Plánování zpětného zápisu skupiny Azure AD Connect

Zpětný zápis skupiny umožňuje zapisovat cloudové skupiny zpět do místní Active Directory pomocí Azure AD Connect Sync. Tato funkce umožňuje spravovat skupiny v cloudu a zároveň řídit přístup k místním aplikacím a prostředkům.

Existují dvě verze zpětného zápisu skupiny. Původní verze je obecně dostupná a je omezená na zápis skupin Microsoftu 365 do vaší místní Active Directory jako distribuční skupiny. Nová rozšířená verze zpětného zápisu skupin je ve verzi Public Preview a umožňuje následující funkce:

  • Skupiny Microsoft 365 se dají zapsat zpět jako distribuční skupiny, skupiny zabezpečení nebo skupiny zabezpečení Mail-Enabled.
  • Azure AD Skupiny zabezpečení je možné zapsat zpět jako skupiny zabezpečení.
  • Všechny skupiny se zapisují zpět s oborem skupiny univerzální.
  • Skupiny s přiřazeným a dynamickým členstvím je možné zapsat zpět.
  • Nastavení adresáře je možné nakonfigurovat tak, aby kontrolovala, jestli se nově vytvořené skupiny Microsoftu 365 ve výchozím nastavení zapisují zpět.
  • Seskupení vnoření v Azure AD se zapíše zpět, pokud obě skupiny existují ve službě AD.
  • Zapisované skupiny zpět vnořené jako členové místních synchronizovaných skupin AD se budou synchronizovat až do Azure AD jako vnořené.
  • Zařízení, která jsou členy skupin povolených zpětným zápisem v Azure AD, se zapisují zpět jako členové do AD. Azure AD zaregistrovaná zařízení a zařízení připojená k Azure AD vyžadují, aby bylo povolené zpětný zápis zařízení, aby bylo možné členství ve skupinách zapsat zpět.
  • Běžný název v rozlišujícím názvu skupiny služby Active Directory lze nakonfigurovat tak, aby při zápisu zahrnoval zobrazovaný název skupiny.
  • Pomocí portálu Azure AD Správa, Graph Exploreru a PowerShellu můžete nakonfigurovat, které Azure AD skupiny se zapisují zpět.

Nová verze je dostupná jenom v Azure AD Connect verze 2.0.89.0 nebo novější. nebo novější a musí být povolena kromě původní verze.

Následující dokument vás provede tím, co potřebujete vědět, než povolíte zpětný zápis skupiny pro vašeho tenanta.

Plánování implementace

Před povolením nejnovější verze Public Preview zpětného zápisu skupiny budete chtít provést několik aktivit. Mezi tyto aktivity patří zjišťování aktuální konfigurace, ověření požadavků a volba přístupu k nasazení.

Zjišťování

Následující části popisují různé metody zjišťování a způsob, jak zjistit, jestli je povolený zpětný zápis skupiny.

Zjištění, jestli je ve vašem prostředí povolený zpětný zápis skupiny

Pokud chcete zjistit, jestli je ve vašem prostředí již povolený zpětný zápis skupiny Azure AD Connect, použijte rutinu PowerShelluGet-ADSyncAADCompanyFeature.

Rutina je součástí modulu POWERShellu ADSync, který je nainstalovaný s Azure AD Connect.

Snímek obrazovky s rutinou Get-ADSyncAADCompanyFeature

Odkazuje UnifiedGroupWriteback na původní verzi, zatímco GroupWritebackV2 odkazuje na novou verzi.

Hodnota False označuje, že funkce není povolená.

Zjištění aktuálního nastavení zpětného zápisu pro existující skupiny Microsoftu 365

Existující nastavení zpětného zápisu můžete zobrazit ve skupinách Microsoftu 365 na portálu. Přejděte do skupiny a vyberte její vlastnosti. Stav zpětného zápisu skupiny můžete zobrazit ve skupině.

