Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Connect Sync больше не доступна по состоянию на 30 июня 2024 г.. Эта функция была прекращена с указанной даты, и Microsoft Entra Connect Sync больше не поддерживает настройку групп безопасности в облаке для Active Directory. Функция продолжает работать за пределами даты прекращения работы; однако она больше не получает поддержку и может прекратить работу в любое время без уведомления.
В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо Group Writeback версии 2 для создания облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Microsoft Entra Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Microsoft Entra Cloud Sync.
Клиенты, использующие эту предварительную функцию в Microsoft Entra Connect Sync, должны переключить конфигурацию с Microsoft Entra Connect Sync на Microsoft Entra Cloud Sync. Вы можете перевести всю вашу гибридную синхронизацию на Microsoft Entra Cloud Sync, если это соответствует вашим потребностям. Вы также можете использовать Microsoft Entra Cloud Sync параллельно и перемещать задачи развертывания только облачных групп безопасности в Active Directory в Microsoft Entra Cloud Sync.
Для клиентов, которые создают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию Group Writeback версии 1 для этой возможности.
Вы можете оценить возможность перехода исключительно на Microsoft Entra Cloud Sync, используя мастер синхронизации пользователей .
Обратная запись групп — это функция, которую можно использовать для записи облачных групп в локальный экземпляр Active Directory с помощью Microsoft Entra Connect Sync. Функция обратной записи группы версии 2 с помощью Microsoft Entra Connect устарела. Обратная запись групп версии 1 с помощью Microsoft Entra Connect по-прежнему работает, и его следует использовать, если вы синхронизируете группы Microsoft 365. Эта версия обратной записи группы заменяется на подготовку группы Microsoft Entra Cloud Sync в Active Directory. Функциональные возможности версии 1 продолжают работать до тех пор, пока Microsoft Entra Cloud Sync не поддерживает синхронизацию групп Microsoft 365.
В этой статье содержатся сведения и приведены инструкции по включению обратной записи группы V1.
Внимание
В этой статье описывается, как включить функцию обратной записи группы версии 1 с помощью Microsoft Entra Connect Sync. Его следует использовать только клиентам, которые подготавливают группы Microsoft 365 в Active Directory.
Предварительные требования и сведения
Чтобы включить обратную запись групп, необходимо:
- Лицензии Microsoft Entra Premium для вашего клиента.
- Убедитесь, что гибридное развертывание, настроенное между вашей локальной организацией Exchange и Microsoft 365, работает правильно.
- Поддерживаемая версия Exchange, установленная локально.
- Единый вход, настроенный с помощью Microsoft Entra Connect.
При использовании функции обратной записи группы версии 1 с Microsoft Entra Connect Sync следует учитывать следующие сведения.
- Группы Microsoft 365 с 250 000 участниками могут быть записаны обратно в локальную среду.
- Если вы не хотите записывать все существующие группы Microsoft 365 в Active Directory, внесите изменения в поведение обратной записи групп перед выполнением действий, описанных в этой статье, чтобы включить эту функцию. Дополнительные сведения см. в разделе "Изменение групп Microsoft 365".
Включить обратную запись групп
Чтобы включить обратную запись группы, выполните следующие действия.
Откройте мастер Microsoft Entra Connect , нажмите кнопку "Настроить", а затем нажмите кнопку "Далее".
Выберите "Настройка параметров синхронизации " и нажмите кнопку "Далее".
На странице "Подключение к Azure AD" введите свои учетные данные. Нажмите кнопку Далее.
На странице Дополнительные возможности убедитесь, что настроенные ранее параметры по-прежнему выбраны.
Нажмите кнопку "Обратная запись группы " и нажмите кнопку "Далее".
На странице групповой обратной записи выберите организационную единицу Active Directory для хранения объектов, синхронизированных из Microsoft 365 в вашу локальную инфраструктуру. Затем выберите Далее.
Чтобы упростить поиск групп, записываемых обратно из Microsoft Entra ID в Active Directory, выберите параметр Различающееся имя для записи обратно с облачным отображаемым именем:
Формат по умолчанию:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=comНовый формат:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
При настройке обратной записи группы флажок появится в нижней части окна конфигурации. Выберите его, чтобы включить эту функцию.
Группы, записываемые обратно из Microsoft Entra ID в Active Directory, имеют источник полномочий в облаке. Все изменения, внесенные локально в группы, записанные обратно из идентификатора Microsoft Entra, перезаписываются в следующем цикле синхронизации.
На странице Готово к настройке выберите Настроить.
Когда мастер завершит работу, на странице завершения настройки нажмите кнопку "Выйти".
Откройте Windows PowerShell в качестве администратора на сервере Microsoft Entra Connect и выполните следующие команды:
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Дополнительные сведения о настройке групп Microsoft 365 см. в статье "Настройка групп Microsoft 365 с помощью локальной гибридной среды Exchange".
Отключить обратную запись групп
Чтобы отключить обратную запись группы, выполните следующие действия.
Откройте мастер Microsoft Entra Connect и перейдите на страницу "Дополнительные задачи ". Выберите задачу "Настройка параметров синхронизации " и нажмите кнопку "Далее".
На странице "Необязательные функции" снимите флажок " Обратная запись группы ". Предупреждение указывает, что вы будете удалять группы. Выберите Да.
При отключении обратной записи групп все группы, созданные ранее с помощью этой функции, удаляются из локального экземпляра Active Directory в следующем цикле синхронизации.
Нажмите кнопку Далее.
Выберите и настройте.
Отключение обратной записи группы устанавливает флаги Full Import и Full Synchronization в true на соединителе Microsoft Entra Connector. Изменения правила распространяются на следующий цикл синхронизации и удаляют группы, которые ранее были записаны обратно в Active Directory.
Изменение поведения по умолчанию для групп Microsoft 365
В следующих разделах содержатся рекомендации по изменению поведения по умолчанию для групп Microsoft 365.
Обратная запись групп Microsoft 365 с количеством участников до 250 000
Так как правило синхронизации по умолчанию, ограничивающее размер группы, создается при включенной обратной записи группы, необходимо выполнить следующие действия после включения обратной записи группы:
На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.
Отключите планировщик синхронизацииMicrosoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $falseОткройте редактор правил синхронизации.
Установите направление на Внешние.
Найдите и отключите правило синхронизации Out to AD — ограничение числа участников при обратной записи группы.
Включите планировщик синхронизации Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $true
Отключение правила синхронизации устанавливает флаг для полной синхронизации на true в Microsoft Entra Connector. Это изменение обеспечивает распространение изменений правил в следующем цикле синхронизации.