Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Microsoft Entra Connect Sync'te Grup Geri Yazma v2'nin genel önizlemesi itibariyle 30 Haziran 2024tarihinden itibaren artık kullanılamamaktadır. Bu özellik bu tarihte sonlandırıldı ve artık Microsoft Entra Connect Sync'te Active Directory'ye bulut güvenlik grupları sağlamak için desteklenmiyorsunuz. Özellik, kullanımdan kaldırma tarihinden sonra da çalışmaya devam eder; ancak artık destek almaz ve bildirimde bulunmadan herhangi bir zamanda çalışmayabilir.
Microsoft Entra Cloud Sync'te, Active Directory'ye Grup Sağlama adı verilen ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Grup Geri Yazma v2 yerine kullanabileceğiniz benzer işlevler sunuyoruz. Microsoft Entra Cloud Sync'te geliştirdiğimiz diğer yeni özelliklerin yanı sıra Microsoft Entra Cloud Sync'te bu işlevselliği geliştirmek için çalışıyoruz.
Microsoft Entra Connect Sync'te bu önizleme özelliğini kullanan müşterilerin yapılandırmalarını Microsoft Entra Connect Sync'ten Microsoft Entra Cloud Sync'e değiştirmeleri gerekir. Tüm karma eşitlemenizi Microsoft Entra Cloud Sync'e taşımayı seçebilirsiniz (gereksinimlerinizi destekliyorsa). Microsoft Entra Cloud Sync'i de eş zamanlı olarak çalıştırabilir ve yalnızca bulut güvenlik grubu sağlamasını Active Directory'den Microsoft Entra Cloud Sync'e taşıyabilirsiniz.
Active Directory'ye Microsoft 365 grupları sağlayan müşteriler için bu özellik için Grup Geri Yazma v1'i kullanmaya devam edebilirsiniz.
kullanıcı eşitleme sihirbazını kullanarak yalnızca Microsoft Entra Cloud Sync'e geçişi değerlendirebilirsiniz.
Bu makalede, Microsoft Entra Connect Sync (eski adıyla Azure Active Directory Connect) kullanarak Grup Geri Yazma'yı Microsoft Entra Cloud Sync'e geçirme işlemi açıklanmaktadır. Bu senaryo yalnızca şu anda Microsoft Entra Connect Grup Geri Yazma v2 kullanan müşteriler içindir. Bu makalede özetlenen işlem yalnızca evrensel kapsamla buluta yazılan güvenlik gruplarıyla ilişkilidir.
Bu senaryo yalnızca aşağıdakiler için desteklenir:
- Bulutta oluşturulan güvenlik grupları.
- Evrensel kapsamıyla Active Directory'ye geri yazılan gruplar.
Active Directory'ye geri yazılan posta etkin gruplar ve dağıtım listeleri Microsoft Entra Connect Grup Geri Yazma ile çalışmaya devam ediyor ancak Grup Geri Yazma v1'in çalışma şekline geri dönüyor. Bu senaryoda, Grup Geri Yazma v2'yi devre dışı bırakdıktan sonra tüm Microsoft 365 grupları, Microsoft Entra yönetim merkezindeki Geri Yazma Etkin ayarından bağımsız olarak Active Directory'ye geri yazılır. Daha fazla bilgi için bkz . Microsoft Entra Cloud Sync ile Active Directory'ye sağlama hakkında SSS.
Önkoşullar
En az Karma Kimlik yöneticisi rolüne sahip bir Microsoft Entra hesabı.
En az etki alanı yöneticisi izinlerine sahip bir şirket içi Active Directory hesabı.
adminDescriptionözniteliğine erişmek ve onumsDS-ExternalDirectoryObjectIdözniteliğine kopyalamak gereklidir.Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
Active Directory Şema özniteliği
msDS-ExternalDirectoryObjectIdiçin gereklidir.Derleme sürümü 1.1.1367.0 veya üzeri olan yapılandırma aracı.
Sağlama aracısı, TCP/389 (LDAP) ve TCP/3268 (genel katalog) bağlantı noktalarındaki etki alanı denetleyicileriyle iletişim kurabilmelidir.
Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir.
Geri yazılan gruplar için adlandırma kuralı
Varsayılan olarak, Microsoft Entra Connect Sync adlandırma grupları geri yazılırken aşağıdaki biçimi kullanır:
-
Varsayılan biçim:
CN=Group_<guid>,OU=<container>,DC=<domain component>,DC=\<domain component> -
Örnek:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Microsoft Entra Id'den Active Directory'ye geri yazılan grupları bulmayı kolaylaştırmak için Microsoft Entra Connect Sync, bulut görünen adını kullanarak grup adını geri yazma seçeneği ekledi. Bu seçeneği kullanmak için, Grup Geri Yazma v2'nin ilk kurulumu sırasında Bulut Görünen Adı ile Geri Yazma Grubu Ayırt Edici Adı'nı seçin. Bu özellik etkinleştirilirse, Microsoft Entra Connect varsayılan biçim yerine aşağıdaki yeni biçimi kullanır:
-
Yeni biçim:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>,DC=\<domain component> -
Örnek:
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Varsayılan olarak, Microsoft Entra Connect Sync'te Bulut Görünen Adı ile Geri Yazma Grubu Ayırt Edici Adı özelliği etkinleştirilmemiş olsa bile Microsoft Entra Cloud Sync yeni biçimi kullanır. Varsayılan Microsoft Entra Connect Sync adlandırmasını kullanır ve ardından grubu Microsoft Entra Cloud Sync tarafından yönetecek şekilde geçirirseniz, grup yeni biçim olarak yeniden adlandırılır. Microsoft Entra Cloud Sync'in Microsoft Entra Connect'ten varsayılan biçimi kullanmasına izin vermek için aşağıdaki bölümü kullanın.
