Abilitare il writeback dei gruppi di Microsoft Entra Connect

Importante

L'anteprima pubblica del writeback del gruppo v2 in Microsoft Entra Connect Sync non è più disponibile a partire dal 30 giugno 2024. Questa funzionalità non è più disponibile in questa data e non è più supportata in Microsoft Entra Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continua a funzionare oltre la data di interruzione; tuttavia, non riceve più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

È disponibile una funzionalità simile in Microsoft Entra Cloud Sync denominata Provisioning dei gruppi in Active Directory che si può utilizzare al posto di Group Writeback v2 per il provisioning dei gruppi di sicurezza del cloud in Active Directory. Stiamo lavorando per migliorare questa funzionalità in Microsoft Entra Cloud Sync insieme ad altre nuove funzionalità che stiamo sviluppando in Microsoft Entra Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Microsoft Entra Connect Sync devono cambiare la configurazione da Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Microsoft Entra Cloud Sync (se supporta le proprie esigenze). È anche possibile eseguire Microsoft Entra Cloud Sync in parallelo e spostare solo il provisioning del gruppo di sicurezza cloud verso Active Directory tramite Microsoft Entra Cloud Sync.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare il passaggio esclusivamente a Microsoft Entra Cloud Sync usando la procedura guidata di sincronizzazione utente .

La funzionalità di writeback dei gruppi consente di ripristinare i gruppi cloud nell'istanza locale di Active Directory utilizzando Microsoft Entra Connect Sync.

Questo articolo illustra come abilitare il writeback dei gruppi.

Passaggi per la distribuzione

La funzionalità di writeback dei gruppi richiede l'abilitazione sia della versione originale che della nuova. Se la versione originale è stata abilitata in precedenza nell'ambiente, è necessario usare solo il primo set dei passaggi seguenti, perché il secondo set di passaggi è già stato completato.

Nota

Consigliamo di seguire il metodo di migrazione swing per implementare la nuova funzionalità di writeback di gruppo nel tuo ambiente. In questo modo verrà fornito un piano di emergenza chiaro qualora sia necessario un ripristino dello stato precedente principale.

La funzionalità avanzata di writeback dei gruppi è abilitata sul tenant e non per ogni istanza client di Microsoft Entra Connect. Assicurarsi che tutte le istanze client di Microsoft Entra Connect vengano aggiornate alla versione minima della build 1.6.4.0 o successiva.

Nota

Se non si vuole eseguire il writeback di tutti i gruppi di Microsoft 365 esistenti in Active Directory, è necessario apportare modifiche al comportamento predefinito di writeback dei gruppi prima di eseguire i passaggi descritti in questo articolo per abilitare la funzionalità. Vedere Modificare il comportamento predefinito del writeback dei gruppi di Microsoft Entra Connect. Inoltre, le versioni nuove e originali della funzionalità devono essere abilitate nell'ordine documentato. Se la funzionalità originale è abilitata per prima, per tutti i gruppi di Microsoft 365 esistenti verrà eseguito il writeback in Active Directory.

Abilitare il writeback dei gruppi tramite PowerShell

1. Nel server Microsoft Entra Connect aprire un prompt di PowerShell come amministratore.

2. Disabilitare l'utilità di pianificazione della sincronizzazione dopo aver verificato che non siano in esecuzione operazioni di sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importare il modulo ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Abilitare la funzionalità di writeback dei gruppi per il tenant:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Riabilitare l'utilità di pianificazione della sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Eseguire un ciclo di sincronizzazione completo se il writeback dei gruppi è stato configurato in precedenza e non verrà configurato nella procedura guidata di Microsoft Entra Connect:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Abilitare la funzione di writeback dei gruppi tramite la procedura guidata di Microsoft Entra Connect

Se la versione originale di group writeback non è stata abilitata in precedenza, continuare con i passaggi seguenti.

1. Sul server di Microsoft Entra Connect, apri la procedura guidata Microsoft Entra Connect.
2. Selezionare Configura e quindi Avanti.
3. Selezionare Personalizzazione delle opzioni di sincronizzazione e quindi fare clic su Avanti.
4. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali. Selezionare Avanti.
5. Nella pagina Funzionalità facoltative verificare che le opzioni configurate in precedenza siano ancora selezionate.
6. Selezionare Scrittura posticipata dei gruppi e quindi Avanti.
7. Nella pagina Writeback selezionare un'unità organizzativa (OU) di Active Directory per archiviare gli oggetti sincronizzati da Microsoft 365 nell'organizzazione locale. Selezionare Avanti.
8. Nella pagina Pronto per la configurazione selezionare Configura.
9. Nella pagina La configurazione è stata completata selezionare Esci.

Al termine di questa procedura, il writeback dei gruppi viene configurato automaticamente. Se si verificano problemi di autorizzazione durante l'esportazione dell'oggetto in Active Directory, aprire Windows PowerShell come amministratore nel server di Microsoft Entra Connect. Quindi, eseguire i comandi seguenti: Questo passaggio è facoltativo.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Configurazione facoltativa

Per semplificare l'individuazione dei gruppi di cui viene eseguito il writeback da Microsoft Entra ID in Active Directory, è possibile eseguire il writeback del nome distinto del gruppo usando il nome visualizzato del cloud:

• Formato predefinito: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nuovo formato: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Quando si configura il writeback dei gruppi, viene visualizzata una casella di controllo nella parte inferiore della finestra di configurazione. Selezionarla per abilitare questa funzionalità.

Nota

I gruppi che vengono riportati dall'ID Microsoft Entra ad Active Directory avranno una fonte di autorità nel cloud. Tutte le modifiche apportate in locale ai gruppi sottoposti a writeback da Microsoft Entra ID verranno sovrascritte nel ciclo di sincronizzazione successivo.

Passaggi successivi

• Writeback del gruppo Microsoft Entra Connect
• Modificare il comportamento predefinito del writeback dei gruppi di Microsoft Entra Connect
• Disabilitare il writeback dei gruppi di Microsoft Entra Connect