Povolit zpětný zápis skupin v Microsoft Entra Connect
Důležité
Veřejná ukázka zpětného zápisu skupiny verze 2 v Microsoft Entra Connect Sync nebude nadále dostupná po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v aplikaci Connect Sync již nebude podporováno poskytování cloudových skupin zabezpečení do služby Active Directory. Funkce bude fungovat i po datu ukončení; po tomto datu však již nebude podporována a může přestat fungovat kdykoli bez předchozího upozornění.
Ve službě Microsoft Entra Cloud Sync nabízíme podobnou funkci nazvanou Zřizování skupin do Active Directory, kterou můžete použít místo zpětného zápisu skupin v2 pro zřizování skupin zabezpečení cloudu do Active Directory. Pracujeme na vylepšení této funkce ve službě Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.
Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z Connect Sync na Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do služby Cloud Sync (pokud podporuje vaše potřeby). Službu Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do Cloud Sync.
Pro zákazníky, kteří poskytují skupiny Microsoft 365 do služby Active Directory, můžete nadále používat funkci Group Writeback v1.
K vyhodnocení přesunu výhradně do služby Cloud Sync můžete použít průvodce synchronizací uživatelů.
Zpětný zápis skupiny je funkce, která umožňuje zapisovat skupiny z cloudu zpět do vaší instance lokální Active Directory pomocí nástroje Microsoft Entra Connect Sync.
Tento článek vás provede povolením zpětné synchronizace skupiny.
Postup nasazení
Zpětný zápis skupiny vyžaduje povolení původní i nové verze této funkce. Pokud byla původní verze ve vašem prostředí dříve povolená, musíte použít pouze první sadu následujících kroků, protože druhá sada kroků už byla dokončena.
Poznámka:
Doporučujeme postupovat podle metody swing migration při nasazování nové funkce zpětného zápisu skupiny ve vašem prostředí. Tato metoda poskytne přehledný plán pro nepředvídané události, pokud bude nutné provést zásadní vrácení zpět.
Rozšířená funkce zpětného zápisu skupiny je povolena na úrovni tenanta, nikoliv pro jednotlivé instance klienta Microsoft Entra Connect. Ujistěte se, že všechny instance klienta Microsoft Entra Connect jsou aktualizovány na minimální verzi sestavení 1.6.4.0 nebo novější.
Poznámka:
Pokud nechcete do služby Active Directory zapisovat všechny existující skupiny Microsoftu 365, musíte před provedením kroků v tomto článku provést změny výchozího chování zpětného zápisu skupiny. Viz Úprava výchozího chování zpětného zápisu skupiny v Microsoft Entra Connect. Nové a původní verze této funkce je také potřeba povolit v objednávce. Pokud je původní funkce povolená jako první, všechny existující skupiny Microsoftu 365 se zapíšou zpět do služby Active Directory.
Povolení skupinového zpětného zápisu pomocí PowerShellu
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Po ověření, že nejsou spuštěné žádné synchronizační operace, zakažte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $false
Import modulu ADSync:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
Povolte funkci zpětného zápisu skupiny pro nájemce:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Znovu povolte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $true
Spusťte úplný cyklus synchronizace, pokud byl dříve nakonfigurován group writeback a nebude nakonfigurován v průvodci Microsoft Entra Connect:
Start-ADSyncSyncCycle -PolicyType Initial
Povolení zpětného zápisu skupiny pomocí průvodce Microsoft Entra Connect
Pokud původní verze zpětného zápisu skupiny nebyla dříve povolena, pokračujte následujícími kroky:
- Na serveru Microsoft Entra Connect otevřete průvodce Microsoft Entra Connect.
- Vyberte Konfigurovat a pak vyberte Další.
- Vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.
- Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte své přihlašovací údaje. Vyberte Další.
- Na stránce Volitelné funkce ověřte, že jsou stále vybrané možnosti, které jste nakonfigurovali.
- Vyberte Zpětný zápis skupiny a pak vyberte Další.
- Na stránce Writeback vyberte organizační jednotku (OU) služby Active Directory, do které se budou ukládat objekty synchronizované z Microsoft 365 do vaší místní infrastruktury. Vyberte Další.
- Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.
- Na stránce Dokončení konfigurace vyberte Ukončit.
Po dokončení tohoto postupu se zpětný zápis skupiny nakonfiguruje automaticky. Pokud při exportu objektu do služby Active Directory dochází k problémům s oprávněními, otevřete prostředí Windows PowerShell jako správce na serveru Microsoft Entra Connect. Pak spusťte následující příkazy. Tento krok je nepovinný.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Volitelná konfigurace
Aby bylo snazší najít skupiny, které se zapisují z Microsoft Entra ID do Active Directory, existuje možnost zapsat rozlišující název skupiny podle názvu zobrazeného v cloudu.
Výchozí formát:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Nový formát:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Při konfiguraci zpětného zápisu skupiny se v dolní části okna konfigurace zobrazí zaškrtávací políčko. Tuto funkci povolíte tak, že ji vyberete.
Poznámka:
Skupiny, které se zapisují z Microsoft Entra ID do Active Directory, budou mít zdroj autority v cloudu. Všechny změny provedené na místní úrovni u skupin, které se zapisují zpět z Microsoft Entra ID, budou přepsány při dalším cyklu synchronizace.