Úprava výchozího chování zpětného zápisu skupiny Microsoft Entra Připojení
Zpětný zápis skupiny je funkce, která umožňuje psát cloudové skupiny zpět do vaší instance místní Active Directory pomocí nástroje Microsoft Entra Připojení Sync. Výchozí chování můžete změnit následujícími způsoby:
- Zapisují se jenom skupiny nakonfigurované pro zpětný zápis, včetně nově vytvořených skupin Microsoftu 365.
- Skupiny, které jsou zapsány zpět, budou odstraněny ve službě Active Directory, pokud jsou zakázané pro zpětný zápis skupiny, obnovitelné odstranění nebo pevné odstranění v Microsoft Entra ID.
- Skupiny Microsoft 365 s až 250 000 členy je možné zapsat zpět do místního prostředí.
Tento článek vás provede možnostmi úprav výchozího chování zpětného zápisu skupiny Microsoft Entra Připojení.
Důležité informace o existujících nasazeních
Pokud je původní verze zpětného zápisu skupin už povolená a používá se ve vašem prostředí, všechny vaše skupiny Microsoft 365 už byly zapsány zpět do služby Active Directory. Místo zakázání všech skupin Microsoft 365 zkontrolujte použití dříve zpětně zapsaných skupin. Zakažte pouze ty, které už nejsou v místní Active Directory potřeba.
Zákaz automatického zpětného zápisu nových skupin Microsoftu 365
Pokud chcete nakonfigurovat nastavení adresáře tak, aby se zakázal automatický zpětný zápis nově vytvořených skupin Microsoftu 365, použijte jednu z těchto metod:
PowerShell: Použijte sadu Microsoft Graph Beta PowerShell SDK. Příklad:
# Import Module Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Directory.ReadWrite.All # Verify if "Group.Unified" directory settings exist $DirectorySetting = Get-MgBetaDirectorySetting| Where-Object {$_.DisplayName -eq "Group.Unified"} # If "Group.Unified" directory settings exist, update the value for new unified group writeback default if ($DirectorySetting) { $params = @{ Values = @( @{ Name = "NewUnifiedGroupWritebackDefault" Value = $false } ) } Update-MgBetaDirectorySetting -DirectorySettingId $DirectorySetting.Id -BodyParameter $params } else { # In case the directory setting doesn't exist, create a new "Group.Unified" directory setting # Import "Group.Unified" template values to a hashtable $Template = Get-MgBetaDirectorySettingTemplate | Where-Object {$_.DisplayName -eq "Group.Unified"} $TemplateValues = @{} $Template.Values | ForEach-Object { $TemplateValues.Add($_.Name, $_.DefaultValue) } # Update the value for new unified group writeback default $TemplateValues["NewUnifiedGroupWritebackDefault"] = $false # Create a directory setting using the Template values hashtable including the updated value $params = @{} $params.Add("TemplateId", $Template.Id) $params.Add("Values", @()) $TemplateValues.Keys | ForEach-Object { $params.Values += @(@{Name = $_; Value = $TemplateValues[$_]}) } New-MgBetaDirectorySetting -BodyParameter $params }
Poznámka:
Doporučujeme používat sadu Microsoft Graph PowerShell SDK s PowerShellem 7.
- Microsoft Graph: Použijte typ prostředku directorySetting .
Zakázání zpětného zápisu pro všechny existující skupiny Microsoftu 365
Pokud chcete zakázat zpětný zápis všech skupin Microsoftu 365 vytvořených před těmito úpravami, použijte jednu z následujících metod:
Portál: Použijte Centrum pro správu Microsoft Entra.
PowerShell: Použijte sadu Microsoft Graph Beta PowerShell SDK. Příklad:
#Import-module Import-Module Microsoft.Graph.Beta #Connect to MgGraph with necessary scope Connect-MgGraph -Scopes Group.ReadWrite.All #List all Microsoft 365 Groups $Groups = Get-MgBetaGroup -All | Where-Object {$_.GroupTypes -like "*unified*"} #Disable Microsoft 365 Groups Foreach ($group in $Groups) { Update-MgBetaGroup -GroupId $group.id -WritebackConfiguration @{isEnabled=$false} }Microsoft Graph Explorer: Použijte objekt skupiny.
