Перенос функции обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync

Внимание

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Connect Sync больше недоступна по состоянию на 30 июня 2024 г.. Эта функция была прекращена с указанной даты, и Microsoft Entra Connect Sync больше не поддерживает настройку групп безопасности в облаке для Active Directory. Функция продолжает работать за пределами даты прекращения работы; однако она больше не получает поддержку и может прекратить работу в любое время без уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Провизия группы в Active Directory, которую можно использовать вместо Group Writeback v2 для провизии облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Microsoft Entra Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Microsoft Entra Cloud Sync.

Клиенты, использующие эту предварительную функцию в Microsoft Entra Connect Sync, должны переключить конфигурацию с Microsoft Entra Connect Sync на Microsoft Entra Cloud Sync. Вы можете перевести всю вашу гибридную синхронизацию на Microsoft Entra Cloud Sync, если это соответствует вашим потребностям. Вы также можете одновременно использовать Microsoft Entra Cloud Sync и перемещать подготовку групп безопасности только в облаке к Active Directory на Microsoft Entra Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 для Active Directory, можно продолжать использовать групповое обратное копирование версии 1 для этой возможности.

Вы можете оценить возможность перехода исключительно на Microsoft Entra Cloud Sync, используя мастер синхронизации пользователей .

В этой статье описывается, как выполнить перенос функции обратной записи группы с помощью службы синхронизации Microsoft Entra Connect (ранее Azure Active Directory Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые сейчас используют функцию обратной записи группы Microsoft Entra Connect версии 2. Процесс, описанный в этой статье, относится только к созданным в облаке группам безопасности, которые записываются с универсальной областью.

Этот сценарий поддерживается только для следующих вариантов:

• Созданные в облаке группы безопасности .
• Группы, записанные обратно в Active Directory с областью действия универсальной.

Группы с поддержкой почты и списки рассылки, записанные обратно в Active Directory, продолжают работать с функцией обратной записи группы Microsoft Entra Connect, но возвращаются к поведению, характерному для функции обратной записи группы версии 1. В этом сценарии после отключения функции Group Writeback v2 все группы Microsoft 365 записываются обратно в Active Directory независимо от параметра Writeback Enabled в Центре администрирования Microsoft Entra. Дополнительные сведения см. раздел Публикация в Active Directory с помощью Microsoft Entra Cloud Sync FAQ.

Предварительные условия

• Учетная запись Microsoft Entra с по крайней мере ролью администратора гибридного удостоверения .

• Локальная учетная запись Active Directory с разрешениями администратора домена.

  Требуется для доступа к атрибуту adminDescription и копирования его в атрибут msDS-ExternalDirectoryObjectId.

• Локальная среда служб домен Active Directory с операционной системой Windows Server 2016 или более поздней версии.

  Требуется для атрибута схемы Active Directory msDS-ExternalDirectoryObjectId.

• Подготавливающий агент с версией сборки 1.1.1367.0 или более поздней.

• Агент подготовки должен иметь возможность взаимодействовать с контроллерами домена на портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).

  Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.

Правила именования для групп, которые записываются обратно

По умолчанию, синхронизация Microsoft Entra Connect использует следующий формат, когда имена групп записываются обратно.

• формат по умолчанию:CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Пример :CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Чтобы упростить поиск групп, записываемых обратно из идентификатора Microsoft Entra ID в Active Directory, Microsoft Entra Connect Sync добавил параметр для записи обратного имени группы с помощью отображаемого имени облака. Чтобы использовать этот параметр, выберите различающееся имя группы обратной записи с облачным отображаемым именем во время первоначальной настройки групповой обратной записи версии 2. Если эта функция включена, Microsoft Entra Connect использует следующий новый формат вместо формата по умолчанию:

• Новый формат:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Пример :CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

По умолчанию Microsoft Entra Cloud Sync использует новый формат, даже если функция "Возврат различающегося имени группы с облачным отображаемым именем" не включена в Microsoft Entra Connect Sync. Если вы используете стандартное именование синхронизации Microsoft Entra Connect и затем переносите группу, чтобы она управлялась Microsoft Entra Cloud Sync, группа переименовывается в новый формат. Используйте следующий раздел, чтобы разрешить Microsoft Entra Cloud Sync использовать формат по умолчанию из Microsoft Entra Connect.

