Activer la réécriture du groupe Microsoft Entra Connect

Important

La préversion publique de l’écriture différée de groupe v2 dans Microsoft Entra Connecter Sync ne sera plus disponible après le 30 juin 2024. Cette fonctionnalité ne sera plus disponible à partir de cette date, et vous ne pourrez plus utiliser Connect Sync pour approvisionner les groupes de sécurité cloud à Active Directory.

Nous offrons des fonctionnalités similaires dans Microsoft Entra Cloud Sync, appelée Approvisionnement de groupe vers Active Directory, que vous pouvez utiliser au lieu d’écrire en écriture différée de groupe v2 pour approvisionner des groupes de sécurité cloud dans Active Directory. Nous travaillons à améliorer cette fonctionnalité dans Cloud Sync, ainsi que d’autres nouvelles caractéristiques que nous développons dans Cloud Sync.

Les clients qui utilisent cette fonctionnalité en aperçu dans Connecter Sync doivent basculer leur configuration de Connect Sync vers Cloud Sync. Vous pouvez choisir de déplacer toute votre synchronisation hybride vers Cloud Sync (si elle prend en charge vos besoins). Vous pouvez également exécuter Cloud Sync côte à côte et déplacer uniquement l’approvisionnement de groupes de sécurité cloud vers Active Directory vers Cloud Sync.

Pour les clients qui approvisionnent des groupes Microsoft 365 dans Active Directory, vous pouvez continuer à utiliser l’écriture différée de groupe v1 pour cette fonctionnalité.

Vous pouvez évaluer le déplacement exclusivement vers Cloud Sync à l’aide de l’assistant de synchronisation des utilisateurs.

La réécriture de groupe est une fonctionnalité qui vous permet de réécrire des groupes cloud sur votre instance Active Directory sur site à l'aide de Microsoft Entra Connect Sync.

Cet article vous guide tout au long du processus d’activation de l’écriture différée de groupe.

Étapes du déploiement

L’écriture différée de groupe nécessite d’activer à la fois les versions d’origine et les nouvelles versions de la fonctionnalité. Si la version d’origine était précédemment activée dans votre environnement, vous devez uniquement suivre le premier ensemble d’étapes, car le deuxième ensemble d’étapes a déjà été effectué.

Notes

Nous vous recommandons de suivre la méthode de migration Swing pour déployer la nouvelle fonctionnalité d’écriture différée de groupe dans votre environnement. Cette méthode fournira un plan d’urgence clair en cas de nécessité d’une restauration importante.

La fonctionnalité de réécriture de groupe améliorée est activée sur le locataire et non par instance client Microsoft Entra Connect. Assurez-vous que toutes les instances client Microsoft Entra Connect sont mises à jour vers une version de build minimale 1.6.4.0 ou ultérieure.

Remarque

Si vous ne souhaitez pas écrire en différé tous les groupes Microsoft 365 existants dans Active Directory, vous devez modifier le comportement par défaut d’écriture différée des groupes avant de réaliser les étapes décrites dans cet article pour activer la fonctionnalité. Voir Modifier le comportement par défaut de l'écriture différée du groupe Microsoft Entra Connect. De plus, les nouvelles versions et les versions d’origine de la fonctionnalité doivent être activées dans l’ordre documenté. Si la fonctionnalité d’origine est activée en premier, tous les groupes Microsoft 365 existants sont écrits en différé dans Active Directory.

Activer l’écriture différée de groupe à l’aide de PowerShell

1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

2. Désactivez le planificateur de synchronisation après avoir vérifié qu’aucune opération de synchronisation n’est en cours d’exécution :

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importez le module ADSync :

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Activez la fonctionnalité d’écriture différée du groupe pour le locataire :

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Réactivez le planificateur de synchronisation :

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Exécutez un cycle de synchronisation complet si l'écriture de groupe a été précédemment configurée et ne sera pas configurée dans l'assistant ⁠Microsoft Entra Connect :

   Start-ADSyncSyncCycle -PolicyType Initial
   

Activer la réécriture de groupe à l'aide de l'assistant Microsoft Entra Connect

Si la version d’origine de l’écriture différée de groupe n’a pas encore été activée, passez aux étapes suivantes :

1. Sur votre serveur Microsoft Entra Connect, ouvrez l'assistant Microsoft Entra Connect.
2. Sélectionnez Configurer, puis sélectionnez Suivant.
3. Sélectionnez Personnaliser les options de synchronisation, puis cliquez sur Suivant.
4. Sur la page Se connecter à Microsoft Entra ID, entrez vos informations d'identification. Cliquez sur Suivant.
5. Dans la page Fonctionnalités facultatives, vérifiez que les options que vous avez configurées précédemment sont toujours sélectionnées.
6. Sélectionnez Écriture différée de groupe, puis sélectionnez Suivant.
7. Dans la page Écriture différée, sélectionnez une unité d’organisation Active Directory pour stocker les objets synchronisés de Microsoft 365 vers votre organisation locale. Sélectionnez Suivant.
8. Sur la page Prêt à configurer, sélectionnez Configurer.
9. Sur la page Configuration effectuée, sélectionnez Quitter.

Une fois cette procédure terminée, l’écriture différée de groupe est configurée automatiquement. Si vous rencontrez des problèmes d'autorisation lors de l'exportation de l'objet vers Active Directory, ouvrez Windows PowerShell en tant qu'administrateur sur le serveur Microsoft Entra Connect. Exécutez ensuite les commande suivantes. Cette étape est facultative.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Configuration facultative

Pour faciliter la recherche des groupes réécrits depuis Microsoft Entra ID vers Active Directory, il existe une option permettant de réécrire le nom unique du groupe en utilisant le nom d'affichage du cloud :

• Format par défaut : CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nouveau format : CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

Lorsque vous configurez l’écriture différée de groupe, une case à cocher s’affiche en bas de la fenêtre de configuration. Cochez-la pour activer cette fonctionnalité.

Remarque

Les groupes réécrits depuis Microsoft Entra ID vers Active Directory auront une source d'autorité dans le cloud. Toutes les modifications apportées sur site aux groupes qui sont réécrites à partir de Microsoft Entra ID seront écrasées lors du prochain cycle de synchronisation.

Étapes suivantes

• Réécriture du groupe Microsoft Entra Connect
• Modifier le comportement par défaut de réécriture du groupe Microsoft Entra Connect
• Désactiver l'écriture différée du groupe Microsoft Entra Connect