Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync

Ważne

Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.

Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.

Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.

W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.

Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.

W poniższym dokumencie opisano sposób migrowania zapisywania zwrotnego grup przy użyciu usługi Microsoft Entra Połączenie Sync (dawniej Azure AD Połączenie) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.

Ważne

Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2

Ponadto ten scenariusz jest obsługiwany tylko w następujących przypadkach:

• chmura utworzyła grupy zabezpieczeń
• te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych.

Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.

Aby uzyskać więcej informacji, zobacz Aprowizowanie w usłudze Active Directory za pomocą usługi Microsoft Entra Cloud Sync — często zadawane pytania.

Wymagania wstępne

Do zaimplementowania tego scenariusza wymagane są następujące wymagania wstępne.

• Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
• Lokalne konto usługi AD z co najmniej uprawnieniami administratora domeny — wymagane do uzyskania dostępu do atrybutu adminDescription i skopiowania go do atrybutu msDS-ExternalDirectoryObjectId
• Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
  • Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
• Inicjowanie obsługi administracyjnej agenta przy użyciu kompilacji w wersji 1.1.1367.0 lub nowszej.
• Agent aprowizacji musi mieć możliwość komunikowania się z kontrolerami domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
  • Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa

Krok 1. Kopiowanie adminDescription do identyfikatora msDS-ExternalDirectoryObjectID

1. W środowisku lokalnym otwórz plik ADSI Edit (Edytuj interfejs ADSI).

2. Skopiuj wartość, która znajduje się w atrybucie adminDescription grupy

   

3. Wklej do atrybutu msDS-ExternalDirectoryObjectID

   

Krok 2. Umieść serwer microsoft Entra Połączenie Sync w trybie przejściowym i wyłącz harmonogram synchronizacji

1. Uruchamianie kreatora microsoft Entra Połączenie Sync

2. Kliknij pozycję Konfiguruj.

3. Wybierz pozycję Konfiguruj tryb przejściowy, a następnie kliknij przycisk Dalej

4. Wprowadź poświadczenia entra firmy Microsoft

5. Zaznacz pole Włącz tryb przejściowy, a następnie kliknij przycisk Dalej

   

6. Kliknij pozycję Konfiguruj.

7. Kliknij pozycję Zakończ

   

8. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.

9. Wyłącz harmonogram synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Krok 3. Tworzenie reguły ruchu przychodzącego grupy niestandardowej

W edytorze reguł synchronizacji usługi Microsoft Entra Połączenie należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje grupy, które mają wartość NULL dla atrybutu poczty. Reguła synchronizacji ruchu przychodzącego to reguła sprzężenia z atrybutem docelowym cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych grup.

1. Uruchom edytor synchronizacji z menu aplikacji na pulpicie, jak pokazano poniżej:

2. Wybierz pozycję Ruch przychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj nową regułę.

3. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

   • Nazwa: nadaj regule zrozumiałą nazwę

   • Opis: Dodawanie opisów opisowych

   • system Połączenie: Wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji

   • Połączenie typ obiektu systemowego: Grupa

   • Typ obiektu Metaverse: Grupa

   • Typ łącza: sprzężenia

   • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie

   • Tag: Pozostaw pusty

     

4. Na stronie Filtr określania zakresu dodaj następujące polecenie, a następnie wybierz pozycję Dalej.

   Atrybut	Operator	Wartość
   cloudMastered	RÓWNE	prawda
   poczta	ISNULL

   

5. Na stronie Reguły dołączania wybierz pozycję Dalej.

6. Na stronie Przekształcenia dodaj stałą transformację: przepływ true do atrybutu cloudNoFlow. Wybierz Dodaj.

   

Krok 4. Tworzenie reguły ruchu wychodzącego grupy niestandardowej

Potrzebna będzie również reguła synchronizacji ruchu wychodzącego z typem linku JoinNoFlow i filtrem określania zakresu zawierającym atrybut cloudNoFlow ustawiony na true. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych grup.

1. Wybierz pozycję Wychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj regułę.

2. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

   • Nazwa: nadaj regule zrozumiałą nazwę
   • Opis: Dodawanie opisów opisowych
   • system Połączenie: Wybierz łącznik usługi AD, dla którego piszesz niestandardową regułę synchronizacji
   • Połączenie typ obiektu systemowego: Grupa
   • Typ obiektu Metaverse: Grupa
   • Typ łącza: JoinNoFlow
   • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
   • Tag: Pozostaw pusty

   

3. Na stronie Filtr określania zakresu wybierz pozycję cloudNoFlow równe True. Następnie kliknij przycisk Dalej.

   

4. Na stronie Reguły dołączania wybierz pozycję Dalej.

5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Krok 5. Kończenie konfiguracji przy użyciu programu PowerShell

1. Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.

2. Zaimportuj moduł ADSync:

   Import-Module  'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1' 
   

3. Uruchom cykl pełnej synchronizacji:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Wyłącz funkcję zapisywania zwrotnego grup dla dzierżawy:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Uruchom cykl pełnej synchronizacji (tak ponownie):

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Ponownie włącz harmonogram synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Krok 6. Usuwanie serwera Microsoft Entra Połączenie Sync z trybu przejściowego

1. Uruchamianie kreatora microsoft Entra Połączenie Sync
2. Kliknij pozycję Konfiguruj.
3. Wybierz pozycję Konfiguruj tryb przejściowy, a następnie kliknij przycisk Dalej
4. Wprowadź poświadczenia entra firmy Microsoft
5. Usuń zaznaczenie z pola Włącz tryb przejściowy i kliknij przycisk Dalej
6. Kliknij pozycję Konfiguruj.
7. Kliknij pozycję Zakończ

Krok 7. Konfigurowanie usługi Microsoft Entra Cloud Sync

Po pomyślnym usunięciu grup z zakresu usługi Microsoft Entra Połączenie Sync możesz skonfigurować i skonfigurować usługę Microsoft Entra Cloud Sync w celu przejęcia synchronizacji. Zobacz Aprowizuj grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync.

Następne kroki

• Zapisywanie zwrotne grup za pomocą usługi Microsoft Entra Cloud Sync

• Aprowizuj grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync

• Zarządzanie aplikacjami opartymi na lokalna usługa Active Directory (Kerberos) przy użyciu Zarządzanie tożsamością Microsoft Entra

• Aprowizowanie w usłudze Active Directory za pomocą usługi Microsoft Entra Cloud Sync — często zadawane pytania