Поделиться через

Включение обратной записи группы Microsoft Entra Connect

  • Статья

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. С этого дня поддержка этой функции будет прекращена, и Connect Sync больше не будет поддерживать предоставление облачных групп безопасности в Active Directory. Функция будет продолжать работать и после даты прекращения поддержки; однако после этой даты она больше не будет поддерживаться и может прекратить работу в любое время без предварительного уведомления.

В Microsoft Entra Cloud Sync мы предлагаем аналогичную функцию под названием Подготовка группы в Active Directory, которую можно использовать вместо обратной записи группы версии 2 для подготовки облачных групп безопасности в Active Directory. Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Connect Sync, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в Cloud Sync (если она поддерживает ваши потребности). Вы также можете запустить Cloud Sync параллельно и перенести в Cloud Sync только подготовку облачной группы безопасности из Active Directory.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи группы версии 1 для этой возможности.

Вы можете оценить переход исключительно на Cloud Sync, используя мастер синхронизации пользователей.

Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в экземпляр локальная служба Active Directory с помощью Службы синхронизации Microsoft Entra Connect.

В этой статье описывается включение обратной записи группы.

Шаги развертывания

Для обратной записи группы требуется включить как исходную, так и новую версии функции. Если исходная версия была включена ранее в вашей среде, необходимо использовать только первый набор следующих шагов, так как второй набор шагов уже завершен.

Примечание.

Рекомендуется следовать методу миграции качели для развертывания новой функции обратной записи группы в вашей среде. Этот метод предоставит четкий план на непредвиденные случаи, если требуется основной откат.

Функция расширенной обратной записи группы включена в клиенте, а не на экземпляр клиента Microsoft Entra Connect. Убедитесь, что все экземпляры клиента Microsoft Entra Connect обновляются до минимальной версии сборки 1.6.4.0 или более поздней.

Примечание.

Если вы не хотите записывать все существующие группы Microsoft 365 в Active Directory, необходимо внести изменения в поведение обратной записи по умолчанию для групп, прежде чем выполнять действия, описанные в этой статье, чтобы включить эту функцию. См. статью "Изменение поведения обратной записи группы Microsoft Entra Connect" по умолчанию. Кроме того, необходимо включить новые и оригинальные версии функции в документе. Если исходная функция включена, все существующие группы Microsoft 365 будут записаны обратно в Active Directory.

Включение обратной записи групп с помощью PowerShell

  1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

  2. Отключите планировщик синхронизации после проверки, что операции синхронизации не выполняются:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Импортируйте модуль ADSync.

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. Включите функцию обратной записи групп для клиента.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Повторно включите планировщик синхронизации:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Запустите полный цикл синхронизации, если ранее настроена обратная запись группы и не будет настроена в мастере Microsoft Entra Connect:

    Start-ADSyncSyncCycle -PolicyType Initial

Включение обратной записи групп с помощью мастера Microsoft Entra Connect

Если исходная версия обратной записи группы не была включена ранее, выполните следующие действия:

  1. На сервере Microsoft Entra Connect откройте мастер Microsoft Entra Connect.
  2. Нажмите кнопку "Настроить" и нажмите кнопку "Далее".
  3. Выберите Настроить параметры синхронизации и щелкните Далее.
  4. На странице "Подключение к идентификатору Microsoft Entra ID" введите свои учетные данные. Выберите Далее.
  5. На странице Дополнительные возможности убедитесь, что настроенные ранее параметры по-прежнему выбраны.
  6. Выберите "Обратная запись группы" и нажмите кнопку "Далее".
  7. На странице обратной записи выберите подразделение Active Directory для хранения объектов, синхронизированных с Microsoft 365 с локальной организацией. Выберите Далее.
  8. На странице Готово к настройке выберите Настроить.
  9. На странице Конфигурация завершена выберите Выйти.

После завершения этой процедуры функция обратной записи групп настраивается автоматически. Если при экспорте объекта в Active Directory возникают проблемы с разрешениями, откройте Windows PowerShell в качестве администратора на сервере Microsoft Entra Connect. Затем выполните следующие команды: Этот шаг необязательный.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Дополнительные настройки

Чтобы упростить поиск групп, записываемых обратно из Идентификатора Microsoft Entra в Active Directory, можно записать различающееся имя группы с помощью отображаемого имени в облаке:

  • Формат по умолчанию: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Новый формат: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

При настройке обратной записи группы флажок появится в нижней части окна конфигурации. Выберите его, чтобы включить эту функцию.

Примечание.

Группы, записываемые обратно из идентификатора Microsoft Entra в Active Directory, будут иметь источник полномочий в облаке. Все изменения, внесенные локально в группы, записанные обратно из идентификатора Microsoft Entra ID, будут перезаписаны в следующем цикле синхронизации.

Следующие шаги