Aracılığıyla paylaş


Microsoft Entra Bağlan grubu geri yazma varsayılan davranışını değiştirme

Grup geri yazma, Microsoft Entra Bağlan Sync kullanarak bulut gruplarını şirket içi Active Directory örneğine geri yazmanızı sağlayan bir özelliktir. Varsayılan davranışı aşağıdaki yollarla değiştirebilirsiniz:

  • Yeni oluşturulan Microsoft 365 grupları da dahil olmak üzere yalnızca geri yazma için yapılandırılan gruplar geri yazılır.
  • Grup geri yazma, geçici silme veya Microsoft Entra Id'de sabit silme için devre dışı bırakıldıklarında, geri yazılan gruplar Active Directory'de silinir.
  • 250.000'e kadar üyesi olan Microsoft 365 grupları şirket içinde geri yazılabilir.

Bu makalede, Microsoft Entra Bağlan grubu geri yazmanın varsayılan davranışlarını değiştirme seçeneklerinde size yol gösterilir.

Mevcut dağıtımlar için dikkat edilmesi gerekenler

Ortamınızda grup geri yazma özelliğinin özgün sürümü zaten etkin ve kullanımdaysa, Microsoft 365 gruplarınızın tümü zaten Active Directory'ye geri yazılmıştır. Tüm Microsoft 365 gruplarını devre dışı bırakmak yerine önceden geri yazılmış grupların kullanımını gözden geçirin. Yalnızca şirket içi Active Directory artık gerekli olmayanları devre dışı bırakın.

Yeni Microsoft 365 gruplarının otomatik geri yazmayı devre dışı bırakma

Dizin ayarlarını yeni oluşturulan Microsoft 365 gruplarının otomatik geri yazmayı devre dışı bırakmak üzere yapılandırmak için şu yöntemlerden birini kullanın:

  • PowerShell: Microsoft Graph Beta PowerShell SDK'sını kullanın. Örnek olarak:

      # Import Module
      Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
    
      #Connect to MgGraph with necessary scope
      Connect-MgGraph -Scopes Directory.ReadWrite.All
    
    
      # Verify if "Group.Unified" directory settings exist
      $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
    
      # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
      if ($DirectorySetting) 
      {
        $params = @{
          Values = @(
            @{
              Name = "NewUnifiedGroupWritebackDefault"
              Value = $false
            }
          )
        }
        Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
      }
      else
      {
        # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
        # Import "Group.Unified" template values to a hashtable
        $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
        $TemplateValues = @{}
        $Template.Values | ForEach-Object {
            $TemplateValues.Add($_.Name, $_.DefaultValue)
        }
    
        # Update the value for new unified group writeback default
        $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
    
        # Create a directory setting using the Template values hashtable including the updated value
        $params = @{}
        $params.Add("TemplateId", $Template.Id)
        $params.Add("Values", @())
        $TemplateValues.Keys | ForEach-Object {
            $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
        }
        New-MgBetaDirectorySetting -BodyParameter $params
      }
    

Dekont

PowerShell 7 ile Microsoft Graph PowerShell SDK'sı kullanmanızı öneririz.

Mevcut tüm Microsoft 365 grubu için geri yazmayı devre dışı bırakma

Bu değişikliklerden önce oluşturulan tüm Microsoft 365 gruplarının geri yazmayı devre dışı bırakmak için aşağıdaki yöntemlerden birini kullanın:

  • Portal: Microsoft Entra yönetim merkezini kullanın.

  • PowerShell: Microsoft Graph Beta PowerShell SDK'sını kullanın. Örneğin:

      #Import-module
      Import-Module Microsoft.Graph.Beta
    
      #Connect to MgGraph with necessary scope
      Connect-MgGraph -Scopes Group.ReadWrite.All
    
      #List all Microsoft 365 Groups
      $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
    
      #Disable Microsoft 365 Groups
      Foreach ($group in $Groups) 
      {
        Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
      }
    
  • Microsoft Graph Gezgini: Grup nesnesi kullanın.

