsoft 365
Para desabilitar o writeback de todos os grupos do Microsoft 365 criados antes dessas modificações, use um dos seguintes métodos:
Portal: use o centro de administração do Microsoft Entra.
PowerShell: use o SDK do PowerShell do Microsoft Graph Beta. Por exemplo:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }
Microsoft Graph Explorer: use um objeto de grupo.
Excluir grupos quando estiverem desativados para write-back ou exclusão reversível
Observação
Depois de excluir grupos de write-back no Active Directory, eles não serão restaurados automaticamente do recurso lixeira do Active Directory se estiverem habilitados novamente para write-back ou restaurados de um estado de exclusão reversível. Novos grupos serão criados. Os grupos excluídos que forem restaurados da Lixeira do Active Directory antes de serem habilitados novamente para write-back, ou que forem restaurados de um estado de exclusão temporária no Microsoft Entra ID, serão ingressados em seus respectivos grupos do Microsoft Entra.
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Desabilitar o agendador Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $false
Crie uma regra de sincronização personalizada no Microsoft Entra Connect para excluir grupos de write-back quando eles forem desabilitados para write-back ou excluídos temporariamente:
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
Habilite o agendamento do Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $true
Observação
Criar a regra de sincronização definirá o sinalizador de sincronização total como true
no conector do Microsoft Entra. Essa alteração fará com que as alterações de regra sejam propagadas no próximo ciclo de sincronização.
Grupos de write-back do Microsoft 365 com até 250.000 membros
Como a regra de sincronização padrão, que limita o tamanho do grupo, é criada quando o write-back do grupo é habilitado, você deve concluir as etapas a seguir depois de habilitar o write-back do grupo:
No servidor d seu Microsoft Entra Connect, abra um prompt do PowerShell como administrador.
Desabilitar o agendador Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $false
Defina a direção da Saída.
Localize e desative a regra de sincronização Out to AD – Group Writeback Member Limit.
Habilite o agendamento do Microsoft Entra Connect Sync:
Set-ADSyncScheduler -SyncCycleEnabled $true
Observação
Desabilitar a regra de sincronização definirá o sinalizador de sincronização total como true
no conector do Microsoft Entra. Essa alteração fará com que as alterações de regra sejam propagadas no próximo ciclo de sincronização.
Restaurar da Lixeira do Active Directory
Se você estiver atualizando o comportamento padrão para excluir grupos quando eles estiverem desabilitados para write-back ou exclusão reversível, recomendamos que você habilite o recurso Lixeira do Active Directory para suas instâncias locais do Active Directory. Você pode utilizar esse recurso para restaurar manualmente grupos do Active Directory previamente excluídos, de modo que possam ser reunidos novamente aos seus respectivos grupos do Microsoft Entra, se tiverem sido desabilitados acidentalmente por write-back ou excluídos temporariamente.
Antes de habilitá-lo novamente para write-back ou restauração a partir da exclusão temporária no Microsoft Entra ID, você precisa primeiro restaurar o grupo no Active Directory.