啟用 Microsoft Entra 連線 群組回寫

重要

Microsoft Entra 連線 Sync 中群組回寫 v2 的公開預覽將於 2024 年 6 月 30 日之後再推出。 這項功能將會在此日期終止，而且您將不再支援 連線 Sync 將雲端安全組布建至 Active Directory。

我們在 Microsoft Entra Cloud Sync 中提供類似的功能，稱為 「群組布建至 Active Directory 」，您可以使用此功能，而不是將雲端安全組布建至 Active Directory 的群組回寫 v2。 我們正努力在 Cloud Sync 中增強這項功能，以及我們在 Cloud Sync 中開發的其他新功能。

在 連線 Sync 中使用這項預覽功能的客戶，應將其設定從 連線 Sync 切換至 Cloud Sync。您可以選擇將所有混合式同步移至 Cloud Sync（如果支援您的需求）。 您也可以並存執行 Cloud Sync，並只將雲端安全組布建至 Active Directory 移至 Cloud Sync。

對於將 Microsoft 365 群組布建至 Active Directory 的客戶，您可以繼續使用群組回寫 v1 來進行這項功能。

您可以使用使用者同步處理精靈，以獨佔方式評估移至 Cloud Sync。

群組回寫是一項功能，可讓您使用 Microsoft Entra 連線 Sync，將雲端群組寫回您的 內部部署的 Active Directory 實例。

本文將逐步引導您啟用群組回寫。

部署步驟

群組回寫需要同時啟用功能的原始和新版本。 如果您先前已在環境中啟用原始版本，您只需要使用下列步驟的第一組，因為第二組步驟已經完成。

注意

建議您遵循 擺動移轉 方法，在您的環境中推出新的群組回寫功能。 如果需要重大回復，這個方法會提供明確的應變計劃。

增強的群組回寫功能會在租用戶上啟用，而不是每個 Microsoft Entra 連線 客戶端實例。 請確定所有 Microsoft Entra 連線 客戶端實例都會更新為最低組建版本 1.6.4.0 或更新版本。

注意

如果您不想將所有現有的 Microsoft 365 群組回寫至 Active Directory，您需要先變更群組回寫預設行為，再執行本文中的步驟來啟用此功能。 請參閱修改 Microsoft Entra 連線 群組回寫預設行為。 此外，必須在記載的順序中啟用新功能和原始版本。 如果先啟用原始功能，所有現有的 Microsoft 365 群組都會寫回 Active Directory。

使用 PowerShell 啟用群組回寫

1. 在您的 Microsoft Entra 連線 伺服器上，以系統管理員身分開啟 PowerShell 提示字元。

2. 確認未執行同步處理作業之後，請停用同步排程器：

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. 匯入 ADSync 模組：

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. 啟用租使用者的群組回寫功能：

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. 重新啟用同步排程器：

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. 如果先前已設定群組回寫，且不會在 Microsoft Entra 連線 精靈中設定，請執行完整同步處理迴圈：

   Start-ADSyncSyncCycle -PolicyType Initial
   

使用 Microsoft Entra 連線 精靈啟用群組回寫

如果先前未啟用群組回寫的原始版本，請繼續進行下列步驟：

1. 在您的 Microsoft Entra 連線 伺服器上，開啟 Microsoft Entra 連線 精靈。
2. 選取 [ 設定]，然後選取 [ 下一步]。
3. 選取 [ 自定義同步處理選項]，然後選取 [ 下一步]。
4. 在 [連線 至 Microsoft Entra ID] 頁面上，輸入您的認證。 選取 [下一步] 。
5. 在 [ 選用功能] 頁面上，確認您先前設定的選項仍已選取。
6. 選取 [ 群組回寫]，然後選取 [ 下一步]。
7. 在 [ 回 寫] 頁面上，選取 Active Directory 組織單位（OU），以儲存從 Microsoft 365 同步處理到內部部署組織的物件。 選取 [下一步] 。
8. 在 [ 準備設定] 頁面上，選取 [ 設定]。
9. 在 [ 組態完成 ] 頁面上，選取 [ 結束]。

完成此程序之後，會自動設定群組回寫。 如果您在將對象匯出至 Active Directory 時遇到許可權問題，請以 Microsoft Entra 連線 伺服器上的系統管理員身分開啟 Windows PowerShell。 然後執行下列命令。 此步驟是選擇性的。

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

選擇性設定

若要更輕鬆地從 Microsoft Entra ID 寫回至 Active Directory 的群組，您可以選擇使用雲端顯示名稱來回寫群組辨別名稱：

• 預設格式： CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• 新格式： CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

當您設定群組回寫時，組態視窗底部會出現一個複選框。 選取此功能以啟用此功能。

注意

從 Microsoft Entra 識別碼寫回至 Active Directory 的群組，將會在雲端中擁有授權來源。 在內部部署對從 Microsoft Entra ID 回寫的群組所做的任何變更，都將在下一個同步處理週期中覆寫。

下一步

• Microsoft Entra Connect 群組回寫
• 修改 Microsoft Entra 連線 群組回寫預設行為
• 停用 Microsoft Entra 連線 群組回寫