Geri yazma için devre dışı bırakılan veya geçici olarak silinen grupları silme

Dekont

Active Directory'de geri yazılan grupları sildikten sonra, geri yazma için yeniden etkinleştirildilerse veya geçici silme durumundan geri yüklendilerse, bu gruplar Active Directory Geri Dönüşüm Kutusu özelliğinden otomatik olarak geri yüklenmez. Yeni gruplar oluşturulur. Geri yazma için yeniden etkinleştirilmeden önce Active Directory Geri Dönüşüm Kutusu'ndan geri yüklenen veya Microsoft Entra Kimliği'nde geçici silme durumundan geri yüklenen silinmiş gruplar, ilgili Microsoft Entra gruplarına eklenir.

  1. Microsoft Entra Bağlan sunucunuzda yönetici olarak bir PowerShell istemi açın.

  2. Microsoft Entra Bağlan Eşitleme zamanlayıcısını devre dışı bırakın:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    
  3. Geri yazma veya geçici silme için devre dışı bırakıldıklarında geri yazılan grupları silmek için Microsoft Entra Bağlan özel eşitleme kuralı oluşturun:

    import-module ADSync 
    $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
    
    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
    -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
    -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
    -Direction 'Inbound' `
    -Precedence $precedenceValue `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
    
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Destination 'reasonFiltered' `
    -FlowType 'Expression' `
    -ValueMergeType 'Update' `
    -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
     -OutVariable syncRule
    
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
    
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
    
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
    -ArgumentList 'cloudAnchor','cloudAnchor',$false `
    -OutVariable condition0
    
    Add-ADSyncJoinConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -JoinConditions @($condition0[0]) `
    -OutVariable syncRule
    
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
    
    Get-ADSyncRule  `
    -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
    
  4. Grup geri yazmayı etkinleştirin.

  5. Microsoft Entra Bağlan Eşitleme zamanlayıcısını etkinleştirin:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

Dekont

Eşitleme kuralının oluşturulması, Microsoft Entra bağlayıcısı üzerinde tam eşitleme true bayrağını olarak ayarlar. Bu değişiklik, kural değişikliklerinin sonraki eşitleme döngüsünde yayılmasına neden olur.

En çok 250.000 üyesi olan Microsoft 365 gruplarını geri yazma

Grup geri yazma etkinleştirildiğinde grup boyutunu sınırlayan varsayılan eşitleme kuralı oluşturulduğundan, grup geri yazmayı etkinleştirdikten sonra aşağıdaki adımları tamamlamanız gerekir:

  1. Microsoft Entra Bağlan sunucunuzda yönetici olarak bir PowerShell istemi açın.

  2. Microsoft Entra Bağlan Eşitleme zamanlayıcısını devre dışı bırakın:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    
  3. Eşitleme kuralı düzenleyicisini açın.

  4. Yönü Giden olarak ayarlayın.

  5. AD - Grup Geri Yazma Üye Sınırı eşitleme kuralını bulun ve devre dışı bırakın.

  6. Microsoft Entra Bağlan Eşitleme zamanlayıcısını etkinleştirin:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    

Dekont

Eşitleme kuralını devre dışı bırakmak, Microsoft Entra bağlayıcısı üzerinde tam eşitleme true bayrağını olarak ayarlar. Bu değişiklik, kural değişikliklerinin sonraki eşitleme döngüsünde yayılmasına neden olur.

Active Directory Geri Dönüşüm Kutusu'ndan geri yükleme

Geri yazma veya geçici silme için devre dışı bırakılan grupları silmek için varsayılan davranışı güncelleştiriyorsanız, şirket içi Active Directory örnekleriniz için Active Directory Geri Dönüşüm Kutusu özelliğini etkinleştirmenizi öneririz. Geri yazma veya geçici silme için yanlışlıkla devre dışı bırakılmışlarsa, ilgili Microsoft Entra gruplarına yeniden katılabilmeleri için daha önce silinmiş Active Directory gruplarını el ile geri yüklemek için bu özelliği kullanabilirsiniz.

Microsoft Entra Id'de geri yazma veya geçici silme işleminden geri yükleme için yeniden etkinleştirmeden önce, önce grubu Active Directory'de geri yüklemeniz gerekir.

Sonraki adımlar