Share via

Перенос обратной записи группы синхронизации Microsoft Entra Подключение версии 2 в Microsoft Entra Cloud Sync

  • Статья

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Подключение Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена на эту дату, и вы больше не будете поддерживаться в Подключение Синхронизации для подготовки групп безопасности облака в Active Directory.

Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию в Подключение Синхронизации, должны переключить конфигурацию с Подключение Sync на облачную синхронизацию. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.

Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.

В следующем документе описывается перенос обратной записи групп с помощью Microsoft Entra Подключение Sync (прежнее название — Azure AD Подключение) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые в настоящее время используют Microsoft Entra Подключение обратной записи группы версии 2. Процесс, описанный в этом документе, относится только к созданным в облаке группам безопасности, которые записываются с помощью универсальной область. Группы с поддержкой почты и списки DLs, написанные обратно с помощью Microsoft Entra Подключение обратной записи группы версии 1 или версии 2, не поддерживаются.

Внимание

Этот сценарий предназначен только для клиентов, которые в настоящее время используют Microsoft Entra Подключение обратной записи группы версии 2

Кроме того, этот сценарий поддерживается только для следующих вариантов:

  • Облачные созданные группы безопасности
  • эти группы записываются обратно с помощью групп AD, область универсальных.

Группы с поддержкой почты и списки DLs, написанные обратно с помощью Microsoft Entra Подключение обратной записи группы версии 1 или версии 2, не поддерживаются.

Дополнительные сведения см. в статье "Подготовка в Active Directory" с помощью Microsoft Entra Cloud Sync: вопросы и ответы.

Необходимые компоненты

Для реализации этого сценария необходимы следующие предварительные требования.

  • Учетная запись Microsoft Entra с ролью гибридного Администратор istrator.
  • Локальная учетная запись AD с разрешениями администратора домена, необходимая для доступа к атрибуту adminDescription и копирования его в атрибут msDS-ExternalDirectoryObjectId
  • Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.
    • Требуется для атрибута схемы AD — msDS-ExternalDirectoryObjectId
  • Агент подготовки с версией сборки 1.1.1367.0 или более поздней.
  • Агент подготовки должен иметь возможность взаимодействовать с контроллерами домена в портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).
    • Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство

Шаг 1. Копирование adminDescription в msDS-ExternalDirectoryObjectID

  1. В локальной среде откройте ADSI Edit.

  2. Скопируйте значение в атрибуте adminDescription группы.

    Снимок экрана: атрибут adminDescription.

  3. Вставка в атрибут msDS-ExternalDirectoryObjectID

    Снимок экрана: атрибут msDS-ExternalDirectoryObjectID.

Шаг 2. Поместите сервер синхронизации Microsoft Entra Подключение в промежуточном режиме и отключите планировщик синхронизации

  1. Запуск мастера синхронизации Подключение Microsoft Entra

  2. Щелкните Настроить.

  3. Выберите " Настроить промежуточный режим " и нажмите кнопку "Далее"

  4. Введите учетные данные Microsoft Entra

  5. Поместите проверка в поле "Включить промежуточный режим" и нажмите кнопку "Далее"

    Снимок экрана: включение промежуточного режима.

  6. Щелкните Настроить.

  7. Нажмите кнопку " Выйти"

    Снимок экрана: успешное выполнение промежуточного режима.

  8. На сервере Microsoft Entra Подключение откройте запрос PowerShell от имени администратора.

  9. Отключите планировщик синхронизации:

    Set-ADSyncScheduler -SyncCycleEnabled $false

Шаг 3. Создание настраиваемого правила входящего трафика группы

В редакторе правил синхронизации Microsoft Entra Подключение необходимо создать правило входящего синхронизации, которое фильтрует группы с значением NULL для атрибута почты. Правило входящего синхронизации — это правило соединения с целевым атрибутом cloudNoFlow. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих групп.

  1. Запустите редактор синхронизации из меню приложений на рабочем столе, как показано ниже:

  2. Выберите входящий трафик из раскрывающегося списка для направления и выберите "Добавить новое правило".

  3. На странице "Описание" введите следующее и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя

    • Описание. Добавление понятного описания

    • Подключение система: Выберите соединитель Microsoft Entra, который вы пишете настраиваемое правило синхронизации для

    • Подключение тип системного объекта: Группы

    • Тип объекта Метавселенной: группа

    • Тип ссылки: присоединение

    • Приоритет: укажите значение, уникальное в системе

    • Тег: оставьте пустым

      Снимок экрана: правило входящего синхронизации.

  4. На странице фильтра области добавьте следующее и нажмите кнопку "Далее".

    Атрибут Оператор Значение
    cloudMastered EQUAL true
    mail ISNULL

    Снимок экрана: фильтр области.

  5. На странице правил присоединения нажмите кнопку "Далее".

  6. На странице Преобразования добавьте преобразование константы, чтобы значение True передавалось в атрибут cloudNoFlow. Выберите Добавить.

    Снимок экрана: преобразование.

Шаг 4. Создание настраиваемого правила исходящего трафика группы

Кроме того, вам потребуется правило для исходящей синхронизации с типом ссылки JoinNoFlow и фильтром области с атрибутом cloudNoFlow, заданным значением True. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих групп.

  1. Выберите исходящий трафик из раскрывающегося списка для направления и нажмите кнопку "Добавить правило".

  2. На странице "Описание" введите следующее и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя
    • Описание. Добавление понятного описания
    • Подключение система: Выберите соединитель AD, для который вы пишете настраиваемое правило синхронизации.
    • Подключение тип системного объекта: Группы
    • Тип объекта Метавселенной: группа
    • Тип ссылки: JoinNoFlow
    • Приоритет: укажите значение, уникальное в системе
    • Тег: оставьте пустым

    Снимок экрана: правило исходящей синхронизации.

  3. На странице Фильтр области выберите "cloudNoFlow равно true". Затем выберите Далее.

    Снимок экрана: фильтр области исходящего трафика.

  4. На странице правил присоединения нажмите кнопку "Далее".

  5. На странице "Преобразования" нажмите кнопку "Добавить".

Шаг 5. Использование PowerShell для завершения настройки

  1. На сервере Microsoft Entra Подключение откройте запрос PowerShell от имени администратора.

  2. Импортируйте модуль ADSync.

    Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'

  3. Выполните полный цикл синхронизации:

    Start-ADSyncSyncCycle -PolicyType Initial

  4. Отключите функцию обратной записи групп для клиента.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

  5. Запустите полный цикл синхронизации (да еще раз):

    Start-ADSyncSyncCycle -PolicyType Initial

  6. Повторно включите планировщик синхронизации:

    Set-ADSyncScheduler -SyncCycleEnabled $true

    Снимок экрана: выполнение PowerShell.

Шаг 6. Удаление сервера синхронизации Microsoft Entra Подключение из промежуточного режима

  1. Запуск мастера синхронизации Подключение Microsoft Entra
  2. Щелкните Настроить.
  3. Выберите " Настроить промежуточный режим " и нажмите кнопку "Далее"
  4. Введите учетные данные Microsoft Entra
  5. Удалите проверка из поля "Включить промежуточный режим" и нажмите кнопку "Далее"
  6. Щелкните Настроить.
  7. Нажмите кнопку " Выйти"

Шаг 7. Настройка Microsoft Entra Cloud Sync

Теперь, когда вы успешно удалили группы из область Microsoft Entra Подключение Sync, вы можете настроить и настроить Microsoft Entra Cloud Sync для выполнения синхронизации. См . статью "Подготовка групп в Active Directory" с помощью Microsoft Entra Cloud Sync.

Next Steps