Aracılığıyla paylaş


Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme

Önemli

Microsoft Entra Connect Sync'te Grup Geri Yazma v2'nin genel önizlemesi 30 Haziran 2024'te kullanıma sunulmayacaktır. Bu özellik bu tarihte sona erecek ve artık Active Directory'ye bulut güvenlik grupları sağlamak için Connect Sync'te desteklenmeyecektir. Özellik, kullanımdan kaldırma tarihinden sonra çalışmaya devam edecektir; ancak bu tarihten sonra artık destek almayacak ve bildirimde bulunmadan herhangi bir zamanda çalışmayabilir.

Microsoft Entra Cloud Sync'te, Active Directory'ye Grup Sağlama adı verilen ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Grup Geri Yazma v2 yerine kullanabileceğiniz benzer işlevler sunuyoruz. Cloud Sync'te geliştirdiğimiz diğer yeni özelliklerle birlikte Cloud Sync'te bu işlevselliği geliştirmek için çalışıyoruz.

Connect Sync'te bu önizleme özelliğini kullanan müşteriler, yapılandırmalarını Connect Sync'ten Cloud Sync'e geçirmelidir. Tüm karma eşitlemenizi Cloud Sync'e taşımayı seçebilirsiniz (gereksinimlerinizi destekliyorsa). Ayrıca Cloud Sync'i yan yana çalıştırabilir ve yalnızca bulut güvenlik grubu sağlamayı Active Directory'ye Cloud Sync'e taşıyabilirsiniz.

Active Directory'ye Microsoft 365 grupları sağlayan müşteriler için bu özellik için Grup Geri Yazma v1'i kullanmaya devam edebilirsiniz.

Kullanıcı eşitleme sihirbazını kullanarak yalnızca Cloud Sync'e geçişi değerlendirebilirsiniz.

Aşağıdaki belgede, Microsoft Entra Connect Sync (eski adıyla Azure AD Connect) kullanılarak grup geri yazma işleminin Microsoft Entra Cloud Sync'e nasıl geçirilmesi açıklanır. Bu senaryo yalnızca şu anda Microsoft Entra Connect grup geri yazma v2 kullanan müşteriler içindir. Bu belgede özetlenen işlem yalnızca evrensel bir kapsamla geri yazılan bulut tarafından oluşturulan güvenlik gruplarıyla ilişkilidir.

Önemli

Bu senaryo yalnızca şu anda Microsoft Entra Connect grup geri yazma v2 kullanan müşteriler içindir

Ayrıca, bu senaryo yalnızca aşağıdakiler için desteklenir:

  • bulut tarafından oluşturulan Güvenlik grupları
  • evrensel kapsamıyla AD'ye geri yazılan gruplar.

AD'ye geri yazılan posta etkin gruplar ve DLL'ler Microsoft Entra Connect grup geri yazma ile çalışmaya devam eder, ancak grup geri yazma V1 davranışına geri döner, bu nedenle bu senaryoda, grup geri yazma V2 devre dışı bırakıldıktan sonra tüm M365 grupları Entra yönetim merkezindeki Geri Yazma Etkin ayarından bağımsız olarak AD'ye geri yazılır. Daha fazla bilgi için bkz . Microsoft Entra Cloud Sync ile Active Directory'ye sağlama hakkında SSS.

Önkoşullar

Bu senaryoyu uygulamak için aşağıdaki önkoşullar gereklidir.

  • En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
  • En az etki alanı yöneticisi izinlerine sahip bir şirket içi AD hesabı - adminDescription özniteliğine erişmek ve bunu msDS-ExternalDirectoryObjectId özniteliğine kopyalamak için gereklidir
  • Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
    • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
  • Derleme sürümü 1.1.1367.0 veya üzeri olan sağlama aracısı.
  • Sağlama aracısı, TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarındaki etki alanı denetleyicileriyle iletişim kurabilmelidir.
    • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir

Geri yazılan gruplar için adlandırma kuralı

Varsayılan olarak, Microsoft Entra Connect Sync geri yazılan grupları adlandırırken aşağıdaki biçimi kullanır.

