Migrowanie zapisywania zwrotnego grup microsoft Entra Połączenie Sync w wersji 2 do usługi Microsoft Entra Cloud Sync
Ważne
Publiczna wersja zapoznawcza funkcji zapisywania zwrotnego grup w wersji 2 w usłudze Microsoft Entra Połączenie Sync nie będzie już dostępna po 30 czerwca 2024 r. Ta funkcja zostanie wycofana w tej dacie i nie będzie już obsługiwana w usłudze Połączenie Sync w celu aprowizacji grup zabezpieczeń w chmurze w usłudze Active Directory.
Oferujemy podobne funkcje w usłudze Microsoft Entra Cloud Sync o nazwie Aprowizacja grupy w usłudze Active Directory , których można użyć zamiast zapisywania zwrotnego grup grup w wersji 2 na potrzeby aprowizowania grup zabezpieczeń w chmurze w usłudze Active Directory. Pracujemy nad ulepszeniem tej funkcji w usłudze Cloud Sync wraz z innymi nowymi funkcjami, które opracowujemy w usłudze Cloud Sync.
Klienci korzystający z tej funkcji w wersji zapoznawczej w usłudze Połączenie Sync powinni przełączyć konfigurację z usługi Połączenie Sync do usługi Cloud Sync. Możesz przenieść całą synchronizację hybrydową z usługą Cloud Sync (jeśli jest ona obsługiwana). Synchronizacja z chmurą można również uruchamiać obok siebie i przenosić tylko aprowizację grupy zabezpieczeń w chmurze do usługi Active Directory w usłudze Cloud Sync.
W przypadku klientów, którzy aprowizować grupy platformy Microsoft 365 w usłudze Active Directory, możesz nadal korzystać z funkcji zapisywania zwrotnego grup w wersji 1.
Możesz ocenić przeniesienie wyłącznie do usługi Cloud Sync przy użyciu kreatora synchronizacji użytkowników.
W poniższym dokumencie opisano sposób migrowania zapisywania zwrotnego grup przy użyciu usługi Microsoft Entra Połączenie Sync (dawniej Azure AD Połączenie) do usługi Microsoft Entra Cloud Sync. Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2. Proces opisany w tym dokumencie dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem. Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.
Ważne
Ten scenariusz dotyczy tylko klientów, którzy obecnie korzystają z usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 2
Ponadto ten scenariusz jest obsługiwany tylko w następujących przypadkach:
- chmura utworzyła grupy zabezpieczeń
- te grupy są zapisywane z powrotem z zakresem grup usługi AD uniwersalnych.
Grupy z obsługą poczty i listy DL zapisywane z powrotem przy użyciu usługi Microsoft Entra Połączenie zapisywania zwrotnego grup w wersji 1 lub 2 nie są obsługiwane.
Aby uzyskać więcej informacji, zobacz Aprowizowanie w usłudze Active Directory za pomocą usługi Microsoft Entra Cloud Sync — często zadawane pytania.
Wymagania wstępne
Do zaimplementowania tego scenariusza wymagane są następujące wymagania wstępne.
- Konto Microsoft Entra z co najmniej rolą hybrydowego Administracja istratora.
- Lokalne konto usługi AD z co najmniej uprawnieniami administratora domeny — wymagane do uzyskania dostępu do atrybutu adminDescription i skopiowania go do atrybutu msDS-ExternalDirectoryObjectId
- Lokalne środowisko usług domena usługi Active Directory z systemem operacyjnym Windows Server 2016 lub nowszym.
- Wymagane dla atrybutu schematu usługi AD — msDS-ExternalDirectoryObjectId
- Inicjowanie obsługi administracyjnej agenta przy użyciu kompilacji w wersji 1.1.1367.0 lub nowszej.
- Agent aprowizacji musi mieć możliwość komunikowania się z kontrolerami domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).
- Wymagane do wyszukiwania wykazu globalnego w celu odfiltrowania nieprawidłowych odwołań do członkostwa
Krok 1. Kopiowanie adminDescription do identyfikatora msDS-ExternalDirectoryObjectID
W środowisku lokalnym otwórz plik ADSI Edit (Edytuj interfejs ADSI).
Skopiuj wartość, która znajduje się w atrybucie adminDescription grupy
Wklej do atrybutu msDS-ExternalDirectoryObjectID
Krok 2. Umieść serwer microsoft Entra Połączenie Sync w trybie przejściowym i wyłącz harmonogram synchronizacji
Uruchamianie kreatora microsoft Entra Połączenie Sync
Kliknij pozycję Konfiguruj.
