將 Microsoft Entra Connect Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync
重要
在 2024 年 6 月 30 日之後,Microsoft Entra Connect 同步將不再提供群組回寫 v2 的公開預覽版。 這項功能將會在此日期中止,而且 Connect 同步也不再支援將雲端安全性群組佈建至 Active Directory。 此功能將繼續在停產日期以外運作;不過,此日期之後將不再收到支援,而且隨時可能停止運作,而不通知。
我們會在 Microsoft Entra 雲端同步中提供類似的功能,稱為將群組佈建至 Active Directory,您可以利用此功能來取代使用群組回寫 v2 將雲端安全性群組佈建至 Active Directory。 我們正努力在雲端同步中增強這項功能,以及我們在雲端同步中開發的其他新功能。
在 Connect 同步中使用此預覽功能的客戶,應該將其設定從 Connect 同步切換至雲端同步。您可以選擇將所有混合式同步移至雲端同步 (如果其支援您的需求)。 也可以並排執行雲端同步,並只將佈建至 Active Directory 的雲端安全性群組移至雲端同步。
對於將 Microsoft 365 群組佈建至 Active Directory 的客戶,可以繼續使用群組回寫 v1 來執行這項功能。
您可以使用使用者同步處理精靈,以獨佔方式評估移至 Cloud Sync。
下列文件說明如何使用 Microsoft Entra Connect Sync (先前稱為 Azure AD Connect) 將群組回寫遷移至 Microsoft Entra Cloud Sync。此案例僅適用於目前使用 Microsoft Entra Connect 群組回寫 v2 的客戶。 本文件中概述的程序僅適用於以通用範圍寫回的雲端建立安全性群組。
重要
此案例僅適用於目前使用 Microsoft Entra Connect Group Writeback v2 的客戶
此外,只有下列項目才支援此案例:
使用 Microsoft Entra Connect 群組回寫 V1 或 V2 所寫的郵件啟用群組和 DLL 不適用於此案例,而且不會受到此移轉的影響。 如需詳細資訊,請參閱使用 Microsoft Entra Cloud Sync 佈建至 Active Directory 常見問題集。
必要條件
實作此案例需要下列必要條件。
- 至少具有 [混合式身分識別系統管理員] 角色的 Microsoft Entra 帳戶。
- 具有至少網域系統管理員權限的內部部署 AD 帳戶 - 存取 adminDescription 屬性並複製到 msDS-ExternalDirectoryObjectId 屬性需要此權限
- 具有 Windows Server 2016 操作系統或更新版本的內部部署 Active Directory Domain Services 環境。
- AD 結構描述的必要屬性 - msDS-ExternalDirectoryObjectId
- 使用組建 1.1.1367.0 版或更新版本的佈建代理程式。
- 佈建代理程式必須能夠與連接埠 TCP/389 (LDAP) 和 TCP/3268 (通用類別目錄) 上的網域控制器通訊。
- 需要進行通用類別目錄查詢,篩選掉無效成員資格參考
寫回群組的命名慣例
根據預設,當回寫命名群組時,Microsoft Entra Connect Sync 會使用下列格式。
預設格式:CN=Group_<guid>、OU=<容器>、DC=<網域元件>、DC=<網域元件>
範例:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271、OU=WritebackContainer、DC=domain、DC=com
若要更輕鬆地尋找從 Microsoft Entra ID 寫回 Active Directory 的群組,Microsoft Entra Connect Sync 新增了一個選項,可使用雲端顯示名稱來回寫組名。 這是藉由在群組回寫 v2 的初始設定期間,選取 [回寫群組辨別名稱與雲端顯示名稱] 來完成。 如果啟用此功能,Microsoft Entra Connect 會使用下列新格式,而不是預設格式:
新格式:CN=<顯示名稱>_<最後 12 位數的物件識別碼>,OU=<容器>,DC=<網域元件>,DC=<網域元件>
範例:CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
重要
根據預設,Microsoft Entra 雲端同步會使用新的格式,即使未在 Microsoft Entra Connect 同步中啟用回寫群組辨別名稱與雲端顯示名稱功能也一樣。如果您使用預設Microsoft Entra Connect 同步命名,然後移轉群組,使其由 Microsoft Entra 雲端同步管理,群組會重新命名為新的格式。 使用下一節,允許Microsoft Entra 雲端同步處理使用來自 entra Connect Microsoft 的預設格式。
使用預設格式
如果您想要雲端同步處理使用與 Microsoft Entra Connect Sync 相同的預設格式,您必須修改 CN 屬性的屬性流程表達式。 這兩個可能的對應如下:
| 運算是 | 語法 | 描述 |
|---|---|---|
| 使用 DisplayName 的雲端同步預設表達式 | Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) | Microsoft Entra 雲端同步所使用的預設運算式(也就是新格式) |
| 雲端同步新表示式而不使用 DisplayName | Append("Group_", [objectId]) | 要從 entra Connect Sync 使用預設格式的新表達式Microsoft。 |
如需詳細資訊,請參閱 將屬性對應 - Microsoft Entra ID 新增至 Active Directory
步驟 1 - 將 adminDescription 複製到 msDS-ExternalDirectoryObjectID
