Włączanie zapisywania zwrotnego grup Microsoft Entra Connect
Ważne
Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w programie Microsoft Entra Connect Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana począwszy od tej daty i nie będzie już obsługiwana wConnect Sync, na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Funkcja będzie nadal działać poza datą wycofania; jednakże nie będzie już otrzymywać wsparcia po tej dacie i może przestać działać w dowolnym momencie bez powiadomienia.
Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory, których można użyć zamiast zapisywania zwrotnego grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w Cloud Sync.
Klienci korzystający z tej funkcji w wersji zapoznawczej w Connect Sync powinni przełączyć konfigurację z Connect Sync na Cloud Sync. Możesz przenieść całą synchronizację hybrydową do Cloud Sync (jeśli obsługuje Twoje potrzeby). Możesz również uruchamiać Cloud Sync obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do Active Directory w Cloud Sync.
W przypadku klientów, którzy aprowizują grupy Microsoft 365 do Active Directory, mogą oni nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1 w tym celu.
Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkownika.
Zapisywanie zwrotne grup to funkcja umożliwiająca zapisywanie grup w chmurze z powrotem do wystąpienia lokalna usługa Active Directory przy użyciu usługi Microsoft Entra Connect Sync.
Ten artykuł przeprowadzi Cię przez proces włączania zapisywania zwrotnego grup.
Kroki wdrażania
Zapisywanie zwrotne grup wymaga włączenia zarówno oryginalnych, jak i nowych wersji funkcji. Jeśli oryginalna wersja została wcześniej włączona w danym środowisku, musisz użyć tylko pierwszego zestawu poniższych kroków, ponieważ drugi zestaw kroków został już ukończony.
Uwaga
Zalecamy stosowanie metody migracji swing w celu wdrażania nowej funkcji zapisywania zwrotnego grup w danym środowisku. Ta metoda zapewni jasny plan awaryjny, jeśli konieczne jest poważne wycofanie.
Rozszerzona funkcja zapisywania zwrotnego grup jest włączona w dzierżawie, a nie dla wystąpienia klienta programu Microsoft Entra Connect. Upewnij się, że wszystkie wystąpienia klienta programu Microsoft Entra Connect zostały zaktualizowane do minimalnej wersji kompilacji 1.6.4.0 lub nowszej.
Uwaga
Jeśli nie chcesz zapisywać zwrotne wszystkich istniejących grup platformy Microsoft 365 w usłudze Active Directory, przed wykonaniem kroków opisanych w tym artykule należy wprowadzić zmiany w domyślnym zachowaniu zapisywania zwrotnego grup. Zobacz Modyfikowanie domyślnego zachowania zapisywania zwrotnego grupy Microsoft Entra Connect. Ponadto nowe i oryginalne wersje funkcji należy włączyć w kolejności udokumentowanej. Jeśli oryginalna funkcja jest włączona, wszystkie istniejące grupy platformy Microsoft 365 zostaną zapisane z powrotem w usłudze Active Directory.
Włączanie zapisywania zwrotnego grup przy użyciu programu PowerShell
Na serwerze Microsoft Entra Connect otwórz monit programu PowerShell jako administrator.
Wyłącz harmonogram synchronizacji po sprawdzeniu, czy nie są uruchomione żadne operacje synchronizacji:
Set-ADSyncScheduler -SyncCycleEnabled $false
Zaimportuj moduł ADSync:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'
Włącz funkcję zapisywania zwrotnego grup dla dzierżawy:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true
Ponownie włącz harmonogram synchronizacji:
Set-ADSyncScheduler -SyncCycleEnabled $true
Uruchom cykl pełnej synchronizacji, jeśli funkcja zapisywania zwrotnego grup została wcześniej skonfigurowana i nie zostanie skonfigurowana w kreatorze microsoft Entra Connect:
Start-ADSyncSyncCycle -PolicyType Initial
Włączanie zapisywania zwrotnego grup przy użyciu kreatora Microsoft Entra Connect
Jeśli oryginalna wersja zapisywania zwrotnego grup nie została wcześniej włączona, wykonaj następujące czynności:
- Na serwerze Microsoft Entra Connect otwórz kreatora Microsoft Entra Connect.
- Wybierz pozycję Konfiguruj, a następnie wybierz przycisk Dalej.
- Wybierz pozycję Dostosuj opcje synchronizacji, a następnie wybierz przycisk Dalej.
- Na stronie Łączenie z identyfikatorem entra firmy Microsoft wprowadź swoje poświadczenia. Wybierz Dalej.
- Na stronie Funkcje opcjonalne sprawdź, czy opcje, które zostały wcześniej skonfigurowane, są nadal zaznaczone.
- Wybierz pozycję Zapisywanie zwrotne grup, a następnie wybierz pozycję Dalej.
- Na stronie Zapisywanie zwrotne wybierz jednostkę organizacyjną usługi Active Directory (OU), aby przechowywać obiekty synchronizowane z platformy Microsoft 365 do organizacji lokalnej. Wybierz Dalej.
- Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
- Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.
Po zakończeniu tej procedury zapisywanie zwrotne grup jest konfigurowane automatycznie. Jeśli wystąpią problemy z uprawnieniami podczas eksportowania obiektu do usługi Active Directory, otwórz program Windows PowerShell jako administrator na serwerze Microsoft Entra Connect. Następnie uruchom następujące polecenia. To krok jest opcjonalny.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Opcjonalna konfiguracja
Aby ułatwić znajdowanie grup zapisywanych z powrotem z identyfikatora Entra firmy Microsoft w usłudze Active Directory, istnieje możliwość zapisania nazwy wyróżniającej grupy przy użyciu nazwy wyświetlanej w chmurze:
Format domyślny:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Nowy format:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Podczas konfigurowania zapisywania zwrotnego grup w dolnej części okna konfiguracji zostanie wyświetlone pole wyboru. Wybierz ją, aby włączyć tę funkcję.
Uwaga
Grupy zapisywane z powrotem z identyfikatora Entra firmy Microsoft do usługi Active Directory będą miały źródło uprawnień w chmurze. Wszelkie zmiany wprowadzone lokalnie w grupach, które są zapisywane z powrotem z identyfikatora Entra firmy Microsoft, zostaną zastąpione w następnym cyklu synchronizacji.