Изменение поведения обратной записи группы microsoft Entra Подключение по умолчанию

Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в экземпляр локальная служба Active Directory с помощью Microsoft Entra Подключение Sync. Поведение по умолчанию можно изменить следующим образом:

• Будут записаны только группы, настроенные для обратной записи, включая только что созданные группы Microsoft 365.
• Группы, записанные обратно, будут удалены в Active Directory при отключении для обратной записи групп, обратимого удаления или жесткого удаления в идентификаторе Microsoft Entra ID.
• Группы Microsoft 365, насчитывающие до 250 000 участников, могут быть записаны обратно в локальную среду.

В этой статье рассматриваются параметры изменения поведения по умолчанию для обратной записи группы Microsoft Entra Подключение.

Рекомендации по существующим развернутым службам

Если исходная версия обратной записи группы уже включена и используется в вашей среде, обратная запись в Active Directory уже была выполнена для всех групп Microsoft 365. Вместо отключения всех групп Microsoft 365 проверьте использование ранее записанных групп. Отключите только те, которые больше не нужны в локальная служба Active Directory.

Отключение автоматической записи новых групп Microsoft 365

Чтобы настроить параметры каталога для отключения автоматической обратной записи только что созданных групп Microsoft 365, используйте один из следующих методов:

• PowerShell: используйте пакет SDK PowerShell для Бета-версии Microsoft Graph. Рассмотрим пример.

    # Import Module
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Directory.ReadWrite.All
  
  
    # Verify if "Group.Unified" directory settings exist
    $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
  
    # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
    if ($DirectorySetting) 
    {
      $params = @{
        Values = @(
          @{
            Name = "NewUnifiedGroupWritebackDefault"
            Value = $false
          }
        )
      }
      Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
    }
    else
    {
      # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
      # Import "Group.Unified" template values to a hashtable
      $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
      $TemplateValues = @{}
      $Template.Values | ForEach-Object {
          $TemplateValues.Add($_.Name, $_.DefaultValue)
      }
  
      # Update the value for new unified group writeback default
      $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
  
      # Create a directory setting using the Template values hashtable including the updated value
      $params = @{}
      $params.Add("TemplateId", $Template.Id)
      $params.Add("Values", @())
      $TemplateValues.Keys | ForEach-Object {
          $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
      }
      New-MgBetaDirectorySetting -BodyParameter $params
    }
  

Примечание.

Рекомендуется использовать пакет SDK PowerShell для Microsoft Graph с PowerShell 7.

• Microsoft Graph: используйте тип ресурса directorySetting .

Отключение обратной записи для всех существующих групп Microsoft 365

Чтобы отключить обратную запись всех групп Microsoft 365, созданных до этих изменений, используйте один из следующих методов:

• Портал. Используйте Центр администрирования Microsoft Entra.

• PowerShell: используйте пакет SDK PowerShell для Бета-версии Microsoft Graph. Например:

    #Import-module
    Import-Module Microsoft.Graph.Beta
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Group.ReadWrite.All
  
    #List all Microsoft 365 Groups
    $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
  
    #Disable Microsoft 365 Groups
    Foreach ($group in $Groups) 
    {
      Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
    }
  

• Обозреватель Microsoft Graph: используйте объект группы.

Удаление групп, если для них запрещены обратная запись или обратимое удаление

Примечание.

После удаления записных групп в Active Directory они не будут автоматически восстановлены из функции корзины Active Directory, если они включены для обратной записи или восстановлены из состояния обратимого удаления. Будут созданы новые группы. Удаленные группы, восстановленные из корзины Active Directory до их включения для обратной записи или восстановленные из состояния обратимого удаления в идентификаторе Microsoft Entra ID, будут присоединены к соответствующим группам Microsoft Entra.

1. На сервере Microsoft Entra Подключение откройте запрос PowerShell от имени администратора.

2. Отключите планировщик синхронизации Microsoft Entra Подключение:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Создайте настраиваемое правило синхронизации в Microsoft Entra Подключение для удаления записных групп при отключении обратной записи или обратимого удаления:

   import-module ADSync 
   $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
   
   New-ADSyncRule  `
   -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
   -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
   -Direction 'Inbound' `
   -Precedence $precedenceValue `
   -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
   -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
   -SourceObjectType 'group' `
   -TargetObjectType 'group' `
   -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
   -LinkType 'Join' `
   -SoftDeleteExpiryInterval 0 `
   -ImmutableTag '' `
   -OutVariable syncRule
   
   Add-ADSyncAttributeFlowMapping  `
   -SynchronizationRule $syncRule[0] `
   -Destination 'reasonFiltered' `
   -FlowType 'Expression' `
   -ValueMergeType 'Update' `
   -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
    -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
   -ArgumentList 'cloudMastered','true','EQUAL' `
   -OutVariable condition0
   
   Add-ADSyncScopeConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -ScopeConditions @($condition0[0]) `
   -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
   -ArgumentList 'cloudAnchor','cloudAnchor',$false `
   -OutVariable condition0
   
   Add-ADSyncJoinConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -JoinConditions @($condition0[0]) `
   -OutVariable syncRule
   
   Add-ADSyncRule  `
   -SynchronizationRule $syncRule[0]
   
   Get-ADSyncRule  `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
   

4. Включите обратную запись группы.

5. Включите планировщик синхронизации Microsoft Entra Подключение:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Примечание.

Создание правила синхронизации устанавливает флаг для полной синхронизации true в соединителе Microsoft Entra. Это изменение приведет к тому, что изменения правила будут распространяться в следующем цикле синхронизации.

Обратная запись групп Microsoft 365, насчитывающих до 250 000 членов

Так как правило синхронизации по умолчанию, ограничивающее размер группы, создается при включенной обратной записи группы, необходимо выполнить следующие действия после включения обратной записи группы:

1. На сервере Microsoft Entra Подключение откройте запрос PowerShell от имени администратора.

2. Отключите планировщик синхронизации Microsoft Entra Подключение:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Откройте редактор правил синхронизации.

4. Задайте направление исходящего трафика.

5. Найдите и отключите правило синхронизации "Выход" в AD — ограничение для элементов обратной записи.

6. Включите планировщик синхронизации Microsoft Entra Подключение:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Примечание.

Отключение правила синхронизации устанавливает флаг для полной синхронизации true в соединителе Microsoft Entra. Это изменение приведет к тому, что изменения правила будут распространяться в следующем цикле синхронизации.

Восстановление из корзины Active Directory

Если вы обновляете поведение по умолчанию, чтобы удалить группы, если они отключены для обратной записи или обратимого удаления, рекомендуется включить функцию корзины Active Directory для локальных экземпляров Active Directory. Эту функцию можно использовать для ручного восстановления ранее удаленных групп Active Directory, чтобы они могли быть повторно присоединены к соответствующим группам Microsoft Entra, если они были случайно отключены для обратной записи или обратимого удаления.

Прежде чем повторно включить обратную запись или восстановление из обратимого удаления в идентификаторе Microsoft Entra, сначала необходимо восстановить группу в Active Directory.

Следующие шаги

• Обратная запись группы Microsoft Entra Connect
• Включение обратной записи группы microsoft Entra Подключение
• Отключение обратной записи группы Microsoft Entra Подключение