重要说明
自 2024 年 6 月 30 日起,Microsoft Entra Connect 同步中的组写回 v2 公共预览版不再可用。 此功能从此日期开始停止使用,并且 Microsoft Entra Connect 同步不再支持将云安全组预配到 Active Directory。 该功能将在停止使用日期之后继续运行;但是,将不再获得支持,并且可能随时停止运行,恕不另行通知。
我们在 Microsoft Entra 云同步中提供了类似的功能,称为到 Active Directory 的组预配。可以使用该功能来替代使用组写回 v2 将云安全组预配到 Active Directory 的做法。 我们正在努力增强 Microsoft Entra Cloud Sync 的这项功能,以及我们在 Microsoft Entra Cloud Sync 中开发的其他新功能。
在“Microsoft Entra Connect 同步”中使用此预览版功能的客户应将其配置从“Microsoft Entra Connect 同步”切换为“Microsoft Entra 云同步”。可以选择将所有混合同步移动到 Microsoft Entra Cloud Sync(如果它支持你的需求)。 还可以并行运行 Microsoft Entra 云同步,并仅将目标为 Active Directory 的云安全组预配移动到 Microsoft Entra 云同步。
对于将 Microsoft 365 个组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。
可以使用用户同步向导来评估只移动到 Microsoft Entra 云同步的操作。
组写回是一项功能,可用于使用 Microsoft Entra Connect Sync 将云组写回到本地 Active Directory 实例。已弃用使用 Microsoft Entra Connect 的组写回 V2 功能。 如果你正在同步 Microsoft 365 组,使用 Microsoft Entra Connect 的组回写 V1 仍然可以正常工作,因此你应该使用它。 此版本的组写回将被替换为预配到 Active Directory 的 Microsoft Entra 云同步组。 V1 功能将继续工作,直到 Microsoft Entra Cloud Sync 支持同步 Microsoft 365 组。
本文提供信息并指导你如何启用组写回 V1。
重要说明
本文介绍如何使用 Microsoft Entra Connect Sync 启用组写回 V1。只有将Microsoft 365 组预配到 Active Directory 的客户才应使用它。
先决条件和信息
要启用组写回,必须具备:
- 租户的 Microsoft Entra Premium 许可证。
- 在 Exchange 本地组织与 Microsoft 365 之间配置的混合部署,并验证其是否正常运行。
- 本地安装的受支持 Exchange 版本。
- 使用 Microsoft Entra Connect 配置的单一登录。
将组写回 V1 与 Microsoft Entra Connect Sync 配合使用时,请考虑以下信息:
- 可以将包含至多 250,000 个成员的 Microsoft 365 组写回本地。
- 如果不想将所有现有Microsoft 365 组写回 Active Directory,请在执行本文中的步骤以启用该功能之前更改组写回默认行为。 有关详细信息,请参阅 “修改Microsoft 365 组。
启用组写回
要启用组写回,请执行以下步骤:
打开 Microsoft Entra Connect 向导,选择“ 配置”,然后选择“ 下一步”。
选择“ 自定义同步选项 ”,然后选择“ 下一步”。
在“连接到 Azure AD”页上输入凭据。 选择“下一步”。
在“可选功能”页上,验证先前配置的选项是否仍然处于选中状态。
选择“组写回”,然后选择“下一步”。
在“组写回”页上,选择 Active Directory 组织单位,以存储从 Microsoft 365 同步到本地组织的对象。 然后选择下一步。
要更轻松地查找从 Microsoft Entra ID 写回到 Active Directory 的组,请选择“带云显示名称的写回组可分辨名称”选项:
默认格式:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com新格式:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
当您配置组写回功能时,配置窗口底部会显示一个复选框。 选中该框可启用此功能。
从 Microsoft Entra ID 写回 Active Directory 的组在云中拥有授权源。 在本地对从 Microsoft Entra ID 写回的组所做的任何更改将在下一个同步周期中被覆盖。
在“已准备好进行配置”页上,选择“配置”。
向导完成后,在 “配置完成 ”页上,选择“ 退出”。
在 Microsoft Entra Connect 服务器上以管理员身份打开 Windows PowerShell,并运行以下命令:
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
有关如何配置 Microsoft 365 组的详细信息,请参阅 使用本地 Exchange 混合配置Microsoft 365 组。
禁用组写回
要禁用组写回,请执行以下步骤:
打开 Microsoft Entra Connect 向导,并转到 “其他任务 ”页。 选择“ 自定义同步选项”任务 ,然后选择“ 下一步”。
在“可选功能”页上,清除“组写回”复选框。 警告提示您即将删除群组。 选择 “是”。
禁用组写回时,以前使用此功能创建的任何组将从下一个同步周期的本地 Active Directory 实例中删除。
选择“下一步”。
选择配置。
禁用组写回会将 Microsoft Entra Connector 上的 Full Import 和 Full Synchronization 标志设置为 true。 规则更改将在整个下一个同步周期中传播,并删除以前写回 Active Directory 的组。
修改 Microsoft 365 组的默认行为
以下部分提供有关如何修改 Microsoft 365 组的默认行为的指导。
写回包含至多 250,000 个成员的 Microsoft 365 组
由于限制组大小的默认同步规则是在启用组写回时创建的,因此在启用组写回后必须完成以下步骤:
在 Microsoft Entra Connect 服务器上,以管理员身份打开 PowerShell 提示。
禁用 Microsoft Entra Connect 同步计划程序:
Set-ADSyncScheduler -SyncCycleEnabled $false打开 同步规则编辑器。
将方向设置为“出站”。
查找并禁用“传出到 AD - 组写回成员限制”同步规则。
启用 Microsoft Entra Connect 同步计划程序:
Set-ADSyncScheduler -SyncCycleEnabled $true
禁用同步规则会在 Microsoft Entra Connector 上将完全同步标志设置为 true。 此更改会导致规则更改在下一个同步周期中传播。