通过

Microsoft Entra 管理中心中的组写回

  • 项目

注意

本文讨论如何在 Microsoft Entra 管理中心对组写回执行操作。 有关设置和配置的信息,请参阅使用 Microsoft Entra Cloud Sync(预览版)将组预配到 Active Directory

随着预配代理 1.1.1370.0 的发布,Cloud Sync 现在可以将组直接预配到本地 Active Directory 环境。 借助此功能,可以使用标识治理功能来控制对基于 Active Directory 的应用程序的访问。 例如,可以将组包含在权利管理访问包中。 此版本目前为公共预览版。

有关更多信息,请参阅将组预配到 Active Directory使用 Microsoft Entra ID 治理(预览版)来治理基于本地 Active Directory 的应用 (Kerberos)

重要

2024 年 6 月 30 日之后,Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用,Connect Sync 不再支持将云安全组预配到 Active Directory。

我们在 Microsoft Entra Cloud Sync 中提供了类似的功能,称为将组预配到 Active Directory,可以用来代替使用组写回 V2 将云安全组预配到 Active Directory。 我们正致力于在 Cloud Sync 中增强此功能,并增强我们在 Cloud Sync 中开发的其他新功能。

在 Connect Sync 中使用此预览功能的客户应将其配置从 Connect Sync 切换到 Cloud Sync。可以选择将所有混合同步移动到 Cloud Sync(如果其支持这种需求)。 还可以并行运行 Cloud Sync,并仅将云安全组预配移动到 Cloud Sync 中的 Active Directory。

对于将 Microsoft 365 组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。

可以使用用户同步向导来评估完全迁移到 Cloud Sync。

如果使用 Microsoft Entra Connect Sync 组写回 v2,则需要改为使用 Cloud Sync 预配到 Active Directory,然后才能利用 Cloud Sync 组预配功能。 有关详细信息,请参阅 将 Microsoft Entra Connect Sync 组写回 v2 迁移到 Microsoft Entra Cloud Sync

注意

如果以前将 Microsoft 365 组为通用通讯组写回本地 Active Directory,则在 Azure 门户的“组”页面和组的属性页中都将显示为未启用写回。 这些页面将显示为预览版引入的新属性 writeback enabled。 此属性未按当前版本的组写回设置,目的是确保与旧版组写回的后向兼容性,避免中断现有的客户设置。

若要了解门户中 No writeback 的行为,可以通过 Microsoft Graph 查看写回状态。 有关详细信息,请参阅获取组

Portal Microsoft Graph 行为
写回 isEnabled = null 或 true 组将写回。
无写回 isEnabled = false 组不会写回。
无写回 IsEnabled = null & onPremisesGroupType = null 如果是 Microsoft 365 组,则将作为通讯组写回本地 Active Directory。
如果它是 Microsoft Entra 安全组,则会写回到本地 Active Directory。

默认情况下,组的“组写回状态”设置为“无写回”。 这意味着:

  • Microsoft 365 组:如果组 IsEnabled = nullonPremisesGroupType = null,为确保与旧版组写回的后向兼容性,组将作为分发组写回到本地 Active Directory。
  • Microsoft Entra 安全组:如果组是 IsEnabled = nullonPremisesGroupType = null,则组会写回到本地 Active Directory。

显示写回列

在“所有组”概述页面中,可以将组写回列“目标写回类型”和“已启用写回”添加到视图中。 无论在 Microsoft Entra Connect 中是否启用了写回,“目标写回类型”和“已启用写回”列都可用于视图。

Screenshot that shows selecting columns for writeback in the All groups list.

写回列设置

启用写回的列允许关闭单个组的写回功能。 使用“目标写回类型”列,可以指定要将此云组写回本地 Active Directory 的组类型。 对于 Microsoft Entra Microsoft 365 组,可以将其写回安全组、通讯组或已启用邮件的安全组。 对于 Microsoft Entra 安全组,只能将其写回作为安全组。

Screenshot that shows writeback settings columns that are visible on the All groups page.

组属性中的写回设置

还可以在组的“属性”页上为组配置写回设置。 使用“组写回状态”设置可以关闭组的写回或指定写回组类型。 如果选择“无写回”,则组不会被写回。 如果选择其他写回类型选项(例如安全性),则可以:

  • 启用组写回。
  • 将目标写回类型设置为安全组。

Screenshot that shows changing writeback settings in the group properties.

使用 PowerShell 读取写回配置

借助 PowerShell,可以使用以下 PowerShell Get-MgGroup cmdlet 来获取已启用写回的组列表。

Connect-MgGraph -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

使用 Graph 浏览器读取写回配置

打开 Microsoft Graph 浏览器并使用端点 https://graph.microsoft.com/beta/groups/{Group_ID}

将组 ID 替换为云组 ID,然后选择“运行查询”。 在“响应预览”中,滚动到末尾以查看 JSON 文件的部分。

"writebackConfiguration": {
    "isEnabled": true,
    ...
}

后续步骤