  • Varsayılan biçim: CN=Group_guid,OU>=<kapsayıcı,DC>=<etki alanı bileşeni,DC>=<etki< alanı bileşeni>

  • Örnek: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Microsoft Entra Id'den Active Directory'ye geri yazılan grupları bulmayı kolaylaştırmak için Microsoft Entra Connect Sync, bulut görünen adını kullanarak grup adını geri yazma seçeneği ekledi. Bu işlem, grup geri yazma v2'nin ilk kurulumu sırasında bulut Görünen Adı ile Geri Yazma Grubu Ayırt Edici Adı seçilerek yapılır. Bu özellik etkinleştirilirse, Microsoft Entra Connect varsayılan biçim yerine aşağıdaki yeni biçimi kullanır:

  • Yeni biçim: CN=<display name>_<last 12 basamaklı nesne kimliği,OU>=<kapsayıcı,DC>=<etki alanı bileşeni,DC>=<etki alanı bileşeni>

  • Örnek: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Önemli

Varsayılan olarak, Microsoft Entra Connect Sync'te Bulut Görünen Adı özelliğine sahip Geri Yazma Grubu Ayırt Edici Adı özelliği etkinleştirilmemiş olsa bile Microsoft Entra bulut eşitlemesi yeni biçimi kullanır. Varsayılan Microsoft Entra Connect Eşitleme adlandırmasını kullanıyorsanız ve ardından grubu Microsoft Entra bulut eşitlemesi tarafından yönetecek şekilde geçirirseniz, grup yeni biçime yeniden adlandırılır. Microsoft Entra bulut eşitlemesinin Microsoft Entra Connect'ten varsayılan biçimi kullanmasına izin vermek için aşağıdaki bölümü kullanın.

Varsayılan biçimi kullanma

Bulut eşitlemesinin Microsoft Entra Connect Sync ile aynı varsayılan biçimi kullanmasını istiyorsanız, CN özniteliği için öznitelik akışı ifadesini değiştirmeniz gerekir. İki olası eşleme şunlardır:

İfade Sözdizimi Açıklama
DisplayName kullanarak bulut eşitleme varsayılan ifadesi Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) Microsoft Entra bulut eşitlemesi tarafından kullanılan varsayılan ifade (yani yeni biçim)
DisplayName kullanmadan bulut eşitleme yeni ifadesi Append("Group_", [objectId]) Microsoft Entra Connect Sync'ten varsayılan biçimi kullanacak yeni ifade.

Daha fazla bilgi için bkz . Öznitelik eşlemesi ekleme - Active Directory'ye Microsoft Entra Id

1. Adım - adminDescription'ı msDS-ExternalDirectoryObjectID'ye kopyalama

Grup üyeliği başvurularını doğrulamak için Microsoft Entra Cloud Sync'in msDS-ExternalDirectoryObjectID özniteliği için Active Directory Genel Kataloğu'nu sorgulaması gerekir. Bu, Active Directory Ormanı içindeki tüm Genel Kataloglar arasında çoğaltılan dizine alınan bir özniteliktir.

  1. Şirket içi ortamınızda ADSI Düzenleme'yi açın.

  2. Grubun adminDescription özniteliğindeki değerini kopyalayın

    adminDescription özniteliğinin ekran görüntüsü.

  3. msDS-ExternalDirectoryObjectID özniteliğine yapıştırın

    msDS-ExternalDirectoryObjectID özniteliğinin ekran görüntüsü.

Bu adımı otomatikleştirmeye yardımcı olması için aşağıdaki PowerShell betiği kullanılabilir. Bu betik, OU=Groups,DC=Contoso,DC=com kapsayıcısında bulunan tüm grupları alır ve adminDescription öznitelik değerini msDS-ExternalDirectoryObjectID öznitelik değerine kopyalar. Bu betiği kullanmadan önce, değişkenini $gwbOU grup geri yazmanızın hedef kuruluş biriminin (OU) DistinguishedName değeriyle güncelleştirin.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Yukarıdaki betiğin sonuçlarını denetlemek veya tüm grupların msDS-ExternalDirectoryObjectID değerine eşit adminDescription değerine sahip olduğunu onaylamak için aşağıdaki PowerShell betiği kullanılabilir.


# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

2. Adım - Microsoft Entra Connect Sync sunucusunu hazırlama moduna yerleştirin ve eşitleme zamanlayıcısını devre dışı bırakın

  1. Microsoft Entra Connect Eşitleme sihirbazını başlatma

  2. Yapılandır'a tıklayın

  3. Hazırlama modunu yapılandır'ı seçin ve İleri'ye tıklayın

  4. Microsoft Entra kimlik bilgilerini girin

  5. Hazırlama modunu etkinleştir kutusuna onay işareti yerleştirin ve İleri'ye tıklayın

    Hazırlama modunu etkinleştirme işleminin ekran görüntüsü.

  6. Yapılandır'a tıklayın

  7. Çıkış'a tıklayın

    Hazırlama modu başarısının ekran görüntüsü.

  8. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

  9. Eşitleme zamanlayıcısını devre dışı bırakın:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    

3. Adım - Özel grup gelen kuralı oluşturma

Microsoft Entra Connect Eşitleme Kuralları düzenleyicisinde, posta özniteliği için NULL olan grupları filtreleyen bir gelen eşitleme kuralı oluşturmanız gerekir. Gelen eşitleme kuralı, cloudNoFlow'un hedef özniteliğine sahip bir birleştirme kuralıdır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir. Bu eşitleme kuralını oluşturmak için kullanıcı arabirimini kullanmayı veya sağlanan betikle PowerShell aracılığıyla oluşturmayı tercih edebilirsiniz.

Kullanıcı arabiriminde özel grup gelen kuralı oluşturma

  1. Başlat menüsünden Eşitleme Kuralları Düzenleyicisi'ni başlatın.

  2. Yön açılan listesinden Gelen'i seçin ve Yeni kural ekle'yi seçin.

  3. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

    • Ad: Kurala anlamlı bir ad verin

    • Açıklama: Anlamlı bir açıklama ekleyin

    • Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz Microsoft Entra bağlayıcısını seçin

    • Bağlı Sistem Nesne Türü: Grup

    • Meta Veri Deposu Nesne Türü: Grup

    • Bağlantı Türü: Birleştirme

    • Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük olması önerilir.

    • Etiket: Boş bırakın

      Gelen eşitleme kuralının ekran görüntüsü.

  4. Kapsam filtresi sayfasında Aşağıdakileri ekleyin ve İleri'yi seçin.

    Öznitelik Operatör Değer
    cloudMastered EŞİT doğru
    posta ISNULL

    Kapsam filtresinin ekran görüntüsü.

  5. Birleştirme kuralları sayfasında İleri'yi seçin.

  6. Dönüşümler sayfasında bir Sabit dönüştürme: flow True to cloudNoFlow özniteliği ekleyin.

    Dönüşümün ekran görüntüsü.

  7. Ekle'yi seçin.

PowerShell'de özel grup gelen kuralı oluşturma

  1. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

  2. Modülü içeri aktarın.

    Import-Module ADSync
    
  3. Eşitleme kuralı önceliği [0-99] için benzersiz bir değer sağlayın.

    [int] $inboundSyncRulePrecedence = 88
    
  4. Aşağıdaki betiği yürütür:

     New-ADSyncRule  `
     -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Inbound' `
     -Precedence $inboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
     -LinkType 'Join' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     Add-ADSyncAttributeFlowMapping  `
     -SynchronizationRule $syncRule[0] `
     -Source @('true') `
     -Destination 'cloudNoFlow' `
     -FlowType 'Constant' `
     -ValueMergeType 'Update' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudMastered','true','EQUAL' `
     -OutVariable condition0
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'mail','','ISNULL' `
     -OutVariable condition1
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0],$condition1[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
    

4. Adım - Özel grup giden kuralı oluşturma

Ayrıca bağlantı türü JoinNoFlow olan bir giden eşitleme kuralına ve cloudNoFlow özniteliği True olarak ayarlanmış kapsam filtresine de ihtiyacınız vardır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir. Bu eşitleme kuralını oluşturmak için kullanıcı arabirimini kullanmayı veya sağlanan betikle PowerShell aracılığıyla oluşturmayı tercih edebilirsiniz.