Varsayılan biçimi kullanma
Microsoft Entra Cloud Sync'in Microsoft Entra Connect Sync ile aynı varsayılan biçimi kullanmasını istiyorsanız, özniteliğin öznitelik akışı ifadesini CN değiştirmeniz gerekir. İki olası eşleme şunlardır:
| İfade | Sözdizimi | Açıklama |
|---|---|---|
DisplayName kullanarak bulut eşitleme varsayılan ifadesi |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Microsoft Entra Cloud Sync tarafından kullanılan varsayılan ifade (yani yeni biçim). |
DisplayName kullanmadan bulut eşitleme yeni ifadesi |
Append("Group_", [objectId]) |
Microsoft Entra Connect Sync'ten varsayılan biçimi kullanacak yeni ifade. |
Daha fazla bilgi için bkz: Öznitelik eşlemesi ekleme - Microsoft Entra Kimliği'ni Active Directory'ye.
1. Adım: adminDescription'ı msDS-ExternalDirectoryObjectID'ye kopyalama
Grup üyeliği referanslarını doğrulamak için, Microsoft Entra Cloud Sync'in msDS-ExternalDirectoryObjectID özniteliği için Active Directory genel kataloğunu sorgulaması gerekir. Bu dizine alınan öznitelik, Active Directory ormanındaki tüm genel kataloglar arasında çoğaltılır.
Şirket içi ortamınızda ADSI Düzenleme'yi açın.
Grubun
adminDescriptionözniteliğindeki değeri kopyalayın.
değerini özniteliğine yapıştırın
msDS-ExternalDirectoryObjectID.
Bu adımı otomatikleştirmeye yardımcı olması için aşağıdaki PowerShell betiğini kullanabilirsiniz. Bu betik, `OU=Groups,DC=Contoso,DC=com` kapsayıcıdaki tüm grupları alır ve `adminDescription` öznitelik değerini `msDS-ExternalDirectoryObjectID` öznitelik değerine kopyalar. Bu betiği kullanmadan önce $gwbOU değişkenini grup geri yazma hedefinizin kuruluş birimi (OU) değeri olan DistinguishedName ile güncelleştirin.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
Yukarıdaki betiğin sonuçlarını denetlemek için aşağıdaki PowerShell betiğini kullanabilirsiniz. Ayrıca, tüm grupların adminDescription değerinin msDS-ExternalDirectoryObjectID değerine eşit olduğunu onaylayabilirsiniz.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
2. Adım: Microsoft Entra Connect Sync sunucusunu hazırlama moduna yerleştirin ve eşitleme zamanlayıcısını devre dışı bırakın
Microsoft Entra Connect Eşitleme sihirbazını başlatın.
'i seçin ve'i yapılandırın.
Hazırlama modunu yapılandır'ı ve ardından İleri'yi seçin.
Microsoft Entra kimlik bilgilerini girin.
Hazırlama modunu etkinleştir onay kutusunu seçin ve İleri'yi seçin.
'i seçin ve'i yapılandırın.
Çıkış'ı seçin.
Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.
Eşitleme zamanlayıcısını devre dışı bırakın:
Set-ADSyncScheduler -SyncCycleEnabled $false
3. Adım: Bir özel grup gelen kuralı oluşturun.
Microsoft Entra Connect Eşitleme Kuralları Düzenleyicisi'nde, posta özniteliğine sahip NULL grupları filtreleyen bir gelen eşitleme kuralı oluşturursunuz. Gelen eşitleme kuralı, cloudNoFlow hedef özniteliğine sahip bir birleştirme kuralıdır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir. Bu eşitleme kuralını oluşturmak için kullanıcı arabirimini kullanmayı veya sağlanan betikle PowerShell aracılığıyla oluşturmayı tercih edebilirsiniz.
Kullanıcı arabiriminde grup için özel bir gelen kuralı oluşturma
Başlat menüsünde Eşitleme Kuralları Düzenleyicisi'ni başlatın.
Yön altında, açılan listeden Gelen'i seçip Yeni kural ekle'yi tıklayın.
Açıklama sayfasında aşağıdaki değerleri girin ve Sonrakiseçin:
- Adı: Kurala anlamlı bir ad verin.
