Groepswriteback van Microsoft Entra Connect inschakelen

Belangrijk

De openbare preview van Group Writeback v2 in Microsoft Entra Connect Sync is vanaf 30 juni 2024niet meer beschikbaar. Deze functie is op deze datum stopgezet en u wordt niet meer ondersteund in Microsoft Entra Connect Sync om cloudbeveiligingsgroepen in te richten in Active Directory. De functie blijft werken na de beëindigingsdatum; echter, het ontvangt geen ondersteuning meer en werkt mogelijk op elk moment zonder kennisgeving niet meer.

We bieden vergelijkbare functionaliteit in Microsoft Entra Cloud Sync genaamd Group Provision naar Active Directory die u kunt gebruiken in plaats van Group Writeback v2 voor het inrichten van cloudbeveiligingsgroepen voor Active Directory. We werken aan het verbeteren van deze functionaliteit in Microsoft Entra Cloud Sync, samen met andere nieuwe functies die we ontwikkelen in Microsoft Entra Cloud Sync.

Klanten die deze preview-functie in Microsoft Entra Connect Sync gebruiken, moeten hun configuratie wijzigen van Microsoft Entra Connect Sync naar Microsoft Entra Cloud Sync. U kunt ervoor kiezen om al uw hybride synchronisatie naar Microsoft Entra Cloud Sync te verplaatsen (als deze ondersteuning biedt voor uw behoeften). U kunt Microsoft Entra Cloud Sync ook naast elkaar uitvoeren en alleen inrichting van cloudbeveiligingsgroepen naar Active Directory verplaatsen naar Microsoft Entra Cloud Sync.

Voor klanten die Microsoft 365-groepen inrichten voor Active Directory, kunt u Group Writeback v1 blijven gebruiken voor deze mogelijkheid.

U kunt het exclusieve overstappen naar Microsoft Entra Cloud Sync evalueren met de gebruikerssynchronisatiewizard .

Groeps terugschrijven is een functie waarmee u cloudgroepen kunt terugschrijven naar uw on-premises Active Directory-exemplaar met behulp van Microsoft Entra Connect Sync.

Dit artikel begeleidt u bij het inschakelen van groepen terugschrijven.

Installatiestappen

Voor groeps terugschrijven moet zowel de oorspronkelijke als de nieuwe versies van de functie worden ingeschakeld. Als de oorspronkelijke versie eerder is ingeschakeld in uw omgeving, moet u alleen de eerste set van de volgende stappen gebruiken, omdat de tweede reeks stappen al is voltooid.

Notitie

U wordt aangeraden de swing-migratiemethode te volgen voor het implementeren van de nieuwe groepenterugschrijffunctie in uw omgeving. Deze methode biedt een duidelijk plan voor onvoorziene gebeurtenissen als een belangrijke terugdraaiactie nodig is.

De verbeterde functie voor het terugschrijven van groepen is ingeschakeld voor de tenant en niet per instantie van de Microsoft Entra Connect-client. Zorg ervoor dat alle Microsoft Entra Connect-clientinstanties worden bijgewerkt naar een minimale buildversie van 1.6.4.0 of hoger.

Notitie

Als u niet alle bestaande Microsoft 365-groepen wilt terugschrijven naar Active Directory, moet u het standaardgedrag voor het terugschrijven van groepen wijzigen voordat u de stappen in dit artikel uitvoert om de functie in te schakelen. Zie Het standaardgedrag voor het terugschrijven van Microsoft Entra Connect-groepen wijzigen. Ook moeten de nieuwe en oorspronkelijke versies van de functie worden ingeschakeld in de volgorde die wordt beschreven. Als de oorspronkelijke functie eerst is ingeschakeld, worden alle bestaande Microsoft 365-groepen teruggeschreven naar Active Directory.

Groeps terugschrijven inschakelen met behulp van PowerShell

1. Open op uw Microsoft Entra Connect-server een PowerShell-prompt als beheerder.

2. Schakel de synchronisatieplanner uit nadat u hebt gecontroleerd of er geen synchronisatiebewerkingen worden uitgevoerd:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importeer de ADSync-module:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Schakel de groep terugschrijffunctie in voor de tenant:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Schakel de synchronisatieplanner opnieuw in:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Voer een volledige synchronisatiecyclus uit als groeps terugschrijven eerder is geconfigureerd en niet wordt geconfigureerd in de Wizard Microsoft Entra Connect:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Groeps terugschrijven inschakelen met behulp van de wizard Microsoft Entra Connect

Als de oorspronkelijke versie van groeps terugschrijven niet eerder is ingeschakeld, gaat u verder met de volgende stappen:

1. Open de wizard Microsoft Entra Connect op uw Microsoft Entra Connect-server.
2. Selecteer Configureren en vervolgens Volgende.
3. Selecteer Synchronisatieopties aanpassen en selecteer vervolgens Volgende.
4. Voer uw inloggegevens in op de pagina Verbinding maken met Microsoft Entra ID. Selecteer Volgende.
5. Controleer op de pagina Optionele functies of de opties die u eerder hebt geconfigureerd, nog steeds zijn geselecteerd.
6. Kies Groep-terugschrijven, en kies vervolgens Volgende.
7. Selecteer op de pagina Writeback een Organisatie-eenheid (OE) van Active Directory om objecten op te slaan die vanuit Microsoft 365 met uw on-premises organisatie worden gesynchroniseerd. Klik op Volgende.
8. Selecteer op de pagina Gereed om te configureren op Configureren.
9. Op de pagina Configuratie voltooid, selecteer Afsluiten.

Nadat u deze procedure hebt voltooid, wordt groeps terugschrijven automatisch geconfigureerd. Als u machtigingsproblemen ondervindt tijdens het exporteren van het object naar Active Directory, opent u Windows PowerShell als beheerder op de Microsoft Entra Connect-server. Voer vervolgens de volgende opdrachten uit. Deze stap is optioneel.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Optionele configuratie

Om het gemakkelijker te maken om groepen te vinden die worden teruggeschreven vanuit Microsoft Entra ID naar Active Directory, is er een optie om de onderscheidende naam van de groep terug te schrijven met behulp van de weergavenaam van de cloud.

• Standaardindeling: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nieuwe indeling: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Wanneer u groeps terugschrijven configureert, wordt onder aan het configuratievenster een selectievakje weergegeven. Selecteer deze om deze functie in te schakelen.

Notitie

Groepen die worden teruggeschreven van Microsoft Entra-id naar Active Directory, hebben een bron van autoriteit in de cloud. Wijzigingen die on-premises zijn aangebracht in groepen die zijn teruggeschreven van Microsoft Entra-id, worden in de volgende synchronisatiecyclus overschreven.

Volgende stappen

• Microsoft Entra Connect groep terugschrijven
• Standaardgedrag voor terugschrijven van Microsoft Entra Connect-groepen wijzigen
• Write-back van Microsoft Entra Connect-groepen uitschakelen