若要驗證群組成員資格參考,Microsoft Entra Cloud Sync 必須查詢 msDS-ExternalDirectoryObjectID 屬性的 Active Directory 全域編錄。 這是索引屬性,可在Active Directory 樹系內的所有全域編錄中複寫。
在您的內部部署環境中,開啟 ADSI 編輯。
複製群組 adminDescription 屬性中的值
貼上 msDS-ExternalDirectoryObjectID 屬性
下列 PowerShell 指令碼可用於協助將此步驟自動化。 此腳本會採用 OU=Groups,DC=Contoso,DC=com 容器中的所有群組,並將 adminDescription 屬性值複製到 msDS-ExternalDirectoryObjectID 屬性值。 使用此腳本之前,請使用群組回寫目標組織單位 (OU) 的 DistinguishedName 來更新變數 $gwbOU 。
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
Import-module ActiveDirectory
$properties = @('Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
步驟 2 - 將 Microsoft Entra Connect Sync 伺服器置於預備模式,並停用同步排程器
啟動 Microsoft Entra Connect Sync 精靈
按一下 [設定]
選取 [設定預備模式],然後按 [下一步]
輸入 Microsoft Entra 認證
勾選 [啟用預備模式] 方塊,然後按 [下一步]
按一下 [設定]
按一下 [結束]
在 Microsoft Entra Connect 伺服器上,以管理員身分開啟 PowerShell 提示。
停用同步排程器:
Set-ADSyncScheduler -SyncCycleEnabled $false
步驟 3 - 建立自訂群組輸入規則
在 [Microsoft Entra Connect 同步處理規則編輯器] 中,您需要建立輸入同步處理規則,以篩選出 mail 屬性為 NULL 的群組。 輸入同步處理規則是具有 cloudNoFlow 目標屬性的聯結規則。 此規則會告知 Microsoft Entra Connect 不要同步處理這些群組的屬性。
從 [開始] 選單啟動 [ 同步處理規則編輯器 ]。
在下拉式清單中,針對 [方向] 選取 [輸入],然後選取 [新增規則]。
在 [描述] 頁面上輸入下列項目,然後選取 [下一步]:
名稱:為規則指定有意義的名稱
描述:新增有意義的描述
連線系統:選擇您要為其撰寫自訂同步規則的 Microsoft Entra 連接器
連線系統物件類型:群組
Metaverse 物件類型:群組
連結類型:聯結
優先順序︰提供在系統中是唯一的值。 建議低於100,使其優先於默認規則。
標籤:保留空白
在 [範圍篩選] 頁面上,新增 下列內容,然後選取 [下一步]。
屬性 運算子 值 cloudMastered 等於 true mail ISNULL 
在 [加入規則] 頁面上,選取 [下一步]。
在 [轉換] 頁面上,將常數 transformation: flow True 新增至 cloudNoFlow 屬性。 選取 [新增]。
步驟 4 - 建立自訂群組輸出規則
您也需要具有 JoinNoFlow 連結類型的輸出同步處理規則,以及將 cloudNoFlow 屬性設定為 True 的範圍篩選。 此規則會告知 Microsoft Entra Connect 不要同步處理這些群組的屬性。
在下拉式清單中,針對 [方向] 選取 [輸出],然後選取 [新增規則]。
在 [描述] 頁面上輸入下列項目,然後選取 [下一步]:
- 名稱:為規則指定有意義的名稱
- 描述:新增有意義的描述
- 連線系統:選擇您要為其撰寫自訂同步規則的 AD 連接器
- 連線系統物件類型:群組
- Metaverse 物件類型:群組
- 連結類型:JoinNoFlow
- 優先順序︰提供在系統中是唯一的值。 建議低於100,使其優先於默認規則。
- 標籤:保留空白
在 [範圍篩選] 頁面上,選擇 [cloudNoFlow] 等於 [True]。 然後選取下一步。
在 [加入規則] 頁面上,選取 [下一步]。
在 [轉換] 頁面上,選取 [新增]。
步驟 5 - 使用 PowerShell 完成設定
在 Microsoft Entra Connect 伺服器上,以管理員身分開啟 PowerShell 提示。
匯入 ADSync 模組:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'執行完整同步處理週期:
Start-ADSyncSyncCycle -PolicyType Initial停用租用戶的群組回寫功能:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false執行完整同步處理週期 (再次是):
Start-ADSyncSyncCycle -PolicyType Initial重新啟用同步排程器:
Set-ADSyncScheduler -SyncCycleEnabled $true
步驟 6 - 從預備模式移除 Microsoft Entra Connect Sync 伺服器
- 啟動 Microsoft Entra Connect Sync 精靈
- 按一下 [設定]
- 選取 [設定預備模式],然後按 [下一步]
- 輸入 Microsoft Entra 認證
- 移除 [啟用預備模式] 方塊中的核取記號,然後按 [下一步]
- 按一下 [設定]
- 按一下 [結束]
步驟 7 - 設定 Microsoft Entra Cloud Sync
既然群組已從 Microsoft Entra Connect Sync 的同步處理範圍中移除,您可以設定和設定 Microsoft Entra Cloud Sync 以接管安全組的同步處理。 請參閱使用 Microsoft Entra Cloud Sync 將群組佈建至 Active Directory。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應