- açıklama : Anlamlı bir açıklama ekleyin.
- Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz Microsoft Entra bağlayıcısını seçin.
- Bağlı Sistem Nesne Türü: Grubu seçin.
- Metaverse Nesne Türü: grubu seçin.
- Bağlantı Türü: seçinKatıl.
- Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük bir değer kullanmanızı öneririz.
- Etiket: Alanı boş bırakın.
Kapsam filtresi sayfasında aşağıdaki değerleri ekleyin ve İleri'yi seçin:
Öznitelik Operatör Değer cloudMasteredEQUALtruemailISNULL
Birleştirme kuralları sayfasında Sonrakiseçin.
Dönüştürme ekle sayfasında, FlowTypeiçin Sabitseçin. Hedef Öznitelik için cloudNoFlow'ı seçin. Kaynak için Doğru'yu seçin.
Ekle'yi seçin.
PowerShell'de özel grup gelen kuralı oluşturma
Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.
Modülü içeri aktarın.
Import-Module ADSyncEşitleme kuralı önceliği (0-99) için benzersiz bir değer sağlayın.
[int] $inboundSyncRulePrecedence = 88Aşağıdaki komut dosyasını çalıştırın:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
4. Adım: Özelleştirilmiş bir giden grup kuralı oluşturma
Ayrıca JoinNoFlow bağlantı türü ve cloudNoFlow özniteliği True olarak ayarlanmış kapsam filtresine sahip bir giden eşitleme kuralına ihtiyacınız vardır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir. Bu eşitleme kuralını oluşturmak için kullanıcı arabirimini kullanmayı veya sağlanan betikle PowerShell aracılığıyla oluşturmayı tercih edebilirsiniz.
Kullanıcı arabiriminde giden özel grup kuralı oluşturma
Yön altında, açılan listeden Giden'i seçin ve ardından Kural ekle'yi seçin.
Açıklama sayfasında aşağıdaki değerleri girin ve Sonrakiseçin:
- Adı: Kurala anlamlı bir ad verin.
- açıklama : Anlamlı bir açıklama ekleyin.
- Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz Active Directory bağlayıcısını seçin.
- Bağlı Sistem Nesne Türü: Grubu seçin.
- Metaverse Nesne Türü: grubu seçin.
- Bağlantı Türü: JoinNoFlowseçin.
- Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük bir değer kullanmanızı öneririz.
- Etiket: Alanı boş bırakın.
Kapsam filtresi sayfasındaki Öznitelik için cloudNoFlow'ı seçin. İşleç için EŞITTIR seçin. Değeriçin yerine Trueseçin. Sonra İleri'yi seçin.
Birleştirme kuralları sayfasında Sonrakiseçin.
Dönüşümler sayfasında Ekle'yi seçin.
PowerShell'de özel grup gelen kuralı oluşturma
Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.
Modülü içeri aktarın.
Import-Module ADSyncEşitleme kuralı önceliği (0-99) için benzersiz bir değer sağlayın.
[int] $outboundSyncRulePrecedence = 89Grup Geri Yazma için Active Directory bağlayıcısını alın.
$connectorAD = Get-ADSyncConnector -Name "Contoso.com"Aşağıdaki komut dosyasını çalıştırın:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
5. Adım: Yapılandırmayı tamamlamak için PowerShell kullanma
Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.
Modülü içeri aktarın
ADSync:Import-Module ADSyncTam eşitleme döngüsü çalıştırma:
Start-ADSyncSyncCycle -PolicyType InitialKiracı için Grup Geri Yazma özelliğini devre dışı bırakın.
Uyarı
Bu işlem geri alınamaz. Grup Geri Yazma v2'yi devre dışı bırakdıktan sonra tüm Microsoft 365 grupları, Microsoft Entra yönetim merkezindeki Geri Yazma Etkin ayarından bağımsız olarak Active Directory'ye geri yazılır.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseTam eşitleme döngüsünü yeniden çalıştırın:
Start-ADSyncSyncCycle -PolicyType InitialEşitleme zamanlayıcısını yeniden kullanılabilir hale getirme:
Set-ADSyncScheduler -SyncCycleEnabled $true
6. Adım: Microsoft Entra Connect Sync sunucusunu hazırlama modundan kaldırma
- Microsoft Entra Connect Eşitleme sihirbazını başlatın.
- 'i seçin ve'i yapılandırın.
- Hazırlama modunu yapılandır'ı ve ardından İleri'yi seçin.
- Microsoft Entra kimlik bilgilerini girin.
- Hazırlama modunu etkinleştir onay kutusunu temizleyin ve İleri'yi seçin.
- 'i seçin ve'i yapılandırın.
- Çıkış'ı seçin.
7. Adım: Microsoft Entra Cloud Sync'i yapılandırma
Gruplar Artık Microsoft Entra Connect Sync'in eşitleme kapsamından kaldırıldığından, güvenlik gruplarının eşitlemesini devralmak için Microsoft Entra Cloud Sync'i ayarlayabilir ve yapılandırabilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama.