将 Microsoft Entra Connect Sync 组写回 V2 迁移到 Microsoft Entra 云同步

重要

2024 年 6 月 30 日之后，Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用，Connect Sync 不再支持将云安全组预配到 Active Directory。

我们在 Microsoft Entra Cloud Sync 中提供了类似的功能，称为将组预配到 Active Directory，可以用来代替使用组写回 V2 将云安全组预配到 Active Directory。 我们正致力于在 Cloud Sync 中增强此功能，并增强我们在 Cloud Sync 中开发的其他新功能。

在 Connect Sync 中使用此预览功能的客户应将其配置从 Connect Sync 切换到 Cloud Sync。可以选择将所有混合同步移动到 Cloud Sync（如果其支持这种需求）。 还可以并行运行 Cloud Sync，并仅将云安全组预配移动到 Cloud Sync 中的 Active Directory。

对于将 Microsoft 365 组预配到 Active Directory 的客户，可以继续使用组写回 v1 实现此功能。

可以通过使用用户同步向导来评估只移动到 Cloud Sync 的操作。

以下文档介绍如何使用 Microsoft Entra Connect Sync（以前称为 Azure AD Connect）将组写回迁移到 Microsoft Entra Cloud Sync。此方案仅适用于当前使用 Microsoft Entra Connect 组写回 v2 的客户。 本文档中概述的过程仅适用于使用通用范围写回的云创建的安全组。 不支持使用 Microsoft Entra Connect 组写回 V1 或 V2 写回的启用邮件的组和 DL。

重要

此方案仅适用于当前使用 Microsoft Entra Connect 组写回 v2 的客户

此外，仅以下项支持此方案：

• 云创建的安全组
• 这些组以通用 AD 组范围写回。

不支持使用 Microsoft Entra Connect 组写回 V1 或 V2 写回的启用邮件的组和 DL。

有关详细信息，请参阅使用 Microsoft Entra 云同步预配到 Active Directory 常见问题解答。

先决条件

实现此方案需要满足以下先决条件。

• 至少具有混合标识管理员角色的 Microsoft Entra 帐户。
• 至少具有域管理员权限的本地 AD 帐户 - 访问 adminDescription 属性并将其复制到 msDS-ExternalDirectoryObjectId 属性所必需的
• 具有 Windows Server 2016 操作系统或更高版本的本地 Active Directory 域服务环境。
  • AD 架构属性所需 - msDS-ExternalDirectoryObjectId
• 使用内部版本 1.1.1367.0 或更高版本预配代理。
• 预配代理必须能够与端口 TCP/389 (LDAP) 和 TCP/3268（全局目录）上的域控制器通信。
  • 全局目录查找需要筛选出无效的成员身份引用

写回的组的命名约定

Microsoft Entra Connect Sync 在写回命名组时使用以下格式。

• 默认格式：CN=Group_<guid>,OU=<容器>,DC=<域组件>,DC=<域组件>
• 示例：CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

为了更轻松地查找从 Microsoft Entra ID 写回到 Active Directory 的组，Microsoft Entra Connect Sync 添加了一个选项，使用云显示名称来写回组可分辨名称。 为此，请在初始设置组写回 v2 期间选择“带云显示名称的写回组可分辨名称”。 如果此功能未启用，将使用默认格式。

如果“带云显示名称的写回组可分辨名称”功能已启用，Microsoft Entra Connect 将使用以下格式。

• 新格式：CN=<显示名称>_<对象 ID 的最后 12 位数字>,OU=<容器>,DC=<域组件>,DC=<域组件>
• 示例：CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

迁移时，云同步将使用新格式。 “带云显示名称的写回组可分辨名称”功能是否启用无关紧要。

重要

如果使用默认的 Microsoft Entra Connect 命名，然后迁移该组以便由 Microsoft Entra 云同步管理，它会将该组重命名为新格式。 在下一部分中，允许 Microsoft Entra 云同步使用旧格式。

使用默认格式

如果希望云同步使用默认格式，需要修改 CN 属性的属性流表达式。 映射的默认值为：

表达式	语法	说明
默认表达式	Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	Microsoft Entra 云同步使用的默认表达式。
新表达式	Append("Group_", [objectId])	使用这个新表达式，可以使用 Microsoft Entra Connect 所用的默认格式。

有关详细信息，请参阅添加属性映射 - Microsoft Entra ID 到 Active Directory

步骤 1 - 将 adminDescription 复制到 msDS-ExternalDirectoryObjectID

1. 在本地环境中，打开 ADSI Edit。

2. 复制组的 adminDescription 属性中的值

   

3. 粘贴到 msDS-ExternalDirectoryObjectID 属性

   

以下 PowerShell 脚本可用于帮助自动执行此步骤。 此脚本将获取 OU=Groups,DC=Contoso,DC=com 容器中的所有组，并将 adminDescription 属性值复制到 msDS-ExternalDirectoryObjectID 属性值。

    Import-module ActiveDirectory

   $groups = Get-ADGroup -Filter * -SearchBase "OU=Groups,DC=Contoso,DC=com" -Properties * | Where-Object {$_.adminDescription -ne $null} |
      Select-Object Samaccountname, adminDescription, msDS-ExternalDirectoryObjectID

   foreach ($group in $groups) 
    {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
    } 

步骤 2 - 将 Microsoft Entra Connect Sync 服务器置于暂存模式并禁用同步计划程序

1. 启动 Microsoft Entra Connect Sync 向导

2. 单击“配置”。

3. 选择“配置暂存模式”，然后单击“下一步”

4. 输入 Microsoft Entra 凭据

5. 勾选“启用暂存模式”框，然后单击“下一步”

   

6. 单击“配置”。

7. 单击“退出”

   

8. 在 Microsoft Entra Connect 服务器上，以管理员身份打开 PowerShell 提示。

9. 禁用同步计划程序：

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

步骤 3 - 创建自定义组入站规则

在 Microsoft Entra Connect Synchronization Rules 编辑器中，需要创建一个入站同步规则，用于筛选掉邮件属性为 NULL 的组。 入站同步规则是目标属性为 cloudNoFlow 的联接规则。 此规则将告知 Microsoft Entra Connect 不要同步这些组的属性。

1. 从桌面上的应用程序菜单启动同步编辑器，如下所示：

2. 在“方向”下拉列表中选择“入站”，然后选择“添加新规则”。

3. 在“说明”页上，输入以下内容并选择“下一步”：

   • 名称： 为规则指定一个有意义的名称

   • 说明： 添加有意义的说明

   • 连接的系统：选择要为其编写自定义同步规则的 Microsoft Entra 连接器

   • 连接的系统对象类型：组

   • Metaverse 对象类型：组

   • 链接类型： 联接

   • 优先级：提供在系统中唯一的值。 建议小于 100，以便优先于默认规则。

   • 标记：留空

     

4. 在范围筛选器页上，添加以下内容，然后选择“下一步”。

   属性	操作员	值
   cloudMastered	EQUAL	是
   mail	ISNULL

   

5. 在“联接”规则页上，选择“下一步”。

6. 在“转换”页上添加一个“常量”转换：将 True 流送到 cloudNoFlow 属性。 选择 添加 。

   

步骤 4 - 创建自定义组出站规则

还需要一个链接类型为 JoinNoFlow 的出站同步规则，以及将 cloudNoFlow 属性设置为 True 的范围筛选器。 此规则将告知 Microsoft Entra Connect 不要同步这些组的属性。

1. 在“方向”下拉列表中选择“出站”，然后选择“添加规则”。

2. 在“说明”页上，输入以下内容并选择“下一步”：

   • 名称： 为规则指定一个有意义的名称
   • 说明： 添加有意义的说明
   • 连接的系统：选择要为其编写自定义同步规则的 AD 连接器
   • 连接的系统对象类型：组
   • Metaverse 对象类型：组
   • 链接类型： JoinNoFlow
   • 优先级：提供在系统中唯一的值。 建议小于 100，以便优先于默认规则。
   • 标记：留空

   

3. 在“范围筛选器”页上，选择“cloudNoFlow”、“等于”、“True”。 然后，选择“下一步”。

   

4. 在“联接”规则页上，选择“下一步”。

5. 在“转换”页上选择“添加”。

步骤 5 - 使用 PowerShell 完成配置

1. 在 Microsoft Entra Connect 服务器上，以管理员身份打开 PowerShell 提示。

2. 导入 ADSync 模块：

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. 运行完全同步周期：

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. 为租户禁用组写回功能：

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. 运行完全同步周期（再次）：

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. 重新启用同步计划程序：

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

步骤 6 - 通过暂存模式删除 Microsoft Entra Connect Sync 服务器

1. 启动 Microsoft Entra Connect Sync 向导
2. 单击“配置”。
3. 选择“配置暂存模式”，然后单击“下一步”
4. 输入 Microsoft Entra 凭据
5. 取消勾选“启用暂存模式”框，然后单击“下一步”
6. 单击“配置”。
7. 单击“退出”

步骤 7 - 配置 Microsoft Entra Cloud Sync

成功从 Microsoft Entra Connect Sync 范围中删除组后，可以设置并配置 Microsoft Entra Cloud Sync 以接管同步。 请参阅使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory。

后续步骤

• 使用 Microsoft Entra Cloud Sync 将组预配到 Active Directory
• 使用 Microsoft Entra ID 治理来治理基于本地 Active Directory 的应用 (Kerberos)
• 使用 Microsoft Entra 云同步预配到 Active Directory 常见问题解答