Использование формата по умолчанию

Если вы хотите, чтобы Microsoft Entra Cloud Sync использовал тот же формат по умолчанию, что и Microsoft Entra Connect Sync, необходимо изменить выражение потока атрибута для атрибута CN. Два возможных сопоставления:

Выражение	Синтаксис	Описание
Выражение облачной синхронизации по умолчанию с использованием DisplayName	Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12))	Выражение по умолчанию, используемое Microsoft Entra Cloud Sync (то есть новый формат).
Новое выражение облачной синхронизации без использования DisplayName	Append("Group_", [objectId])	Новое выражение для использования формата по умолчанию в Microsoft Entra Connect Sync.

Для получения дополнительной информации см. раздел Сопоставление атрибутов — Microsoft Entra ID с Active Directory.

Шаг 1: Скопируйте adminDescription в msDS-ExternalDirectoryObjectID

Чтобы проверить ссылки на членство в группах, Microsoft Entra Cloud Sync должен запросить глобальный каталог Active Directory для атрибута msDS-ExternalDirectoryObjectID. Этот индексируемый атрибут реплицируется во всех глобальных каталогах в лесу Active Directory.

1. В вашей локальной среде откройте ADSI Edit.

2. Скопируйте значение, которое находится в атрибуте adminDescription группы.

   

3. Вставьте значение в атрибут msDS-ExternalDirectoryObjectID.

   

Для автоматизации этого шага можно использовать следующий скрипт PowerShell. Этот скрипт принимает все группы в контейнере OU=Groups,DC=Contoso,DC=com и копирует значение атрибута adminDescription в значение атрибута msDS-ExternalDirectoryObjectID. Перед использованием этого скрипта обновите переменную $gwbOU со значением DistinguishedName целевого подразделения организации обратной записи группы.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Чтобы проверить результаты предыдущего скрипта, можно использовать следующий скрипт PowerShell. Вы также можете подтвердить, что все группы имеют значение adminDescription равно значению msDS-ExternalDirectoryObjectID.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Шаг 2. Поместите сервер синхронизации Microsoft Entra Connect в промежуточный режим и отключите планировщик синхронизации

1. Запустите мастер синхронизации Microsoft Entra Connect.

2. Выберите и настройте.

3. Выберите Настроить промежуточный режим и выберите Далее.

4. Введите учетные данные Microsoft Entra.

5. Установите флажок Включить промежуточный режим и выберите Далее.

   

6. Выберите и настройте.

7. Щелкните Выход.

   

8. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

9. Отключите планировщик синхронизации:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Шаг 3. Создание настраиваемого правила для входящего трафика группы

В редакторе правил синхронизации Microsoft Entra Connect создается правило входящей синхронизации, которое фильтрует группы с атрибутом почты NULL. Правило входящей синхронизации — это правило связи с целевым атрибутом cloudNoFlow. Это правило указывает Microsoft Entra Connect не синхронизировать атрибуты для этих групп. Чтобы создать это правило синхронизации, можно использовать пользовательский интерфейс или создать его с помощью PowerShell с предоставленным скриптом.

Создание настраиваемого правила для входящего трафика группы в пользовательском интерфейсе

1. В меню "Пуск" запустите редактор правил синхронизации.

2. В разделе Направлениевыберите Входящее в раскрывающемся списке, затем выберите Добавить новое правило.

3. На странице Описание введите следующие значения и выберите Далее.

   • Имя: подарите правилу понятное имя.
   • описание: Добавьте значимое описание.
   • Подключенная система: выберите коннектор Microsoft Entra, для которого вы пишете настраиваемое правило синхронизации.
   • Тип подключенной системы объекта: выберите группу .
   • тип объекта Metaverse: выберите группу.
   • тип ссылки: выберите объединить.
   • приоритет: укажите уникальное значение в системе. Рекомендуется использовать значение ниже 100, чтобы он был приоритетом над правилами по умолчанию.
   • Тег : Оставьте поле пустым.