Odstranění skupin, pokud jsou zakázané pro zpětný zápis nebo obnovitelné odstranění
Poznámka:
Když odstraníte zapsané skupiny ve službě Active Directory, nebudou se automaticky obnovovat z funkce Koš služby Active Directory, pokud jsou povolené pro zpětný zápis nebo obnovené ze stavu obnovitelného odstranění. Vytvoří se nové skupiny. Odstraněné skupiny obnovené z koše služby Active Directory před opětovným povolením zpětného zápisu nebo obnovení ze stavu obnovitelného odstranění v Microsoft Entra ID se připojí k příslušným skupinám Microsoft Entra.
Na serveru Microsoft Entra Připojení otevřete příkazový řádek PowerShellu jako správce.
Zakažte plánovač Synchronizace Microsoft Entra Připojení:
Set-ADSyncScheduler -SyncCycleEnabled $falseVytvořte vlastní synchronizační pravidlo v Microsoft Entra Připojení pro odstranění skupin se zpětným zápisem nebo obnovitelné odstranění:
import-module ADSync $precedenceValue = Read-Host -Prompt "Enter a unique sync rule precedence value [0-99]" New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD Delete WriteBackOutOfScope and SoftDelete' ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947' ` -Description 'Delete AD groups that fall out of scope of Group Writeback or get Soft Deleted in Azure AD' ` -Direction 'Inbound' ` -Precedence $precedenceValue ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Destination 'reasonFiltered' ` -FlowType 'Expression' ` -ValueMergeType 'Update' ` -Expression 'IIF((IsPresent([reasonFiltered]) = True) && (InStr([reasonFiltered], "WriteBackOutOfScope") > 0 || InStr([reasonFiltered], "SoftDelete") > 0), "DeleteThisGroupInAD", [reasonFiltered])' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.JoinCondition' ` -ArgumentList 'cloudAnchor','cloudAnchor',$false ` -OutVariable condition0 Add-ADSyncJoinConditionGroup ` -SynchronizationRule $syncRule[0] ` -JoinConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'cb871f2d-0f01-4c32-a333-ff809145b947'Povolení zpětného zápisu skupiny
Povolte plánovač Microsoft Entra Připojení Sync:
Set-ADSyncScheduler -SyncCycleEnabled $true
Poznámka:
Vytvoření synchronizačního pravidla nastaví příznak pro úplnou synchronizaci na true konektor Microsoft Entra. Tato změna způsobí, že se změny pravidla rozšíří v dalším cyklu synchronizace.
Zpětný zápis skupin Microsoft 365 s až 250 000 členy
Výchozí pravidlo synchronizace, které omezuje velikost skupiny při povolení zpětného zápisu skupiny, musíte po povolení zpětného zápisu skupiny provést následující kroky:
Na serveru Microsoft Entra Připojení otevřete příkazový řádek PowerShellu jako správce.
Zakažte plánovač Synchronizace Microsoft Entra Připojení:
Set-ADSyncScheduler -SyncCycleEnabled $falseOtevřete editor synchronizačních pravidel.
Nastavte směr odchozích přenosů.
Vyhledejte a zakažte synchronizační pravidlo Odchozí do AD – Omezení počtu členů zpětného zápisu skupiny.
Povolte plánovač Microsoft Entra Připojení Sync:
Set-ADSyncScheduler -SyncCycleEnabled $true
Poznámka:
Zakázáním pravidla synchronizace se příznak pro úplnou synchronizaci nastaví na true konektor Microsoft Entra. Tato změna způsobí, že se změny pravidla rozšíří v dalším cyklu synchronizace.
Obnovení z koše služby Active Directory
Pokud aktualizujete výchozí chování pro odstranění skupin, když jsou zakázané pro zpětný zápis nebo obnovitelné odstranění, doporučujeme povolit funkci Koš služby Active Directory pro místní instance služby Active Directory. Pomocí této funkce můžete ručně obnovit dříve odstraněné skupiny služby Active Directory, aby se mohly znovu připojit ke svým příslušným skupinám Microsoft Entra, pokud byly omylem zakázány pro zpětný zápis nebo obnovitelné odstranění.
Před opětovným povolením zpětného zápisu nebo obnovením z obnovitelného odstranění v Microsoft Entra ID musíte nejprve obnovit skupinu ve službě Active Directory.