Microsoft Entra 系統管理中心的群組回寫

  • 發行項

注意

本文討論如何在 Microsoft Entra 系統管理中心中針對群組回寫執行作業。 如需設定和設定的相關信息,請參閱 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory (預覽)

隨著布建代理程式 1.1.1370.0 的發行,Cloud Sync 現在能夠將群組直接布建到您的 內部部署的 Active Directory 環境。 透過這項功能,您可以使用身分識別控管功能來管理 Active Directory 型應用程式的存取權。 例如,您可以在 權利管理存取套件中包含群組。 這目前為公開預覽狀態。

如需詳細資訊,請參閱使用 Microsoft Entra ID 控管 (preview) 將布建群組布建至 Active Directory治理以 內部部署的 Active Directory 為基礎的應用程式 (Kerberos)。

重要

Microsoft Entra 連線 Sync 中群組回寫 v2 的公開預覽,在 2024 年 6 月 30 日之後將不再提供。 這項功能將會在此日期停止,而且您將不再支援在 連線 Sync 中將雲端安全組布建至 Active Directory。

我們在 Microsoft Entra Cloud Sync 中提供類似的功能,稱為 「群組布建至 Active Directory 」,您可以使用此功能,而不是將雲端安全組布建至 Active Directory 的群組回寫 v2。 我們正努力在 Cloud Sync 中增強這項功能,以及我們在 Cloud Sync 中開發的其他新功能。

在 連線 Sync 中使用這項預覽功能的客戶,應將其設定從 連線 Sync 切換至 Cloud Sync。您可以選擇將所有混合式同步移至 Cloud Sync(如果支援您的需求)。 您也可以並存執行 Cloud Sync,並只將雲端安全組布建至 Active Directory 移至 Cloud Sync。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶,您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈,以獨佔方式評估移至 Cloud Sync

如果您使用 Microsoft Entra 連線 Sync Group Writeback v2,您必須先移至 Cloud Sync 布建至 Active Directory,才能利用 Cloud Sync 群組布建。 如需詳細資訊,請參閱將 Microsoft Entra 連線 Sync Group Writeback v2 遷移至 Microsoft Entra Cloud Sync

注意

如果您先前將 Microsoft 365 群組寫回 內部部署的 Active Directory 為通用通訊群組,它們會出現在 [群組] 頁面和群組的屬性頁面上未啟用回寫的 Azure 入口網站 中。 這些頁面會顯示針對預覽引進的新屬性。 writeback enabled 此屬性不是由目前版本的 Group Writeback 所設定,以確保與舊版群組回寫的回溯相容性,並避免中斷現有的客戶設定。

若要瞭解入口網站中 的行為 No writeback ,您可以透過 Microsoft Graph 檢視回寫狀態。 如需詳細資訊,請參閱 取得群組

入口網站 Microsoft Graph 行為
回寫 isEnabled = null 或 true 群組會寫回。
沒有回寫 isEnabled = false 不會寫回群組。
沒有回寫 IsEnabled = null & onPremisesGroupType = null 如果是 Microsoft 365 群組,則會寫回 內部部署的 Active Directory 為通訊群組。
如果是 Microsoft Entra 安全組,則會寫回 內部部署的 Active Directory。

根據預設,群組的 群組回寫狀態 會設定為 [無回寫]。 這表示:

  • Microsoft 365 群組:如果群組是 IsEnabled = nullonPremisesGroupType = null,若要確保與舊版群組回寫的回溯相容性,群組會寫回為通訊群組 內部部署的 Active Directory。
  • Microsoft Entra 安全組:如果群組為 IsEnabled = nullonPremisesGroupType = null,則會將群組寫回 內部部署的 Active Directory。

顯示回寫數據行

在 [所有群組概觀] 頁面上,您可以新增群組回寫數據行目標回寫類型和啟用回寫至檢視。 不論您是否已在 Microsoft Entra 連線 中啟用回寫,目標回寫類型和已啟用回寫的數據行都可供檢視使用。

Screenshot that shows selecting columns for writeback in the All groups list.

回寫數據行設定

已啟用回寫的數據行可讓您關閉個別群組的回寫功能。 [目標回寫類型] 資料行可讓您指定要將此雲端群組寫回 內部部署的 Active Directory 的群組類型。 針對 Microsoft Entra Microsoft 365 群組,您可以將它寫回為安全組、通訊群組或啟用郵件功能的安全組。 針對 Microsoft Entra 安全組,您只能將它寫回作為安全組。

Screenshot that shows writeback settings columns that are visible on the All groups page.

群組屬性中的回寫設定

您也可以在群組的屬性頁面上設定群組的回寫設定。 群組 回寫狀態 設定可讓您關閉群組的回寫,或指定回寫群組類型。 未選取回寫時,不會回寫群組。 如果您選取其中一個其他回寫類型作為選項(例如安全性),則您有:

  • 已啟用回寫的群組。
  • 以回寫類型作為安全組的目標。

Screenshot that shows changing writeback settings in the group properties.

使用 PowerShell 讀取回寫組態

您可以使用PowerShell來取得已啟用回寫的群組清單,方法是使用下列PowerShell Get-MgGroup Cmdlet。

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

使用 Graph 總管讀取回寫組態

開啟 Microsoft Graph 總管 ,並使用端點 https://graph.microsoft.com/beta/groups/{Group_ID}

將群組標識碼取代為雲端群組標識符,然後選取 [ 執行查詢]。 在 [ 回應預覽] 上,捲動至結尾以查看 JSON 檔案的一部分。

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

下一步