將 Microsoft Entra 連線 Sync 群組回寫 V2 遷移至 Microsoft Entra Cloud Sync
重要
在 2024 年 6 月 30 日之後,Microsoft Entra 連線 Sync 中的 Group Writeback v2 公開預覽將不再提供。 這項功能將會在此日期停止,而且您不再支援在 連線 Sync 中將雲端安全組布建至 Active Directory。
我們在 Microsoft Entra Cloud Sync 中提供類似的功能,稱為 「群組布建至 Active Directory 」,您可以使用此功能,而不是將雲端安全組布建至 Active Directory 的群組回寫 v2。 我們正努力在 Cloud Sync 中增強這項功能,以及我們在 Cloud Sync 中開發的其他新功能。
在 連線 Sync 中使用此預覽功能的客戶,應將其設定從 連線 Sync 切換至 Cloud Sync。您可以選擇將所有混合式同步移至 Cloud Sync(如果支援您的需求)。 您也可以並存執行 Cloud Sync,並只將雲端安全組布建至 Active Directory 移至 Cloud Sync。
對於將 Microsoft 365 群組布建至 Active Directory 的客戶,您可以繼續使用群組回寫 v1 來進行這項功能。
您可以使用使用者同步處理精靈,以獨佔方式評估移至 Cloud Sync。
下列文件說明如何使用 Microsoft Entra 連線 Sync(先前稱為 Azure AD 連線)將群組回寫移轉至 Microsoft Entra Cloud Sync。此案例僅適用於目前使用 Microsoft Entra 連線 群組回寫 v2 的客戶。 本檔中概述的程式僅適用於以通用範圍寫回的雲端建立安全組。 不支援使用 Microsoft Entra 連線 群組回寫 V1 或 V2 所寫的郵件啟用群組和 DLL。
重要
此案例僅適用於目前使用 Microsoft Entra 連線 群組回寫 v2 的客戶
此外,只有下列專案才支援此案例:
不支援使用 Microsoft Entra 連線 群組回寫 V1 或 V2 所寫的郵件啟用群組和 DLL。
如需詳細資訊,請參閱 使用 Microsoft Entra Cloud Sync 布建至 Active Directory 常見問題。
必要條件
實作此案例需要下列必要條件。
- 至少具有混合式 管理員 istrator 角色的 Microsoft Entra 帳戶。
- 具有至少網域系統管理員許可權的內部部署 AD 帳戶 - 存取 adminDescription 屬性並複製到 msDS-ExternalDirectoryObjectId 屬性的必要專案
- 具有 Windows Server 2016 作業系統或更新版本的內部部署 Active Directory 網域服務 環境。
- AD 架構屬性的必要屬性 - msDS-ExternalDirectoryObjectId
- 使用組建 1.1.1367.0 版或更新版本布建代理程式。
- 布建代理程式必須能夠與埠 TCP/389 (LDAP) 和 TCP/3268 (全域編錄) 上的域控制器通訊。
- 全域編錄查閱篩選出無效成員資格參考的必要專案
步驟 1 - 將 adminDescription 複製到 msDS-ExternalDirectoryObjectID
在您的內部部署環境中,開啟 ADSI 編輯。
複製群組 adminDescription 屬性中的值
貼入 msDS-ExternalDirectoryObjectID 屬性
步驟 2 - 將 Microsoft Entra 連線 同步處理伺服器置於預備模式,並停用同步排程器
啟動 Microsoft Entra 連線 同步精靈
點選 「 設定]
選取 [ 設定預備模式 ],然後按 [ 下一步]
輸入 Microsoft Entra 認證
將複選框放在 [ 啟用預備模式 ] 方塊中,然後按 [ 下一步]
點選 「 設定]
按兩下 [ 結束]
在您的 Microsoft Entra 連線 伺服器上,以系統管理員身分開啟 PowerShell 提示字元。
