Aktivieren des Microsoft Entra Connect-Gruppenrückschreibens

Wichtig

Die öffentliche Vorschau von Group Writeback v2 in Microsoft Entra Verbinden Sync ist nach dem 30. Juni 2024 nicht mehr verfügbar. Dieses Feature wird an diesem Datum nicht mehr unterstützt, und Sie werden in Verbinden Synchronisierung nicht mehr unterstützt, um Cloudsicherheitsgruppen für Active Directory bereitzustellen. Das Feature wird weiterhin über das Einstellungsdatum hinaus funktionieren, es erhält jedoch nach diesem Datum keine Unterstützung mehr und kann jederzeit ohne Vorwarnung aufhören, zu funktionieren.

Wir bieten ähnliche Funktionen in Microsoft Entra Cloud Sync namens "Gruppenbereitstellung in Active Directory ", die Sie anstelle von Group Writeback v2 für die Bereitstellung von Cloudsicherheitsgruppen in Active Directory verwenden können. Wir arbeiten daran, diese Funktionalität in Cloud Sync zusammen mit anderen neuen Features zu verbessern, die wir in Cloud Sync entwickeln.

Kunden, die dieses Vorschaufeature in Verbinden Synchronisieren verwenden, sollten ihre Konfiguration von Verbinden Synchronisierung in Cloud Sync wechseln. Sie können die gesamte Hybridsynchronisierung in Cloud Sync verschieben (sofern sie Ihre Anforderungen unterstützt). Sie können Cloud Sync auch nebeneinander ausführen und nur die Cloudsicherheitsgruppenbereitstellung in Active Directory in Cloud Sync verschieben.

Kunden, die Microsoft 365-Gruppen für Active Directory bereitstellen, können Sie für diese Funktion weiterhin Group Writeback v1 verwenden.

Mit dem user synchronization wizard können Sie die Verschiebung ausschließlich zu Cloud Sync auswerten.

Das Gruppenrückschreiben ist ein Feature, mit dem Sie Cloudgruppen mithilfe der Microsoft Entra Connect-Synchronisierung wieder in Ihre lokale Active Directory-Instanz schreiben können.

In diesem Artikel werden Sie durch das Aktivieren des Gruppenrückschreibens geführt.

Bereitstellungsschritte

Die Gruppenrückschreibung erfordert die Aktivierung der ursprünglichen und neuen Versionen des Features. Wenn die ursprüngliche Version zuvor in Ihrer Umgebung aktiviert wurde, müssen Sie nur die ersten der folgenden Schritte ausführen, da die weiteren Schritte bereits abgeschlossen wurden.

Hinweis

Es wird empfohlen, das Rollout des neuen Features „Gruppenrückschreiben“ in Ihrer Umgebung mit der Methode Swingmigration durchzuführen. Diese Methode stellt einen eindeutigen Notfallplan bereit, falls ein umfangreiches Rollback erforderlich ist.

Das erweiterte Feature zum Gruppenrückschreiben ist für den Mandanten aktiviert und nicht per Microsoft Entra Connect-Clientinstanz. Stellen Sie sicher, dass alle Microsoft Entra Connect-Clientinstanzen auf eine minimale Buildversion von 1.6.4.0 oder höher aktualisiert werden.

Hinweis

Wenn Sie nicht alle vorhandenen Microsoft 365-Gruppen in Active Directory zurückschreiben möchten, müssen Sie das Standardverhalten des Gruppenrückschreibens ändern, bevor Sie die in diesem Artikel beschriebenen Schritte ausführen, um das Feature zu aktivieren. Weitere Informationen dazu finden Se unter Ändern des Standardverhaltens der Microsoft Entra Connect-Gruppenrückschreibung. Außerdem müssen die neue und die ursprüngliche Version des Features in der dokumentierten Reihenfolge aktiviert werden. Wenn Sie das ursprüngliche Feature zuerst aktivieren, werden alle vorhandenen Microsoft 365-Gruppen in Active Directory zurückgeschrieben.

Aktivieren des Gruppenrückschreibens mithilfe von PowerShell

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

2. Deaktivieren Sie den Synchronisierungsplaner, nachdem Sie bestätigt haben, dass keine Synchronisierungsvorgänge ausgeführt werden:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importieren Sie das ADSync-Modul:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Aktivieren Sie das Gruppenrückschreiben für den Mandanten:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Aktivieren Sie den Synchronisierungsplaner erneut:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Führen Sie einen vollständigen Synchronisierungszyklus aus, wenn das Gruppenrückschreiben zuvor konfiguriert war und nicht im Microsoft Entra Connect-Assistenten konfiguriert wird:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Aktivieren des Gruppenrückschreibens mithilfe des Microsoft Entra Connect-Assistenten

Wenn die ursprüngliche Version des Gruppenrückschreibens nicht zuvor aktiviert wurde, fahren Sie mit den folgenden Schritten fort:

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server den Microsoft Entra Connect-Assistenten.
2. Wählen Sie Konfigurieren und dann Weiter aus.
3. Wählen Sie Synchronisierungsoptionen anpassen und anschließend Weiter.
4. Geben Sie auf der Seite Mit Microsoft Entra ID verbinden Ihre Anmeldeinformationen ein. Wählen Sie Weiter aus.
5. Vergewissern Sie sich auf der Seite Optionale Features, dass immer noch die zuvor konfigurierten Optionen ausgewählt sind.
6. Wählen Sie Gruppenrückschreiben und dann Weiter aus.
7. Wählen Sie auf der Seite Rückschreiben eine Active Directory-Organisationseinheit (OE) zum Speichern von Objekten aus, die von Microsoft 365 mit Ihrer lokalen Organisation synchronisiert werden. Klicken Sie auf Weiter.
8. Wählen Sie auf der Seite Bereit für Konfiguration die Option Konfigurieren.
9. Wählen Sie auf der Seite Konfiguration abgeschlossen die Option Beenden.

Nachdem Sie dieses Verfahren abgeschlossen haben, wird das Gruppenrückschreiben automatisch konfiguriert. Wenn beim Exportieren des Objekts in Active Directory Berechtigungsprobleme auftreten, öffnen Sie Windows PowerShell als Administrator auf dem Microsoft Entra Connect-Server. Führen Sie die folgenden Befehle aus: Dieser Schritt ist optional.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Optionale Konfiguration

Um die Suche nach Gruppen zu vereinfachen, die von Microsoft Entra ID in Active Directory zurückgeschrieben werden, gibt es die Möglichkeit, den Distinguished Name der Gruppe mit dem Cloudanzeigenamen zurückzuschreiben.

• Standardformat:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Neues Format: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Beim Konfigurieren des Gruppenrückschreibens wird unten im Konfigurationsfenster ein Kontrollkästchen angezeigt. Aktivieren Sie es, um dieses Feature zu aktivieren.

Hinweis

Für Gruppen, die von Microsoft Entra ID in Active Directory zurückgeschrieben werden, gilt die Cloud als Autoritätsquelle. Alle lokalen Änderungen an Gruppen, die von Microsoft Entra ID zurückgeschrieben werden, werden im nächsten Synchronisierungszyklus überschrieben.

Nächste Schritte

• Microsoft Entra Connect-Gruppenrückschreiben
• Ändern des Standardverhaltens der Microsoft Entra Connect-Gruppenrückschreibung
• Deaktivieren des Microsoft Entra Connect-Gruppenrückschreibens