Ändra standardbeteendet för tillbakaskrivning av Microsoft Entra-Anslut grupp

Tillbakaskrivning av grupper är en funktion som gör att du kan skriva tillbaka molngrupper till din lokal Active Directory-instans med hjälp av Microsoft Entra Anslut Sync. Du kan ändra standardbeteendet på följande sätt:

• Endast grupper som har konfigurerats för tillbakaskrivning skrivs tillbaka, inklusive nyligen skapade Microsoft 365-grupper.
• Grupper som skrivs tillbaka tas bort i Active Directory när de inaktiveras för tillbakaskrivning av grupper, mjuk borttagning eller hårt borttaget i Microsoft Entra-ID.
• Microsoft 365-grupper med upp till 250 000 medlemmar kan skrivas tillbaka till den lokala miljön.

Den här artikeln beskriver alternativen för att ändra standardbeteenden för Microsoft Entra Anslut tillbakaskrivning av grupp.

Överväganden för befintliga distributioner

Om den ursprungliga versionen av tillbakaskrivning av grupper redan är aktiverad och används i din miljö har alla dina Microsoft 365-grupper redan skrivits tillbaka till Active Directory. I stället för att inaktivera alla Microsoft 365-grupper granskar du eventuell användning av tidigare tillbakaskrivna grupper. Inaktivera endast de som inte längre behövs i lokal Active Directory.

Inaktivera automatisk tillbakaskrivning av nya Microsoft 365-grupper

Om du vill konfigurera kataloginställningar för att inaktivera automatisk tillbakaskrivning av nyligen skapade Microsoft 365-grupper använder du någon av följande metoder:

• PowerShell: Använd Microsoft Graph Beta PowerShell SDK. Till exempel:

    # Import Module
    Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Directory.ReadWrite.All
  
  
    # Verify if "Group.Unified" directory settings exist
    $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"}
  
    # If "Group.Unified" directory settings exist, update the value for new unified group writeback default
    if ($DirectorySetting) 
    {
      $params = @{
        Values = @(
          @{
            Name = "NewUnifiedGroupWritebackDefault"
            Value = $false
          }
        )
      }
      Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params
    }
    else
    {
      # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting
      # Import "Group.Unified" template values to a hashtable
      $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"}
      $TemplateValues = @{}
      $Template.Values | ForEach-Object {
          $TemplateValues.Add($_.Name, $_.DefaultValue)
      }
  
      # Update the value for new unified group writeback default
      $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false
  
      # Create a directory setting using the Template values hashtable including the updated value
      $params = @{}
      $params.Add("TemplateId", $Template.Id)
      $params.Add("Values", @())
      $TemplateValues.Keys | ForEach-Object {
          $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]})
      }
      New-MgBetaDirectorySetting -BodyParameter $params
    }
  

Kommentar

Vi rekommenderar att du använder Microsoft Graph PowerShell SDK med PowerShell 7.

• Microsoft Graph: Använd resurstypen directorySetting .

Inaktivera tillbakaskrivning för alla befintliga Microsoft 365-grupper

Om du vill inaktivera tillbakaskrivning av alla Microsoft 365-grupper som skapades före dessa ändringar använder du någon av följande metoder:

• Portal: Använd administrationscentret för Microsoft Entra.

• PowerShell: Använd Microsoft Graph Beta PowerShell SDK. Till exempel:

    #Import-module
    Import-Module Microsoft.Graph.Beta
  
    #Connect to MgGraph with necessary scope
    Connect-MgGraph -Scopes Group.ReadWrite.All
  
    #List all Microsoft 365 Groups
    $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"}
  
    #Disable Microsoft 365 Groups
    Foreach ($group in $Groups) 
    {
      Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false}
    }
  

• Microsoft Graph Explorer: Använd ett gruppobjekt.

Ta bort grupper när de är inaktiverade för tillbakaskrivning eller mjukt borttagna

Kommentar

När du har tagit bort tillbakaskrivna grupper i Active Directory återställs de inte automatiskt från active directory-papperskorgsfunktionen om de återaktiveras för tillbakaskrivning eller återställs från ett tillstånd för mjuk borttagning. Nya grupper skapas. Borttagna grupper som återställs från Active Directory Papperskorgen innan de återaktiveras för tillbakaskrivning, eller som återställs från ett tillstånd för mjuk borttagning i Microsoft Entra-ID, ansluts till respektive Microsoft Entra-grupper.