Snímek obrazovky s vlastnostmi skupiny Microsoftu 365

Stav zpětného zápisu můžete zobrazit také přes MS Graph: Získání skupiny

Příklad: GET https://graph.microsoft.com/beta/groups?$filter=groupTypes/any(c:c eq 'Unified')&$select=id,displayName,writebackConfiguration

  • Pokud je hodnota IsEnabled null nebo true, skupina se zapíše zpět.
  • Pokud je hodnota IsEnabled false, skupina se nezapíše zpět.

Nakonec můžete zobrazit stav zpětného zápisu prostřednictvím PowerShellu pomocí modulu PowerShellu Pro nástroje Microsoft Identity Tools.

Příklad: Get-mggroup -filter "groupTypes/any(c:c eq 'Unified')" | Get-MsIdGroupWritebackConfiguration

Zjištění výchozího nastavení zpětného zápisu pro nově vytvořené skupiny Microsoftu 365

U skupin, které ještě nebyly vytvořeny, můžete zobrazit, jestli se budou automaticky zapisovat zpět.

Pokud chcete zobrazit výchozí chování ve vašem prostředí pro nově vytvořené skupiny, použijte MS Graph: directorySetting

Příklad: GET https://graph.microsoft.com/beta/Settings

directorySetting Pokud název Group.Unified neexistuje, použije se výchozí nastavení adresáře a nově vytvořené skupiny Microsoftu 365 se automaticky zapíšou zpět.

directorySetting Pokud název Group.Unified existuje s NewUnifiedGroupWritebackDefault hodnotou false, nebudou skupiny Microsoftu 365 automaticky povoleny pro zpětný zápis při jejich vytvoření. Pokud hodnota není zadaná nebo je nastavená na hodnotu true, nově vytvořené skupiny Microsoftu 365 se automaticky zapíšou zpět.

Můžete také použít rutinu PowerShellu AzureADDirectorySetting.

Příklad: (Get-AzureADDirectorySetting | ? { $_.DisplayName -eq "Group.Unified"} | FL *).values

Pokud se nic nevrátí, použijete výchozí nastavení adresáře a nově vytvořené skupiny Microsoftu 365 se automaticky zapíšou zpět.

directorySetting Pokud je vrácena NewUnifiedGroupWritebackDefault hodnota false, skupiny Microsoftu 365 se po vytvoření automaticky nepovolí pro zpětný zápis. Pokud hodnota není zadaná nebo je nastavená na hodnotu true, nově vytvořené skupiny Microsoftu 365 se automaticky zapíšou zpět.

Zjištění, jestli je služba AD připravená pro Exchange

Pokud chcete ověřit, jestli je služba Active Directory připravená pro Exchange, přečtěte si téma Příprava služby Active Directory a domén pro Exchange Server, službu Active Directory Exchange Server, Exchange Server Active Directory, Exchange 2019 Active Directory

Požadavky na verzi Public Preview

Níže jsou splněné požadavky pro zpětný zápis skupiny.

Volba správného přístupu

Volba správného přístupu k nasazení pro vaši organizaci bude záviset na aktuálním stavu zpětného zápisu skupiny ve vašem prostředí a požadovaném chování zpětného zápisu.

Při povolení zpětného zápisu skupiny se zobrazí následující výchozí chování:

  • Všechny stávající skupiny Microsoftu 365 se automaticky zapíšou zpět do služby Active Directory, včetně všech budoucích vytvořených skupin Microsoftu 365. Azure AD skupiny zabezpečení nejsou automaticky zapisovány zpět, musí být všechny povolené pro zpětný zápis.
  • Skupiny, které byly zapsány zpět, se v AD neodstraní, pokud jsou zakázané pro zpětný zápis nebo obnovitelné odstranění. Zůstanou v AD, dokud nebudou v Azure AD pevně odstraněny. Změny provedené v těchto skupinách v Azure AD nebudou zapisovány zpět, dokud nebudou skupiny znovu povolené pro zpětný zápis nebo obnovení ze stavu obnovitelného odstranění. Tento požadavek chrání skupiny AD před náhodným odstraněním, pokud jsou neúmyslně zakázané pro zpětný zápis nebo obnovitelné odstranění v Azure AD.
  • Skupiny Microsoftu 365 s více než 50 000 členy a Azure AD skupiny zabezpečení s více než 250 000 nelze zapsat zpět do místního prostředí. Pokud chcete zachovat výchozí chování, pokračujte v článku povolení zpětného zápisu skupiny .