Wybierz pozycję Konfiguruj tryb przejściowy, a następnie kliknij przycisk Dalej
Wprowadź poświadczenia entra firmy Microsoft
Zaznacz pole Włącz tryb przejściowy, a następnie kliknij przycisk Dalej
Kliknij pozycję Konfiguruj.
Kliknij pozycję Zakończ
Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.
Wyłącz harmonogram synchronizacji:
Set-ADSyncScheduler -SyncCycleEnabled $false
Krok 3. Tworzenie reguły ruchu przychodzącego grupy niestandardowej
W edytorze reguł synchronizacji usługi Microsoft Entra Połączenie należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje grupy, które mają wartość NULL dla atrybutu poczty. Reguła synchronizacji ruchu przychodzącego to reguła sprzężenia z atrybutem docelowym cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych grup.
Uruchom edytor synchronizacji z menu aplikacji na pulpicie, jak pokazano poniżej:
Wybierz pozycję Ruch przychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj nową regułę.
Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:
Nazwa: nadaj regule zrozumiałą nazwę
Opis: Dodawanie opisów opisowych
system Połączenie: Wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji
Połączenie typ obiektu systemowego: Grupa
Typ obiektu Metaverse: Grupa
Typ łącza: sprzężenia
Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
Tag: Pozostaw pusty
Na stronie Filtr określania zakresu dodaj następujące polecenie, a następnie wybierz pozycję Dalej.
Atrybut Operator Wartość cloudMastered RÓWNE prawda poczta ISNULL Na stronie Reguły dołączania wybierz pozycję Dalej.
Na stronie Przekształcenia dodaj stałą transformację: przepływ true do atrybutu cloudNoFlow. Wybierz Dodaj.
Krok 4. Tworzenie reguły ruchu wychodzącego grupy niestandardowej
Potrzebna będzie również reguła synchronizacji ruchu wychodzącego z typem linku JoinNoFlow i filtrem określania zakresu zawierającym atrybut cloudNoFlow ustawiony na true. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych grup.
Wybierz pozycję Wychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj regułę.
Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:
- Nazwa: nadaj regule zrozumiałą nazwę
- Opis: Dodawanie opisów opisowych
- system Połączenie: Wybierz łącznik usługi AD, dla którego piszesz niestandardową regułę synchronizacji
- Połączenie typ obiektu systemowego: Grupa
- Typ obiektu Metaverse: Grupa
- Typ łącza: JoinNoFlow
- Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
- Tag: Pozostaw pusty
Na stronie Filtr określania zakresu wybierz pozycję cloudNoFlow równe True. Następnie kliknij przycisk Dalej.
Na stronie Reguły dołączania wybierz pozycję Dalej.
Na stronie Przekształcenia wybierz pozycję Dodaj.
Krok 5. Kończenie konfiguracji przy użyciu programu PowerShell
Na serwerze Microsoft Entra Połączenie otwórz wiersz polecenia programu PowerShell jako administrator.
Zaimportuj moduł ADSync:
Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\Tools\ADSyncTools.psm1'
Uruchom cykl pełnej synchronizacji:
Start-ADSyncSyncCycle -PolicyType Initial
Wyłącz funkcję zapisywania zwrotnego grup dla dzierżawy:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false
Uruchom cykl pełnej synchronizacji (tak ponownie):
Start-ADSyncSyncCycle -PolicyType Initial
Ponownie włącz harmonogram synchronizacji:
Set-ADSyncScheduler -SyncCycleEnabled $true
Krok 6. Usuwanie serwera Microsoft Entra Połączenie Sync z trybu przejściowego
- Uruchamianie kreatora microsoft Entra Połączenie Sync
- Kliknij pozycję Konfiguruj.
- Wybierz pozycję Konfiguruj tryb przejściowy, a następnie kliknij przycisk Dalej
- Wprowadź poświadczenia entra firmy Microsoft
- Usuń zaznaczenie z pola Włącz tryb przejściowy i kliknij przycisk Dalej
- Kliknij pozycję Konfiguruj.
- Kliknij pozycję Zakończ
Krok 7. Konfigurowanie usługi Microsoft Entra Cloud Sync
Po pomyślnym usunięciu grup z zakresu usługi Microsoft Entra Połączenie Sync możesz skonfigurować i skonfigurować usługę Microsoft Entra Cloud Sync w celu przejęcia synchronizacji. Zobacz Aprowizuj grupy w usłudze Active Directory przy użyciu usługi Microsoft Entra Cloud Sync.