停用同步排程器:
Set-ADSyncScheduler -SyncCycleEnabled $false
步驟 3 - 建立自定義群組輸入規則
在 Microsoft Entra 連線 同步處理規則編輯器中,您必須建立輸入同步處理規則,以篩選出具有郵件屬性 NULL 的群組。 輸入同步處理規則是具有 cloudNoFlow 目標屬性的聯結規則。 此規則會告知 Microsoft Entra 連線 不要同步處理這些群組的屬性。
從桌面的應用程式功能啟動同步處理編輯器,如下所示:
從 [方向] 下拉式清單中選取 [ 輸入 ],然後選取 [ 新增規則]。
在 [ 描述] 頁面上,輸入下列專案,然後選取 [ 下一步]:
名稱: 為規則指定有意義的名稱
描述: 新增有意義的描述
連線 系統:選擇您要撰寫自訂同步規則的 Microsoft Entra 連接器
連線 系統物件類型:組
Metaverse 物件類型: 群組
連結類型: 聯結
優先順序: 提供系統中唯一的值
標籤: 保留空白
在 [ 範圍篩選 ] 頁面上, 新增 下列內容,然後選取 [ 下一步]。
屬性 運算子 值 cloudMastered 等於 true 郵件 ISNULL 
在 [ 聯結 規則] 頁面上,選取 [ 下一步]。
在 [ 轉換] 頁面上,將 [常數轉換:flow True] 新增至 cloudNoFlow 屬性。 選取 [新增]。
步驟 4 - 建立自定義群組輸出規則
您也需要具有 JoinNoFlow 連結類型的輸出同步處理規則,以及將 cloudNoFlow 屬性設定為 True 的範圍篩選條件。 此規則會告知 Microsoft Entra 連線 不要同步處理這些群組的屬性。
從 [方向] 下拉式清單中選取 [輸出 ],然後選取 [ 新增規則]。
在 [ 描述] 頁面上,輸入下列專案,然後選取 [ 下一步]:
- 名稱: 為規則指定有意義的名稱
- 描述: 新增有意義的描述
- 連線 系統:選擇您要撰寫自訂同步處理規則的 AD 連接器
- 連線 系統物件類型:組
- Metaverse 物件類型: 群組
- 連結類型: JoinNoFlow
- 優先順序: 提供系統中唯一的值
- 標籤: 保留空白
在 [ 範圍篩選 ] 頁面上,選擇 [cloudNoFlow 等於 True]。 然後選取下一步。
在 [ 聯結 規則] 頁面上,選取 [ 下一步]。
在 [ 轉換] 頁面上,選取 [ 新增]。
步驟 5 - 使用 PowerShell 完成設定
在您的 Microsoft Entra 連線 伺服器上,以系統管理員身分開啟 PowerShell 提示字元。
匯入 ADSync 模組:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'執行完整同步處理週期:
Start-ADSyncSyncCycle -PolicyType Initial停用租使用者的群組回寫功能:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false執行完整同步處理週期 (再次是):
Start-ADSyncSyncCycle -PolicyType Initial重新啟用同步排程器:
Set-ADSyncScheduler -SyncCycleEnabled $true
步驟 6 - 從預備模式移除 Microsoft Entra 連線 同步伺服器
- 啟動 Microsoft Entra 連線 同步精靈
- 點選 「 設定]
- 選取 [ 設定預備模式 ],然後按 [ 下一步]
- 輸入 Microsoft Entra 認證
- 從 [ 啟用預備模式 ] 方塊中移除核取,然後按 [下一步]
- 點選 「 設定]
- 按兩下 [ 結束]
步驟 7 - 設定 Microsoft Entra Cloud Sync
既然您已成功從 Microsoft Entra 連線 Sync 的範圍移除群組,您可以設定及設定 Microsoft Entra Cloud Sync 接管同步處理。 請參閱 使用 Microsoft Entra Cloud Sync 將群組布建至 Active Directory。