1. Öppna en PowerShell-fråga som administratör på Microsoft Entra-Anslut-servern.

2. Inaktivera Microsoft Entra Anslut Sync-schemaläggaren:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Skapa en anpassad synkroniseringsregel i Microsoft Entra Anslut för att ta bort bakåtskrivna grupper när de är inaktiverade för tillbakaskrivning eller mjuk borttagning:

   import-module ADSync 
   $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" 
   
   New-ADSyncRule  `
   -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' `
   -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' `
   -Direction 'Inbound' `
   -Precedence $precedenceValue `
   -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
   -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
   -SourceObjectType 'group' `
   -TargetObjectType 'group' `
   -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
   -LinkType 'Join' `
   -SoftDeleteExpiryInterval 0 `
   -ImmutableTag '' `
   -OutVariable syncRule
   
   Add-ADSyncAttributeFlowMapping  `
   -SynchronizationRule $syncRule[0] `
   -Destination 'reasonFiltered' `
   -FlowType 'Expression' `
   -ValueMergeType 'Update' `
   -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' `
    -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
   -ArgumentList 'cloudMastered','true','EQUAL' `
   -OutVariable condition0
   
   Add-ADSyncScopeConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -ScopeConditions @($condition0[0]) `
   -OutVariable syncRule
   
   New-Object  `
   -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' `
   -ArgumentList 'cloudAnchor','cloudAnchor',$false `
   -OutVariable condition0
   
   Add-ADSyncJoinConditionGroup  `
   -SynchronizationRule $syncRule[0] `
   -JoinConditions @($condition0[0]) `
   -OutVariable syncRule
   
   Add-ADSyncRule  `
   -SynchronizationRule $syncRule[0]
   
   Get-ADSyncRule  `
   -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'
   

4. Aktivera tillbakaskrivning av grupp.

5. Aktivera Microsoft Entra Anslut Sync-schemaläggaren:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Kommentar

Om du skapar synkroniseringsregeln anges flaggan för fullständig synkronisering till true på Microsoft Entra-anslutningsappen. Den här ändringen gör att regeländringarna sprids vidare i nästa synkroniseringscykel.

Skriva tillbaka Microsoft 365-grupper med upp till 250 000 medlemmar

Eftersom standardsynkroniseringsregeln som begränsar gruppstorleken skapas när tillbakaskrivning av grupper är aktiverad, måste du utföra följande steg när du har aktiverat tillbakaskrivning av grupper:

1. Öppna en PowerShell-fråga som administratör på Microsoft Entra-Anslut-servern.

2. Inaktivera Microsoft Entra Anslut Sync-schemaläggaren:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Öppna redigeringsprogrammet för synkroniseringsregeln.

4. Ange riktningen till Utgående.

5. Leta upp och inaktivera synkroniseringsregeln Out to AD – Group Writeback Member Limit .

6. Aktivera Microsoft Entra Anslut Sync-schemaläggaren:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

Kommentar

Om du inaktiverar synkroniseringsregeln anges flaggan för fullständig synkronisering till true på Microsoft Entra-anslutningsappen. Den här ändringen gör att regeländringarna sprids vidare i nästa synkroniseringscykel.

Återställa från Papperskorgen i Active Directory

Om du uppdaterar standardbeteendet för att ta bort grupper när de är inaktiverade för tillbakaskrivning eller mjuk borttagning rekommenderar vi att du aktiverar funktionen Papperskorgen i Active Directory för dina lokala instanser av Active Directory. Du kan använda den här funktionen för att manuellt återställa tidigare borttagna Active Directory-grupper så att de kan återanslutas till sina respektive Microsoft Entra-grupper om de av misstag har inaktiverats för tillbakaskrivning eller mjuk borttagning.

Innan du återaktiverar för tillbakaskrivning eller återställning från mjuk borttagning i Microsoft Entra-ID måste du först återställa gruppen i Active Directory.

Nästa steg

• Tillbakaskrivning av Microsoft Entra Connect-grupp
• Aktivera tillbakaskrivning av Microsoft Entra-Anslut grupp
• Inaktivera tillbakaskrivning av Microsoft Entra Anslut-grupp