   

4. На странице фильтра области действия добавьте следующие значения и нажмите кнопку Далее:

   Атрибут	Оператор	Значение
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. На странице правил присоединения выберите Далее.

6. На странице Добавление преобразований для FlowTypeвыберите Константный. Для целевого атрибутавыберите cloudNoFlow. Для исходноговыберите True.

   

7. Выберите Добавить.

Создайте настраиваемое входящее правило для группы в PowerShell

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль.

   Import-Module ADSync
   

3. Укажите уникальное значение приоритета правила синхронизации (0–99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Запустите следующий сценарий:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Шаг 4. Создайте правило исходящего трафика для настроенной группы

Кроме того, требуется правило исходящей синхронизации с типом ссылки JoinNoFlow и фильтром области с атрибутом cloudNoFlow, заданным для True. Это правило указывает Microsoft Entra Connect не синхронизировать атрибуты для этих групп. Чтобы создать это правило синхронизации, можно использовать пользовательский интерфейс или создать его с помощью PowerShell с предоставленным скриптом.

Создание настраиваемого правила для исходящей группы в пользовательском интерфейсе

1. В разделе Направлениевыберите исходящие из раскрывающегося списка, а затем выберите Добавить правило.

2. На странице описания введите следующие значения и нажмите кнопку Далее:

   • Название: дайте правилу осмысленное имя.
   • Описание: Добавьте содержательное описание.
   • Подключенная система: Выберите соединитель Active Directory, для которого вы создаёте пользовательское правило синхронизации.
   • Тип подключенного системного объекта: выберите группу .
   • тип объекта Metaverse: выберите группу.
   • тип ссылки: выберите JoinNoFlow.
   • приоритет: укажите уникальное значение в системе. Рекомендуется использовать значение ниже 100, чтобы он был приоритетом над правилами по умолчанию.
   • тег: оставьте поле пустым.

   

3. На странице фильтра области для атрибут авыберите cloudNoFlow. Для оператора выберите РАВНО. Для значениявыберите True. Затем выберите Далее.

   

4. На странице правил присоединения выберите Далее.

5. На странице "Преобразования" нажмите кнопку "Добавить".

Создайте настраиваемое входящее правило для группы в PowerShell

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль.

   Import-Module ADSync
   

3. Укажите уникальное значение приоритета правила синхронизации (0–99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Получите коннектор Active Directory для обратной записи группы.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Запустите следующий сценарий:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Шаг 5. Использование PowerShell для завершения настройки

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль ADSync:

   Import-Module ADSync
   

3. Выполните полный цикл синхронизации:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Отключите функцию обратной записи группы для арендатора.

   Предупреждение

   Это действие необратимо. После отключения обратной записи Group Writeback версии 2 все группы Microsoft 365 записываются обратно в Active Directory независимо от настройки включения обратной записи в Центре администрирования Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Снова выполните полный цикл синхронизации:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Включить заново планировщик синхронизации.

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Шаг 6. Удаление сервера синхронизации Microsoft Entra Connect из промежуточного режима

1. Запустите мастер синхронизации Microsoft Entra Connect.
2. Выберите и настройте.
3. Выберите Режим настройки и выберите Следующий.
4. Введите учетные данные Microsoft Entra.
5. Снимите флажок Включить промежуточный режим и выберите Далее.
6. Выберите и настройте.
7. Щелкните Выход.

Шаг 7. Настройка Microsoft Entra Cloud Sync

Теперь, когда группы были удалены из области синхронизации Microsoft Entra Connect Sync, вы можете настроить Microsoft Entra Cloud Sync для синхронизации групп безопасности. Дополнительные сведения см. в разделе Группы подготовки в Active Directory с помощьюMicrosoft Entra Cloud Sync.

Связанный контент

• Подключение групп к Active Directory с помощью Microsoft Entra Cloud Sync
• управлять локальными приложениями Active Directory (Kerberos) с помощью системы управления идентификаторами Майкрософт
• Часто задаваемые вопросы о подключении к Active Directory с помощью Microsoft Entra Cloud Sync