Abilitare il writeback dei gruppi di Microsoft Entra Connect

Importante

L'anteprima pubblica del writeback dei gruppi v2 in Microsoft Entra Connect Sync non sarà più disponibile dopo il 30 giugno 2024. Questa funzionalità verrà sospesa in tale data e non sarà più supportata in Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continuerà a essere utilizzabile oltre la data di interruzione; tuttavia, dopo tale data non riceverà più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

È disponibile una funzionalità simile in Microsoft Entra Cloud Sync denominata Provisioning dei gruppi in Active Directory che è possibile usare al posto del writeback dei gruppi v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Microsoft sta lavorando per migliorare questa funzionalità in Cloud Sync insieme ad altre nuove funzionalità che verranno sviluppate in Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Connect Sync dovranno cambiare la configurazione da Connect Sync to Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Cloud Sync (se soddisfa specifiche esigenze). È anche possibile eseguire Cloud Sync in modalità affiancata e spostarvi solo il provisioning di gruppi di sicurezza in Active Directory.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare lo spostamento esclusivo in Cloud Sync usando la procedura guidata di sincronizzazione degli utenti.

Il writeback dei gruppi è una funzionalità che consente di eseguire il writeback dei gruppi cloud nell'istanza di Active Directory locale usando Microsoft Entra Connect Sync.

Questo articolo illustra come abilitare il writeback dei gruppi.

Passaggi per la distribuzione

Il writeback dei gruppi richiede l'abilitazione sia della versione originale che della nuova versione della funzionalità. Se la versione originale è stata abilitata in precedenza nell'ambiente, è necessario usare solo il primo set dei passaggi seguenti, perché il secondo set di passaggi è già stato completato.

Nota

Si consiglia di seguire il metodo di migrazione swing per implementare la funzionalità di writeback del nuovo gruppo nell'ambiente in uso. In questo modo verrà fornito un piano di emergenza chiaro qualora sia necessario un ripristino dello stato precedente principale.

La funzionalità di writeback dei gruppi avanzato è abilitata nel tenant e non per ogni istanza client di Microsoft Entra Connect. Assicurarsi che tutte le istanze client di Microsoft Entra Connect vengano aggiornate alla versione minima della build 1.6.4.0 o successiva.

Nota

Se non si vuole eseguire il writeback di tutti i gruppi di Microsoft 365 esistenti in Active Directory, è necessario apportare modifiche al comportamento predefinito di writeback dei gruppi prima di eseguire i passaggi descritti in questo articolo per abilitare la funzionalità. Vedere Modificare il comportamento predefinito del writeback dei gruppi di Microsoft Entra Connect. Inoltre, le versioni nuove e originali della funzionalità devono essere abilitate nell'ordine documentato. Se la funzionalità originale è abilitata per prima, per tutti i gruppi di Microsoft 365 esistenti verrà eseguito il writeback in Active Directory.

Abilitare il writeback dei gruppi tramite PowerShell

1. Nel server Microsoft Entra Connect aprire un prompt di PowerShell come amministratore.

2. Disabilitare l'utilità di pianificazione della sincronizzazione dopo aver verificato che non siano in esecuzione operazioni di sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importare il modulo ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Abilitare la funzionalità di writeback dei gruppi per il tenant:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Riabilitare l'utilità di pianificazione della sincronizzazione:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Eseguire un ciclo di sincronizzazione completo se il writeback dei gruppi è stato configurato in precedenza e non verrà configurato nella procedura guidata di Microsoft Entra Connect:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Abilitare il writeback dei gruppi tramite la procedura guidata di Microsoft Entra Connect

Se la versione originale del writeback del gruppo non è stata abilitata in precedenza, continuare con la procedura seguente:

1. Nel server di Microsoft Entra Connect aprire la procedura guidata Microsoft Entra Connect.
2. Selezionare Configura e quindi Avanti.
3. Selezionare Personalizzazione delle opzioni di sincronizzazione e quindi fare clic su Avanti.
4. Nella pagina Connessione a Microsoft Entra ID immettere le credenziali. Selezionare Avanti.
5. Nella pagina Funzionalità facoltative verificare che le opzioni configurate in precedenza siano ancora selezionate.
6. Selezionare Writeback dei gruppi e quindi Avanti.
7. Nella pagina Writeback selezionare un'unità organizzativa (OU) di Active Directory per archiviare gli oggetti sincronizzati da Microsoft 365 nell'organizzazione locale. Selezionare Avanti.
8. Nella pagina Pronto per la configurazione selezionare Configura.
9. Nella pagina La configurazione è stata completata selezionare Esci.

Al termine di questa procedura, il writeback dei gruppo viene configurato automaticamente. Se si verificano problemi di autorizzazione durante l'esportazione dell'oggetto in Active Directory, aprire Windows PowerShell come amministratore nel server di Microsoft Entra Connect. Quindi, eseguire i comandi seguenti: Questo passaggio è facoltativo.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Configurazione facoltativa

Per semplificare l'individuazione dei gruppi di cui viene eseguito il writeback da Microsoft Entra ID in Active Directory, è possibile eseguire il writeback del nome distinto del gruppo usando il nome visualizzato del cloud:

• Formato predefinito: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nuovo formato: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Quando si configura il writeback dei gruppi, viene visualizzata una casella di controllo nella parte inferiore della finestra di configurazione. Selezionarla per abilitare questa funzionalità.

Nota

I gruppi di cui viene eseguito il writeback dall'ID Microsoft Entra in Active Directory avranno un'origine dell'autorità nel cloud. Tutte le modifiche apportate in locale ai gruppi sottoposti a writeback da Microsoft Entra ID verranno sovrascritte nel ciclo di sincronizzazione successivo.

Passaggi successivi

• Writeback del gruppo Microsoft Entra Connect
• Modificare il comportamento predefinito del writeback dei gruppi di Microsoft Entra Connect
• Disabilitare il writeback dei gruppi di Microsoft Entra Connect