Microsoft Entra Bağlan grubu geri yazma varsayılan davranışını değiştirme
Grup geri yazma, Microsoft Entra Bağlan Sync kullanarak bulut gruplarını şirket içi Active Directory örneğine geri yazmanızı sağlayan bir özelliktir. Varsayılan davranışı aşağıdaki yollarla değiştirebilirsiniz:
- Yeni oluşturulan Microsoft 365 grupları da dahil olmak üzere yalnızca geri yazma için yapılandırılan gruplar geri yazılır.
- Grup geri yazma, geçici silme veya Microsoft Entra Id'de sabit silme için devre dışı bırakıldıklarında, geri yazılan gruplar Active Directory'de silinir.
- 250.000'e kadar üyesi olan Microsoft 365 grupları şirket içinde geri yazılabilir.
Bu makalede, Microsoft Entra Bağlan grubu geri yazmanın varsayılan davranışlarını değiştirme seçeneklerinde size yol gösterilir.
Mevcut dağıtımlar için dikkat edilmesi gerekenler
Ortamınızda grup geri yazma özelliğinin özgün sürümü zaten etkin ve kullanımdaysa, Microsoft 365 gruplarınızın tümü zaten Active Directory'ye geri yazılmıştır. Tüm Microsoft 365 gruplarını devre dışı bırakmak yerine önceden geri yazılmış grupların kullanımını gözden geçirin. Yalnızca şirket içi Active Directory artık gerekli olmayanları devre dışı bırakın.
Yeni Microsoft 365 gruplarının otomatik geri yazmayı devre dışı bırakma
Dizin ayarlarını yeni oluşturulan Microsoft 365 gruplarının otomatik geri yazmayı devre dışı bırakmak üzere yapılandırmak için şu yöntemlerden birini kullanın:
PowerShell: Microsoft Graph Beta PowerShell SDK'sını kullanın. Örnek olarak:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
Dekont
PowerShell 7 ile Microsoft Graph PowerShell SDK'sı kullanmanızı öneririz.
- Microsoft Graph: directorySetting kaynak türünü kullanın.
Mevcut tüm Microsoft 365 grubu için geri yazmayı devre dışı bırakma
Bu değişikliklerden önce oluşturulan tüm Microsoft 365 gruplarının geri yazmayı devre dışı bırakmak için aşağıdaki yöntemlerden birini kullanın:
PowerShell: Microsoft Graph Beta PowerShell SDK'sını kullanın. Örneğin:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }
Microsoft Graph Gezgini: Grup nesnesi kullanın.
Geri yazma için devre dışı bırakılan veya geçici olarak silinen grupları silme
Dekont
Active Directory'de geri yazılan grupları sildikten sonra, geri yazma için yeniden etkinleştirildilerse veya geçici silme durumundan geri yüklendilerse, bu gruplar Active Directory Geri Dönüşüm Kutusu özelliğinden otomatik olarak geri yüklenmez. Yeni gruplar oluşturulur. Geri yazma için yeniden etkinleştirilmeden önce Active Directory Geri Dönüşüm Kutusu'ndan geri yüklenen veya Microsoft Entra Kimliği'nde geçici silme durumundan geri yüklenen silinmiş gruplar, ilgili Microsoft Entra gruplarına eklenir.
Microsoft Entra Bağlan sunucunuzda yönetici olarak bir PowerShell istemi açın.
Microsoft Entra Bağlan Eşitleme zamanlayıcısını devre dışı bırakın:
Set-ADSyncScheduler -SyncCycleEnabled $false
Geri yazma veya geçici silme için devre dışı bırakıldıklarında geri yazılan grupları silmek için Microsoft Entra Bağlan özel eşitleme kuralı oluşturun:
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
Grup geri yazmayı etkinleştirin.
Microsoft Entra Bağlan Eşitleme zamanlayıcısını etkinleştirin:
Set-ADSyncScheduler -SyncCycleEnabled $true
Dekont
Eşitleme kuralının oluşturulması, Microsoft Entra bağlayıcısı üzerinde tam eşitleme true
bayrağını olarak ayarlar. Bu değişiklik, kural değişikliklerinin sonraki eşitleme döngüsünde yayılmasına neden olur.
En çok 250.000 üyesi olan Microsoft 365 gruplarını geri yazma
Grup geri yazma etkinleştirildiğinde grup boyutunu sınırlayan varsayılan eşitleme kuralı oluşturulduğundan, grup geri yazmayı etkinleştirdikten sonra aşağıdaki adımları tamamlamanız gerekir:
Microsoft Entra Bağlan sunucunuzda yönetici olarak bir PowerShell istemi açın.
Microsoft Entra Bağlan Eşitleme zamanlayıcısını devre dışı bırakın:
Set-ADSyncScheduler -SyncCycleEnabled $false
Yönü Giden olarak ayarlayın.
AD - Grup Geri Yazma Üye Sınırı eşitleme kuralını bulun ve devre dışı bırakın.
Microsoft Entra Bağlan Eşitleme zamanlayıcısını etkinleştirin:
Set-ADSyncScheduler -SyncCycleEnabled $true
Dekont
Eşitleme kuralını devre dışı bırakmak, Microsoft Entra bağlayıcısı üzerinde tam eşitleme true
bayrağını olarak ayarlar. Bu değişiklik, kural değişikliklerinin sonraki eşitleme döngüsünde yayılmasına neden olur.
Active Directory Geri Dönüşüm Kutusu'ndan geri yükleme
Geri yazma veya geçici silme için devre dışı bırakılan grupları silmek için varsayılan davranışı güncelleştiriyorsanız, şirket içi Active Directory örnekleriniz için Active Directory Geri Dönüşüm Kutusu özelliğini etkinleştirmenizi öneririz. Geri yazma veya geçici silme için yanlışlıkla devre dışı bırakılmışlarsa, ilgili Microsoft Entra gruplarına yeniden katılabilmeleri için daha önce silinmiş Active Directory gruplarını el ile geri yüklemek için bu özelliği kullanabilirsiniz.
Microsoft Entra Id'de geri yazma veya geçici silme işleminden geri yükleme için yeniden etkinleştirmeden önce, önce grubu Active Directory'de geri yüklemeniz gerekir.