Výchozí chování lze upravit následujícím způsobem:

  • Zapisují se jenom skupiny nakonfigurované pro zpětný zápis, včetně nově vytvořených skupin Microsoftu 365.
  • Skupiny, které se zapisují do místního prostředí, se odstraní ve službě AD, když jsou buď zakázané pro zpětný zápis skupiny, obnovitelné odstranění nebo pevné odstranění v Azure AD.
  • Skupiny Microsoftu 365 s až 250 000 členy je možné zapsat zpět do místního prostředí.

Pokud plánujete provést změny výchozího chování, doporučujeme to udělat před povolením zpětného zápisu skupiny. Výchozí chování ale můžete i nadále upravit, pokud je již povolen zpětný zápis skupiny. Pokud chcete změnit výchozí chování, přečtěte si téma Úprava zpětného zápisu skupiny.

Omezení veřejné verze Preview

I když tato verze prošla rozsáhlým testováním, můžete stále narazit na problémy. Jedním z cílů této verze Public Preview je najít a opravit všechny tyto problémy před přechodem na obecnou dostupnost.  I když je k dispozici podpora pro tuto verzi Public Preview, Microsoft nemusí být vždy schopen vyřešit všechny problémy, se kterými se můžete setkat okamžitě. Z tohoto důvodu doporučujeme použít svůj nejlepší úsudek před nasazením této verze do produkčního prostředí.  Omezení a známé problémy týkající se zpětného zápisu skupiny:

  • Skupiny distribučních seznamů cloudu vytvořené v Exchange Online se nedají zapsat zpět do AD, podporují se jenom skupiny zabezpečení Microsoftu 365 a Azure AD.
  • Pokud chcete být zpětně kompatibilní s aktuální verzí zpětného zápisu skupiny, při povolení zpětného zápisu skupiny se všechny stávající skupiny Microsoft 365 zapisují zpět a vytvářejí jako distribuční skupiny ve výchozím nastavení. Toto chování lze upravit podle kroků podrobných v části Úpravy zpětného zápisu skupiny.
  • Když zakážete zpětný zápis pro skupinu, skupina se automaticky neodebere z vašeho místní Active Directory, dokud se v Azure AD neodstraní pevně. Toto chování je možné upravit podle kroků podrobných v části Úpravy zpětného zápisu skupiny.
  • Zpětný zápis skupiny nepodporuje zpětný zápis vnořených členů skupiny, které mají obor "Domain local" v AD, protože Azure AD skupiny zabezpečení jsou zapsány zpět s oborem Universal. Pokud máte vnořenou skupinu takovouhle, zobrazí se v Azure AD Připojení chyba exportu se zprávou "Univerzální skupina nemůže mít jako člena místní skupinu". Řešením je odebrat člena s oborem "Domain local" ze skupiny Azure AD nebo aktualizovat obor vnořeného člena skupiny v AD na globální nebo univerzální skupinu.
  • Zpětný zápis skupiny podporuje pouze zápis skupin zpět do jedné organizační jednotky (OU). Jakmile je tato funkce povolená, nemůžete vybranou organizační složku změnit. Alternativním řešením je zakázat zpětný zápis skupiny v Azure AD Connect a po opětovném povolení funkce vybrat jinou organizační funkci. 
  • Vnořené cloudové skupiny, které jsou členy skupin s povoleným zpětným zápisem, musí být také povolené, aby zpětný zápis zůstal vnořený ve službě AD.
  • Nastavení zpětného zápisu skupiny skupin pro správu nového zpětného zápisu skupiny zabezpečení ve velkém měřítku ještě není k dispozici. Pro každou skupinu budete muset nakonfigurovat zpětný zápis. 

Další kroky: