Microsoft Entra Connect Sync grubu geri yazma V2'yi Microsoft Entra Cloud Sync'e geçirme

Önemli

Microsoft Entra Connect Sync'te Grup Geri Yazma v2'nin genel önizlemesi 30 Haziran 2024'te kullanıma sunulmayacaktır. Bu özellik bu tarihte sona erecek ve artık Active Directory'ye bulut güvenlik grupları sağlamak için Connect Sync'te desteklenmeyecektir. Özellik, kullanımdan kaldırma tarihinden sonra çalışmaya devam edecektir; ancak bu tarihten sonra artık destek almayacak ve bildirimde bulunmadan herhangi bir zamanda çalışmayabilir.

Microsoft Entra Cloud Sync'te, Active Directory'ye Grup Sağlama adı verilen ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Grup Geri Yazma v2 yerine kullanabileceğiniz benzer işlevler sunuyoruz. Cloud Sync'te geliştirdiğimiz diğer yeni özelliklerle birlikte Cloud Sync'te bu işlevselliği geliştirmek için çalışıyoruz.

Connect Sync'te bu önizleme özelliğini kullanan müşteriler, yapılandırmalarını Connect Sync'ten Cloud Sync'e geçirmelidir. Tüm karma eşitlemenizi Cloud Sync'e taşımayı seçebilirsiniz (gereksinimlerinizi destekliyorsa). Ayrıca Cloud Sync'i yan yana çalıştırabilir ve yalnızca bulut güvenlik grubu sağlamayı Active Directory'ye Cloud Sync'e taşıyabilirsiniz.

Active Directory'ye Microsoft 365 grupları sağlayan müşteriler için bu özellik için Grup Geri Yazma v1'i kullanmaya devam edebilirsiniz.

Kullanıcı eşitleme sihirbazını kullanarak yalnızca Cloud Sync'e geçişi değerlendirebilirsiniz.

Aşağıdaki belgede, Microsoft Entra Connect Sync (eski adıyla Azure AD Connect) kullanılarak grup geri yazma işleminin Microsoft Entra Cloud Sync'e nasıl geçirilmesi açıklanır. Bu senaryo yalnızca şu anda Microsoft Entra Connect grup geri yazma v2 kullanan müşteriler içindir. Bu belgede özetlenen işlem yalnızca evrensel bir kapsamla geri yazılan bulut tarafından oluşturulan güvenlik gruplarıyla ilişkilidir.

Önemli

Bu senaryo yalnızca şu anda Microsoft Entra Connect grup geri yazma v2 kullanan müşteriler içindir

Ayrıca, bu senaryo yalnızca aşağıdakiler için desteklenir:

• bulut tarafından oluşturulan Güvenlik grupları
• bu gruplar, evrensel AD grupları kapsamıyla geri yazılır.

Microsoft Entra Connect grup geri yazma V1 veya V2 kullanılarak geri yazılan posta etkin gruplar ve DLL'ler bu senaryo için geçerli değildir ve bu geçişten etkilenmez. Daha fazla bilgi için bkz . Microsoft Entra Cloud Sync ile Active Directory'ye sağlama hakkında SSS.

Önkoşullar

Bu senaryoyu uygulamak için aşağıdaki önkoşullar gereklidir.

• En azından Karma Kimlik Yöneticisi rolüne sahip Microsoft Entra hesabı.
• En az etki alanı yöneticisi izinlerine sahip bir şirket içi AD hesabı - adminDescription özniteliğine erişmek ve bunu msDS-ExternalDirectoryObjectId özniteliğine kopyalamak için gereklidir
• Windows Server 2016 veya sonraki bir işletim sistemiyle şirket içi Active Directory Etki Alanı Hizmetleri ortamı.
  • AD Şema özniteliği için gerekli - msDS-ExternalDirectoryObjectId
• Derleme sürümü 1.1.1367.0 veya üzeri olan sağlama aracısı.
• Sağlama aracısı, TCP/389 (LDAP) ve TCP/3268 (Genel Katalog) bağlantı noktalarındaki etki alanı denetleyicileriyle iletişim kurabilmelidir.
  • Genel katalog araması için geçersiz üyelik başvurularını filtrelemek için gereklidir

Geri yazılan gruplar için adlandırma kuralı

Varsayılan olarak, Microsoft Entra Connect Sync geri yazılan grupları adlandırırken aşağıdaki biçimi kullanır.

