Povolení zpětného zápisu skupiny Microsoft Entra Připojení

  • Článek

Důležité

Verze Public Preview zpětného zápisu skupiny v2 v Microsoft Entra Připojení Sync už nebude k dispozici po 30. červnu 2024. Tato funkce bude k tomuto datu ukončena a v Připojení Sync už nebudete podporováni za účelem zřizování skupin zabezpečení cloudu ve službě Active Directory.

Ve službě Microsoft Entra Cloud Sync nabízíme podobné funkce označované jako Zřizování skupin pro Active Directory , které můžete použít místo zpětného zápisu skupiny v2 pro zřizování skupin zabezpečení cloudu pro Active Directory. Pracujeme na vylepšení této funkce v Synchronizaci cloudu spolu s dalšími novými funkcemi, které vyvíjíme ve službě Cloud Sync.

Zákazníci, kteří používají tuto funkci Preview ve službě Připojení Sync, by měli přepnout konfiguraci ze služby Připojení Sync na cloudovou synchronizaci. Můžete se rozhodnout přesunout veškerou hybridní synchronizaci do cloudové synchronizace (pokud podporuje vaše potřeby). Synchronizaci cloudu můžete také spustit vedle sebe a přesunout pouze zřizování skupin zabezpečení cloudu do služby Active Directory do cloudové synchronizace.

Pro zákazníky, kteří zřídí skupiny Microsoftu 365 pro Službu Active Directory, můžete pro tuto funkci dál používat zpětný zápis skupiny v1.

K vyhodnocení přesunu výhradně do cloudové synchronizace můžete použít průvodce synchronizací uživatelů.

Zpětný zápis skupiny je funkce, která umožňuje psát cloudové skupiny zpět do vaší instance místní Active Directory pomocí nástroje Microsoft Entra Připojení Sync.

Tento článek vás provede povolením zpětného zápisu skupiny.

Postup nasazení

Zpětný zápis skupiny vyžaduje povolení původní i nové verze funkce. Pokud byla původní verze ve vašem prostředí dříve povolená, musíte použít pouze první sadu následujících kroků, protože druhá sada kroků už byla dokončena.

Poznámka:

Doporučujeme postupovat podle metody migrace houpačky pro zavádění nové funkce zpětného zápisu skupiny ve vašem prostředí. Tato metoda poskytne jasný plán nepředvídaných událostí, pokud je nutné provést významné vrácení zpět.

Rozšířená funkce zpětného zápisu skupiny je v tenantovi povolená, a ne pro instanci klienta Microsoft Entra Připojení. Ujistěte se, že všechny instance klienta Microsoft Entra Připojení jsou aktualizovány na minimální verzi sestavení 1.6.4.0 nebo novější.

Poznámka:

Pokud nechcete do služby Active Directory zapisovat všechny existující skupiny Microsoftu 365, musíte před provedením kroků v tomto článku provést změny výchozího chování zpětného zápisu skupiny. Viz Úprava výchozího chování zpětného zápisu skupiny Microsoft Entra Připojení. Nové a původní verze této funkce je také potřeba povolit v objednávce. Pokud je původní funkce povolená jako první, všechny existující skupiny Microsoftu 365 se zapíšou zpět do služby Active Directory.

Povolení zpětného zápisu skupiny pomocí PowerShellu

  1. Na serveru Microsoft Entra Připojení otevřete příkazový řádek PowerShellu jako správce.

  2. Po ověření, že nejsou spuštěné žádné synchronizační operace, zakažte plánovač synchronizace:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Import modulu ADSync:

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. Povolte funkci zpětného zápisu skupiny pro tenanta:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Znovu povolte plánovač synchronizace:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Spusťte úplný cyklus synchronizace, pokud byl dříve nakonfigurovaný zpětný zápis skupiny a nebude nakonfigurován v průvodci Microsoft Entra Připojení:

    Start-ADSyncSyncCycle -PolicyType Initial

Povolení zpětného zápisu skupiny pomocí průvodce Microsoft Entra Připojení

Pokud původní verze zpětného zápisu skupiny nebyla dříve povolena, pokračujte následujícími kroky:

  1. Na serveru Microsoft Entra Připojení otevřete průvodce Připojení Microsoft Entra.
  2. Vyberte Konfigurovat a pak vyberte Další.
  3. Vyberte Přizpůsobit možnosti synchronizace a pak vyberte Další.
  4. Na Připojení na stránce Microsoft Entra ID zadejte své přihlašovací údaje. Vyberte Další.
  5. Na stránce Volitelné funkce ověřte, že jsou stále vybrané možnosti, které jste nakonfigurovali.
  6. Vyberte Zpětný zápis skupiny a pak vyberte Další.
  7. Na stránce Zpětný zápis vyberte organizační jednotku (OU) služby Active Directory, do které se budou ukládat objekty synchronizované z Microsoftu 365 do místní organizace. Vyberte Další.
  8. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.
  9. Na stránce Dokončení konfigurace vyberte Ukončit.

Po dokončení tohoto postupu se zpětný zápis skupiny nakonfiguruje automaticky. Pokud při exportu objektu do služby Active Directory dochází k problémům s oprávněními, otevřete prostředí Windows PowerShell jako správce na serveru Microsoft Entra Připojení. Pak spusťte následující příkazy. Tento krok je nepovinný.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Volitelná konfigurace

Aby bylo snazší najít skupiny, které se zapisují z MICROSOFT Entra ID do Active Directory, existuje možnost zapsat rozlišující název skupiny pomocí zobrazovaného názvu cloudu:

  • Výchozí formát: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Nový formát: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

Při konfiguraci zpětného zápisu skupiny se v dolní části okna konfigurace zobrazí zaškrtávací políčko. Tuto funkci povolíte tak, že ji vyberete.

Poznámka:

Skupiny, které se zapisují z Microsoft Entra ID do Active Directory, budou mít zdroj autority v cloudu. Všechny změny provedené místně u skupin, které se zapisují z ID Microsoft Entra, se přepíšou v dalším cyklu synchronizace.

Další kroky