分享方式:


Microsoft Entra 系統管理中心的群組回寫

注意

本文討論如何針對群組回寫,在 Microsoft Entra 系統管理中心執行作業。 如需安裝和設定的相關信息,請參閱 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory (預覽)

隨著布建代理程式 1.1.1370.0 的發行,Cloud Sync 現在能夠直接將群組布建到您的 內部部署的 Active Directory 環境。 透過這項功能,您可以使用身分識別控管功能來管理 Active Directory 型應用程式的存取權。 例如,您可以在 權利管理存取套件中包含群組。 這目前為公開預覽狀態。

如需詳細資訊,請參閱使用 Microsoft Entra ID 控管 (preview) 將布建群組布建至 Active Directory治理以 內部部署的 Active Directory 為基礎的應用程式 (Kerberos)。

重要

2024 年 6 月 30 日 之後,Microsoft Entra Connect 同步中的群組回寫公開預覽版 v2 將不再提供。 這項功能將會在此日期中止,而且連線同步將不再支援您向 Active Directory 布建雲端安全性群組。 此功能將繼續在停產日期以外運作;不過,此日期之後將不再收到支援,而且隨時可能停止運作,而不通知。

我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為群組布建至 Active Directory,您可以加以使用,而不是使用 群組回寫 v2 將雲端安全組布建至 Active Directory。 我們正努力在雲端同步中增強這項功能,以及我們在雲端同步中開發的其他新功能。

在 [連線同步] 中使用此預覽功能的客戶應該 將設定從 [連線同步] 切換至 [雲端同步]。您可以選擇將所有混合式同步移至雲端同步 (如果支援您的需求)。 您也可以並排執行雲端同步,並只將布建至 Active Directory 的雲端安全組移至雲端同步。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶,您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈,評估是否只移至雲端同步。

如果您使用 Microsoft Entra Connect Sync Group Writeback v2,您必須先移至 Cloud Sync 布建至 Active Directory,才能利用 Cloud Sync 群組布建。 如需詳細資訊,請參閱 將 Microsoft Entra Connect Sync Group Writeback v2 遷移至 Microsoft Entra Cloud Sync

注意

如果您先前將Microsoft 365 個群組寫回 內部部署的 Active Directory 為通用通訊群組,它們會出現在 Azure 入口網站 中,因為無法在群組頁面和群組的屬性頁面上啟用回寫。 這些頁面會顯示針對預覽引進的新屬性。 writeback enabled 此屬性不是由目前版本的 Group Writeback 所設定,以確保與舊版群組回寫的回溯相容性,並避免中斷現有的客戶設定。

若要瞭解入口網站中 的行為 No writeback ,您可以透過 Microsoft Graph 檢視回寫狀態。 如需詳細資訊,請參閱取得群組

入口網站 Microsoft Graph 行為
回寫 isEnabled = null 或 true 群組會寫回。
沒有回寫 isEnabled = false 不會寫回群組。
沒有回寫 IsEnabled = null & onPremisesGroupType = null 如果是Microsoft 365 群組,則會寫回 內部部署的 Active Directory 作為通訊群組。
如果是Microsoft Entra 安全組,則會寫回 內部部署的 Active Directory。

根據預設,群組的 群組回寫狀態 會設定為 [無回寫]。 這表示:

  • Microsoft 365 個群組:如果群組是 IsEnabled = nullonPremisesGroupType = null,以確保與舊版群組回寫的回溯相容性,群組會寫回 內部部署的 Active Directory 為通訊群組。
  • Microsoft Entra 安全組:如果群組為 IsEnabled = nullonPremisesGroupType = null,則會將群組寫回 內部部署的 Active Directory。

顯示回寫數據行

在 [所有群組概觀] 頁面上,您可以新增群組回寫數據行目標回寫類型和啟用回寫至檢視。 不論您是否 Microsoft 已在 Entra Connect 中啟用回寫,目標回寫類型和已啟用回寫的數據行都可供檢視使用。

顯示選取 [所有群組] 清單中要回寫之數據行的螢幕快照。

回寫數據行設定

已啟用回寫的數據行可讓您關閉個別群組的回寫功能。 [目標回寫類型] 資料行可讓您指定要將此雲端群組寫回 內部部署的 Active Directory 的群組類型。 針對Microsoft Entra Microsoft 365 群組,您可以將它寫回安全組、通訊群組或啟用郵件功能的安全組。 針對Microsoft Entra 安全組,您只能將其寫回作為安全組。

顯示 [所有群組] 頁面上可見回寫設定數據行的螢幕快照。

群組屬性中的回寫設定

您也可以在群組的屬性頁面上設定群組的回寫設定。 群組 回寫狀態 設定可讓您關閉群組的回寫,或指定回寫群組類型。 未選取回寫時,不會回寫群組。 如果您選取其中一個其他回寫類型作為選項(例如安全性),則您有:

  • 已啟用回寫的群組。
  • 以回寫類型作為安全組的目標。

顯示群組屬性中變更回寫設定的螢幕快照。

使用 PowerShell 讀取回寫組態

您可以使用PowerShell來取得已啟用回寫的群組清單,方法是使用下列PowerShell Get-MgGroup Cmdlet。

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

使用 Graph 總管讀取回寫組態

開啟 Microsoft Graph 總 管,並使用端點 https://graph.microsoft.com/beta/groups/{Group_ID}

將群組標識碼取代為雲端群組標識符,然後選取 [ 執行查詢]。 在 [ 回應預覽] 上,捲動至結尾以查看 JSON 檔案的一部分。

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

下一步