啟用 Microsoft Entra Connect 群組回寫

重要

在 2024 年 6 月 30 日 之後，Microsoft Entra Connect 同步中的群組回寫公開預覽版 v2 將不再提供。 這項功能將會在此日期中止，而且連線同步將不再支援您向 Active Directory 布建雲端安全性群組。 此功能將繼續在停產日期以外運作;不過，此日期之後將不再收到支援，而且隨時可能停止運作，而不通知。

我們會在 Microsoft Entra 雲端同步中提供類似的功能，稱為群組布建至 Active Directory，您可以加以使用，而不是使用 群組回寫 v2 將雲端安全組布建至 Active Directory。 我們正努力在雲端同步中增強這項功能，以及我們在雲端同步中開發的其他新功能。

在 [連線同步] 中使用此預覽功能的客戶應該 將設定從 [連線同步] 切換至 [雲端同步]。您可以選擇將所有混合式同步移至雲端同步 (如果支援您的需求)。 您也可以並排執行雲端同步，並只將布建至 Active Directory 的雲端安全組移至雲端同步。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶，您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈，評估是否只移至雲端同步。

群組回寫是一個功能，可讓您使用 Microsoft Entra Connect 同步，將雲端群組回寫到您的內部部署的 Active Directory 執行個體。

此文章將逐步引導您啟用群組回寫。

部署步驟

群組回寫需要同時啟用原始和新版本的功能。 如果您先前已在環境中啟用原始版本，則您只需使用下列第一組步驟，因為第二組步驟已經完成。

注意

建議您遵循變換移轉方法，在您的環境中推出新的群組回寫功能。 如果必須進行重大復原，此方法將提供清楚的應變計劃。

增強的群組回寫功能會在租用戶上啟用，而不是針對每個 Microsoft Entra Connect 用戶端執行個體啟用。 請確定所有 Microsoft Entra Connect 用戶端執行個體都會更新為最低組建版本 1.6.4.0 或更新版本。

注意

如果您不想將所有現有的 Microsoft 365 群組回寫至 Active Directory，您需要先變更群組回寫預設行為，再執行本文中的步驟來啟用此功能。 請參閱修改 Microsoft Entra Connect 群組回寫預設行為。 此外，還需要按照記錄的順序啟用該功能的新版本和原始版本。 如果先啟用原始功能，所有現有的 Microsoft 365 群組都會寫回 Active Directory。

使用 PowerShell 啟用群組回寫

1. 在 Microsoft Entra Connect 伺服器上，以管理員身分開啟 PowerShell 提示。

2. 當您確認沒有任何同步作業正在執行之後，停用同步排程器：

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. 匯入 ADSync 模組：

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. 啟用租用戶的群組回寫功能：

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. 重新啟用同步排程器：

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. 如果先前已設定群組回寫，且不會在 Microsoft Entra Connect 精靈中加以設定，請執行完整同步週期：

   Start-ADSyncSyncCycle -PolicyType Initial
   

使用 Microsoft Entra Connect 精靈啟用群組回寫

如果先前並未啟用原始版本的群組回寫，請繼續進行下列步驟：

1. 在您的 Microsoft Entra Connect 伺服器上，開啟 Microsoft Entra Connect 精靈。
2. 選取 [設定]，然後選取 [下一步]。
3. 選取 [自訂同步處理選項]，然後選取 [下一步]。
4. 在 [連線至 Azure AD] 頁面上，輸入您的認證。 選取 [下一步]。
5. 在 [選用功能] 頁面上，確認仍選取先前所設定的選項。
6. 選取 [群組回寫]，然後選取 [下一步]。
7. 在 [回寫] 頁面上，選取 Active Directory 組織單位 (OU)，將已從 Microsoft 365 同步的物件儲存至您的內部部署組織。 選取 [下一步]。
8. 在 [準備設定] 頁面上，選取 [設定]。
9. 在 [設定完成] 頁面上，選取 [結束]。

當您完成此程序之後，即會自動設定群組回寫。 如果您在將物件匯出至 Active Directory 時遇到權限問題，請以 Microsoft Entra Connect 伺服器上的管理員身分開啟 Windows PowerShell。 然後執行下列命令。 此為選用步驟。

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

選用設定

若要更輕鬆地尋找從 Microsoft Entra ID 回寫到 Active Directory 的群組，您可以選擇使用雲端顯示名稱來回寫群組辨別名稱：

• 預設格式：CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• 新格式：CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

當您設定群組回寫時，設定視窗底部會出現一個核取方塊。 選取該核取方塊以啟用此功能。

注意

從 Microsoft Entra ID 回寫到 Active Directory 的群組，將在雲端中擁有一個授權來源。 對於從 Microsoft Entra ID 回寫的群組所做的任何內部部署變更，都將在下一個同步週期加以覆寫。

下一步

• Microsoft Entra Connect 群組回寫
• 修改 Microsoft Entra Connect 群組回寫預設行為
• 停用 Microsoft Entra Connect 群組回寫