Povolení zpětného zápisu skupiny Microsoft Entra Connect
Důležité
Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Connect Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v aplikaci Connect Sync již nebude podporováno poskytování cloudových skupin zabezpečení do služby Active Directory. Funkce bude fungovat i po datu ukončení; po tomto datu však již nebude podporována a může přestat fungovat kdykoli bez předchozího upozornění.
Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory, které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce ve službě Cloud Sync spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.
Zákazníci, kteří používají tuto funkci Preview v Connect Sync, by měli přepnout svoji konfiguraci z Connect Sync na Cloud Sync. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do služby Cloud Sync (pokud podporuje vaše potřeby). Službu Cloud Sync můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do Cloud Sync.
Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro službu Active Directory: pro tuto funkci můžete nadále používat zpětný zápis skupiny v1.
K vyhodnocení přesunu výhradně do služby Cloud Sync můžete použít průvodce synchronizací uživatelů.
Zpětný zápis skupiny je funkce, která umožňuje psát cloudové skupiny zpět do vaší instance místní Active Directory pomocí nástroje Microsoft Entra Connect Sync.
Tento článek vás provede povolením zpětného zápisu skupiny.
Postup nasazení
Zpětný zápis skupiny vyžaduje povolení původní i nové verze funkce. Pokud byla původní verze ve vašem prostředí dříve povolená, musíte použít pouze první sadu následujících kroků, protože druhá sada kroků už byla dokončena.
Poznámka:
Doporučujeme postupovat podle metody migrace houpačky pro zavádění nové funkce zpětného zápisu skupiny ve vašem prostředí. Tato metoda poskytne jasný plán nepředvídaných událostí, pokud je nutné provést významné vrácení zpět.
Rozšířená funkce zpětného zápisu skupiny je v tenantovi povolená, a ne pro instanci klienta Microsoft Entra Connect. Ujistěte se, že všechny instance klienta Microsoft Entra Connect jsou aktualizovány na minimální verzi sestavení 1.6.4.0 nebo novější.
Poznámka:
Pokud nechcete do služby Active Directory zapisovat všechny existující skupiny Microsoftu 365, musíte před provedením kroků v tomto článku provést změny výchozího chování zpětného zápisu skupiny. Viz Úprava výchozího chování zpětného zápisu skupiny Microsoft Entra Connect. Nové a původní verze této funkce je také potřeba povolit v objednávce. Pokud je původní funkce povolená jako první, všechny existující skupiny Microsoftu 365 se zapíšou zpět do služby Active Directory.
Povolení zpětného zápisu skupiny pomocí PowerShellu
Na serveru Microsoft Entra Connect otevřete příkazový řádek PowerShellu jako správce.
Po ověření, že nejsou spuštěné žádné synchronizační operace, zakažte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $false
Import modulu ADSync:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
Povolte funkci zpětného zápisu skupiny pro tenanta:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Znovu povolte plánovač synchronizace:
Set-ADSyncScheduler -SyncCycleEnabled $true
Spusťte úplný cyklus synchronizace, pokud byl dříve nakonfigurován zpětný zápis skupiny a nebude nakonfigurován v průvodci Microsoft Entra Connect:
Start-ADSyncSyncCycle -PolicyType Initial
Povolení zpětného zápisu skupiny pomocí průvodce Microsoft Entra Connect
Pokud původní verze zpětného zápisu skupiny nebyla dříve povolena, pokračujte následujícími kroky:
- Na serveru Microsoft Entra Connect otevřete průvodce Microsoft Entra Connect.
- Vyberte Konfigurovat a pak vyberte Další.
- Vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.
- Na stránce Connect to Microsoft Entra ID (Připojit k Microsoft Entra ID) zadejte své přihlašovací údaje. Vyberte Další.
- Na stránce Volitelné funkce ověřte, že jsou stále vybrané možnosti, které jste nakonfigurovali.
- Vyberte Zpětný zápis skupiny a pak vyberte Další.
- Na stránce Zpětný zápis vyberte organizační jednotku (OU) služby Active Directory, do které se budou ukládat objekty synchronizované z Microsoftu 365 do místní organizace. Vyberte Další.
- Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.
- Na stránce Dokončení konfigurace vyberte Ukončit.
Po dokončení tohoto postupu se zpětný zápis skupiny nakonfiguruje automaticky. Pokud při exportu objektu do služby Active Directory dochází k problémům s oprávněními, otevřete prostředí Windows PowerShell jako správce na serveru Microsoft Entra Connect. Pak spusťte následující příkazy. Tento krok je nepovinný.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Volitelná konfigurace
Aby bylo snazší najít skupiny, které se zapisují z MICROSOFT Entra ID do Active Directory, existuje možnost zapsat rozlišující název skupiny pomocí zobrazovaného názvu cloudu:
Výchozí formát:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Nový formát:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Při konfiguraci zpětného zápisu skupiny se v dolní části okna konfigurace zobrazí zaškrtávací políčko. Tuto funkci povolíte tak, že ji vyberete.
Poznámka:
Skupiny, které se zapisují z Microsoft Entra ID do Active Directory, budou mít zdroj autority v cloudu. Všechny změny provedené místně u skupin, které se zapisují z ID Microsoft Entra, se přepíšou v dalším cyklu synchronizace.