• Varsayılan biçim: CN=Group_guid,OU>=<kapsayıcı,DC>=<etki alanı bileşeni,DC>=<etki< alanı bileşeni>

• Örnek: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Microsoft Entra Id'den Active Directory'ye geri yazılan grupları bulmayı kolaylaştırmak için Microsoft Entra Connect Sync, bulut görünen adını kullanarak grup adını geri yazma seçeneği ekledi. Bu işlem, grup geri yazma v2'nin ilk kurulumu sırasında bulut Görünen Adı ile Geri Yazma Grubu Ayırt Edici Adı seçilerek yapılır. Bu özellik etkinleştirilirse, Microsoft Entra Connect varsayılan biçim yerine aşağıdaki yeni biçimi kullanır:

• Yeni biçim: CN=<display name>_<last 12 basamaklı nesne kimliği,OU>=<kapsayıcı,DC>=<etki alanı bileşeni,DC>=<etki alanı bileşeni>

• Örnek: CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Önemli

Varsayılan olarak, Microsoft Entra Connect Sync'te Bulut Görünen Adı özelliğine sahip Geri Yazma Grubu Ayırt Edici Adı özelliği etkinleştirilmemiş olsa bile Microsoft Entra bulut eşitlemesi yeni biçimi kullanır. Varsayılan Microsoft Entra Connect Eşitleme adlandırmasını kullanıyorsanız ve ardından grubu Microsoft Entra bulut eşitlemesi tarafından yönetecek şekilde geçirirseniz, grup yeni biçime yeniden adlandırılır. Microsoft Entra bulut eşitlemesinin Microsoft Entra Connect'ten varsayılan biçimi kullanmasına izin vermek için aşağıdaki bölümü kullanın.

Varsayılan biçimi kullanma

Bulut eşitlemesinin Microsoft Entra Connect Sync ile aynı varsayılan biçimi kullanmasını istiyorsanız, CN özniteliği için öznitelik akışı ifadesini değiştirmeniz gerekir. İki olası eşleme şunlardır:

Expression	Sözdizimi	Açıklama
DisplayName kullanarak bulut eşitleme varsayılan ifadesi	Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	Microsoft Entra bulut eşitlemesi tarafından kullanılan varsayılan ifade (yani yeni biçim)
DisplayName kullanmadan bulut eşitleme yeni ifadesi	Append("Group_", [objectId])	Microsoft Entra Connect Sync'ten varsayılan biçimi kullanacak yeni ifade.

Daha fazla bilgi için bkz . Öznitelik eşlemesi ekleme - Active Directory'ye Microsoft Entra Id

1. Adım - adminDescription'ı msDS-ExternalDirectoryObjectID'ye kopyalama

Grup üyeliği başvurularını doğrulamak için Microsoft Entra Cloud Sync'in msDS-ExternalDirectoryObjectID özniteliği için Active Directory Genel Kataloğu'nu sorgulaması gerekir. Bu, Active Directory Ormanı içindeki tüm Genel Kataloglar arasında çoğaltılan dizine alınan bir özniteliktir.

1. Şirket içi ortamınızda ADSI Düzenleme'yi açın.

2. Grubun adminDescription özniteliğindeki değerini kopyalayın

   

3. msDS-ExternalDirectoryObjectID özniteliğine yapıştırın

   

Bu adımı otomatikleştirmeye yardımcı olması için aşağıdaki PowerShell betiği kullanılabilir. Bu betik, OU=Groups,DC=Contoso,DC=com kapsayıcısında bulunan tüm grupları alır ve adminDescription öznitelik değerini msDS-ExternalDirectoryObjectID öznitelik değerine kopyalar. Bu betiği kullanmadan önce, değişkenini $gwbOU grup geri yazmanızın hedef kuruluş biriminin (OU) DistinguishedName değeriyle güncelleştirin.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
Import-module ActiveDirectory
$properties = @('Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

2. Adım - Microsoft Entra Connect Sync sunucusunu hazırlama moduna yerleştirin ve eşitleme zamanlayıcısını devre dışı bırakın

1. Microsoft Entra Connect Eşitleme sihirbazını başlatma

2. Yapılandır'a tıklayın

3. Hazırlama modunu yapılandır'ı seçin ve İleri'ye tıklayın

4. Microsoft Entra kimlik bilgilerini girin

5. Hazırlama modunu etkinleştir kutusuna onay işareti yerleştirin ve İleri'ye tıklayın

   

6. Yapılandır'a tıklayın

7. Çıkış'a tıklayın

   

8. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

9. Eşitleme zamanlayıcısını devre dışı bırakın:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Adım - Özel grup gelen kuralı oluşturma

Microsoft Entra Connect Eşitleme Kuralları düzenleyicisinde, posta özniteliği için NULL olan grupları filtreleyen bir gelen eşitleme kuralı oluşturmanız gerekir. Gelen eşitleme kuralı, cloudNoFlow'un hedef özniteliğine sahip bir birleştirme kuralıdır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir.

