Dela via

Aktivera tillbakaskrivning av Microsoft Entra Connect-grupp

  • Artikel

Viktigt!

Den offentliga förhandsversionen av Tillbakaskrivning av grupp v2 i Microsoft Entra Connect Sync kommer inte längre att vara tillgänglig efter den 30 juni 2024. Den här funktionen upphör den här dagen och kommer inte längre att stödjas i Connect Sync för att etablera molnsäkerhetsgrupper i Active Directory. Funktionen fortsätter att fungera efter utfasningsdatumet. Den får dock inte längre support efter detta datum och kan när som helst sluta fungera utan föregående meddelande.

Vi erbjuder liknande funktioner i Microsoft Entra Cloud Sync med namnet Gruppetablering till Active Directory som du kan använda i stället för Grupptillbakaskrivning v2 för etablering av molnsäkerhetsgrupper till Active Directory. Vi arbetar med att förbättra den här funktionen i Cloud Sync tillsammans med andra nya funktioner som vi utvecklar i Cloud Sync.

Kunder som använder den här förhandsfunktionen i Connect Sync bör byta konfiguration från Connect Sync till Cloud Sync. Du kan välja att flytta all din hybridsynkronisering till Cloud Sync (om den stöder dina behov). Du kan även köra Cloud Sync sida vid sida och endast flytta etablering av molnsäkerhetsgrupper till Active Directory till Cloud Sync.

För kunder som etablerar Microsoft 365-grupper till Active Directory kan du fortsätta använda Grupptillbakaskrivning v1 för den här kapaciteten.

Du kan utvärdera att flytta exklusivt till Cloud Sync genom att använda användarsynkroniseringsguiden.

Tillbakaskrivning av grupper är en funktion som gör att du kan skriva tillbaka molngrupper till din lokal Active Directory instans med hjälp av Microsoft Entra Connect Sync.

Den här artikeln beskriver hur du aktiverar tillbakaskrivning av grupper.

Instruktioner för distribution

Tillbakaskrivning av grupper kräver aktivering av både de ursprungliga och nya versionerna av funktionen. Om den ursprungliga versionen tidigare har aktiverats i din miljö behöver du bara använda den första uppsättningen av följande steg, eftersom den andra uppsättningen steg redan har slutförts.

Kommentar

Vi rekommenderar att du följer metoden för swingmigrering för att distribuera den nya funktionen för tillbakaskrivning av grupper i din miljö. Den här metoden ger en tydlig beredskapsplan om en större återställning krävs.

Funktionen för utökad tillbakaskrivning av grupper är aktiverad i klientorganisationen och inte per Microsoft Entra Connect-klientinstans. Se till att alla Microsoft Entra Connect-klientinstanser har uppdaterats till en minimal version av 1.6.4.0 eller senare.

Kommentar

Om du inte vill skriva tillbaka alla befintliga Microsoft 365-grupper till Active Directory måste du göra ändringar i standardbeteendet för gruppåterskrivning innan du utför stegen i den här artikeln för att aktivera funktionen. Se Ändra standardbeteendet för tillbakaskrivning av Microsoft Entra Connect-grupp. Även de nya och ursprungliga versionerna av funktionen måste aktiveras i den ordning som dokumenteras. Om den ursprungliga funktionen aktiveras först skrivs alla befintliga Microsoft 365-grupper tillbaka till Active Directory.

Aktivera tillbakaskrivning av grupp med hjälp av PowerShell

  1. Öppna en PowerShell-fråga som administratör på Microsoft Entra Connect-servern.

  2. Inaktivera synkroniseringsschemaläggaren när du har kontrollerat att inga synkroniseringsåtgärder körs:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Importera ADSync-modulen:

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. Aktivera funktionen för tillbakaskrivning av grupp för klientorganisationen:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Återaktivera synkroniseringsschemaläggaren:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Kör en fullständig synkroniseringscykel om gruppåterskrivning tidigare har konfigurerats och inte konfigureras i Microsoft Entra Connect-guiden:

    Start-ADSyncSyncCycle -PolicyType Initial

Aktivera tillbakaskrivning av grupper med hjälp av guiden Microsoft Entra Connect

Om den ursprungliga versionen av tillbakaskrivningen av gruppen inte har aktiverats tidigare fortsätter du med följande steg:

  1. Öppna guiden Microsoft Entra Connect på Microsoft Entra Connect-servern.
  2. Välj Konfigurera och välj sedan Nästa.
  3. Välj Anpassa synkroniseringsalternativ och välj sedan Nästa.
  4. På sidan Anslut till Microsoft Entra-ID anger du dina autentiseringsuppgifter. Välj Nästa.
  5. På sidan Valfria funktioner kontrollerar du att de alternativ som du tidigare har konfigurerat fortfarande är markerade.
  6. Välj Tillbakaskrivning av grupp och välj sedan Nästa.
  7. På sidan Tillbakaskrivning väljer du en Active Directory-organisationsenhet (OU) för att lagra objekt som synkroniseras från Microsoft 365 till din lokala organisation. Välj Nästa.
  8. På sidan Redo att konfigurera väljer du Konfigurera.
  9. På sidan Konfiguration slutförd väljer du Avsluta.

När du har slutfört den här proceduren konfigureras tillbakaskrivning av grupper automatiskt. Om du får behörighetsproblem när du exporterar objektet till Active Directory öppnar du Windows PowerShell som administratör på Microsoft Entra Connect-servern. Kör sedan följande kommandon. Steget är valfritt.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Valfri konfiguration

För att göra det enklare att hitta grupper som skrivs tillbaka från Microsoft Entra-ID till Active Directory finns det ett alternativ för att skriva tillbaka gruppens unika namn med hjälp av molnvisningsnamnet:

  • Standardformat: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Nytt format: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

När du konfigurerar tillbakaskrivning av grupper visas en kryssruta längst ned i konfigurationsfönstret. Välj den för att aktivera den här funktionen.

Kommentar

Grupper som skrivs tillbaka från Microsoft Entra-ID till Active Directory har en auktoritetskälla i molnet. Ändringar som görs lokalt i grupper som skrivs tillbaka från Microsoft Entra-ID skrivs över i nästa synkroniseringscykel.

Nästa steg