Kullanıcı arabiriminde özel grup giden kuralı oluşturma

  1. Yön açılan listesinde Giden'i seçin ve kural ekle'yi seçin.

  2. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

    • Ad: Kurala anlamlı bir ad verin
    • Açıklama: Anlamlı bir açıklama ekleyin
    • Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz AD bağlayıcısını seçin
    • Bağlı Sistem Nesne Türü: Grup
    • Meta Veri Deposu Nesne Türü: Grup
    • Bağlantı Türü: JoinNoFlow
    • Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük olması önerilir.
    • Etiket: Boş bırakın

    Giden eşitleme kuralının ekran görüntüsü.

  3. Kapsam belirleme filtresi sayfasında cloudNoFlow eşittir True'yu seçin. Ardından İleri'yi seçin.

    Giden kapsam filtresinin ekran görüntüsü.

  4. Birleştirme kuralları sayfasında İleri'yi seçin.

  5. Dönüşümler sayfasında Ekle'yi seçin.

PowerShell'de özel grup gelen kuralı oluşturma

  1. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

  2. Modülü içeri aktarın.

    Import-Module ADSync
    
  3. Eşitleme kuralı önceliği [0-99] için benzersiz bir değer sağlayın.

    [int] $outboundSyncRulePrecedence = 89
    
  4. Grup Geri Yazma için Active Directory Bağlayıcısı'nı edinin.

    $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
    
  5. Aşağıdaki betiği yürütür:

     New-ADSyncRule  `
     -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
     -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
     -Direction 'Outbound' `
     -Precedence $outboundSyncRulePrecedence `
     -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
     -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
     -SourceObjectType 'group' `
     -TargetObjectType 'group' `
     -Connector $connectorAD.Identifier `
     -LinkType 'JoinNoFlow' `
     -SoftDeleteExpiryInterval 0 `
     -ImmutableTag '' `
     -OutVariable syncRule
    
     New-Object  `
     -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
     -ArgumentList 'cloudNoFlow','true','EQUAL' `
     -OutVariable condition0
    
     Add-ADSyncScopeConditionGroup  `
     -SynchronizationRule $syncRule[0] `
     -ScopeConditions @($condition0[0]) `
     -OutVariable syncRule
    
     Add-ADSyncRule  `
     -SynchronizationRule $syncRule[0]
    
     Get-ADSyncRule  `
     -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
    

5. Adım - Yapılandırmayı tamamlamak için PowerShell kullanma

  1. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

  2. ADSync modülünü içeri aktarın:

    Import-Module ADSync
    
  3. Tam eşitleme döngüsü çalıştırma:

    Start-ADSyncSyncCycle -PolicyType Initial
    
  4. Kiracı için grup geri yazma özelliğini devre dışı bırakın:

    Uyarı

    Bu işlem geri alınamaz. Grup geri yazma V2 devre dışı bırakıldıktan sonra tüm Microsoft 365 grupları, Entra yönetim merkezindeki Geri Yazma Etkin ayarından bağımsız olarak AD'ye geri yazılır.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
    
  5. Tam eşitleme döngüsü çalıştırın (yeniden evet):

    Start-ADSyncSyncCycle -PolicyType Initial
    
  6. Eşitleme zamanlayıcısını yeniden etkinleştirin:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

    PowerShell yürütmesinin ekran görüntüsü.

6. Adım - Microsoft Entra Connect Sync sunucusunu hazırlama modundan kaldırma

  1. Microsoft Entra Connect Eşitleme sihirbazını başlatma
  2. Yapılandır'a tıklayın
  3. Hazırlama modunu yapılandır'ı seçin ve İleri'ye tıklayın
  4. Microsoft Entra kimlik bilgilerini girin
  5. Hazırlama modunu etkinleştir kutusundan onay işaretini kaldırın ve İleri'ye tıklayın
  6. Yapılandır'a tıklayın
  7. Çıkış'a tıklayın

7. Adım - Microsoft Entra Cloud Sync'i yapılandırma

Gruplar Artık Microsoft Entra Connect Sync'in eşitleme kapsamından kaldırıldığından, güvenlik gruplarının eşitlemesini devralmak için Microsoft Entra Cloud Sync'i ayarlayabilir ve yapılandırabilirsiniz. Bkz . Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama.

Sonraki Adımlar