1. Başlat menüsünden Eşitleme Kuralları Düzenleyicisi'ni başlatın.

2. Yön açılan listesinden Gelen'i seçin ve Yeni kural ekle'yi seçin.

3. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

   • Ad: Kurala anlamlı bir ad verin

   • Açıklama: Anlamlı bir açıklama ekleyin

   • Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz Microsoft Entra bağlayıcısını seçin

   • Bağlı Sistem Nesne Türü: Grup

   • Meta Veri Deposu Nesne Türü: Grup

   • Bağlantı Türü: Birleştirme

   • Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük olması önerilir.

   • Etiket: Boş bırakın

     

4. Kapsam filtresi sayfasında Aşağıdakileri ekleyin ve İleri'yi seçin.

   Öznitelik	İşleç	Değer
   cloudMastered	EŞİT	true
   posta	ISNULL

   

5. Birleştirme kuralları sayfasında İleri'yi seçin.

6. Dönüşümler sayfasında bir Sabit dönüştürme: flow True to cloudNoFlow özniteliği ekleyin. Ekle'yi seçin.

   

4. Adım - Özel grup giden kuralı oluşturma

Ayrıca bağlantı türü JoinNoFlow olan bir giden eşitleme kuralına ve cloudNoFlow özniteliği True olarak ayarlanmış kapsam filtresine de ihtiyacınız vardır. Bu kural, Microsoft Entra Connect'e bu grupların özniteliklerini eşitlememelerini bildirir.

1. Yön açılan listesinde Giden'i seçin ve kural ekle'yi seçin.

2. Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:

   • Ad: Kurala anlamlı bir ad verin
   • Açıklama: Anlamlı bir açıklama ekleyin
   • Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz AD bağlayıcısını seçin
   • Bağlı Sistem Nesne Türü: Grup
   • Meta Veri Deposu Nesne Türü: Grup
   • Bağlantı Türü: JoinNoFlow
   • Öncelik: Sistemde benzersiz bir değer sağlayın. Varsayılan kurallardan öncelikli olması için 100'den düşük olması önerilir.
   • Etiket: Boş bırakın

   

3. Kapsam belirleme filtresi sayfasında cloudNoFlow eşittir True'yu seçin. Sonra İleri'yi seçin.

   

4. Birleştirme kuralları sayfasında İleri'yi seçin.

5. Dönüşümler sayfasında Ekle'yi seçin.

5. Adım - Yapılandırmayı tamamlamak için PowerShell kullanma

1. Microsoft Entra Connect sunucunuzda yönetici olarak bir PowerShell istemi açın.

2. ADSync modülünü içeri aktarın:

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. Tam eşitleme döngüsü çalıştırma:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Kiracı için grup geri yazma özelliğini devre dışı bırakın:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Tam eşitleme döngüsü çalıştırın (yeniden evet):

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Eşitleme zamanlayıcısını yeniden etkinleştirin:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

6. Adım - Microsoft Entra Connect Sync sunucusunu hazırlama modundan kaldırma

1. Microsoft Entra Connect Eşitleme sihirbazını başlatma
2. Yapılandır'a tıklayın
3. Hazırlama modunu yapılandır'ı seçin ve İleri'ye tıklayın
4. Microsoft Entra kimlik bilgilerini girin
5. Hazırlama modunu etkinleştir kutusundan onay işaretini kaldırın ve İleri'ye tıklayın
6. Yapılandır'a tıklayın
7. Çıkış'a tıklayın

7. Adım - Microsoft Entra Cloud Sync'i yapılandırma

Gruplar Artık Microsoft Entra Connect Sync'in eşitleme kapsamından kaldırıldığından, güvenlik gruplarının eşitlemesini devralmak için Microsoft Entra Cloud Sync'i ayarlayabilir ve yapılandırabilirsiniz. Bkz . Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama.

Sonraki Adımlar

• Microsoft Entra Cloud Sync kullanarak Active Directory'ye grup sağlama
• Microsoft Entra Kimlik Yönetimi kullanarak şirket içi Active Directory tabanlı uygulamaları (Kerberos) yönetme
• Microsoft Entra Cloud Sync ile Active Directory'ye sağlama hakkında SSS