Включение обратной записи группы microsoft Entra Подключение

  • Статья

Важно!

Общедоступная предварительная версия групповой записи версии 2 в Microsoft Entra Подключение Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена на эту дату, и вы больше не будете поддерживаться в Подключение Синхронизации для подготовки групп безопасности облака в Active Directory.

Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию в Подключение Синхронизации, должны переключить конфигурацию с Подключение Sync на облачную синхронизацию. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.

Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.

Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в экземпляр локальная служба Active Directory с помощью Microsoft Entra Подключение Sync.

В этой статье описывается включение обратной записи группы.

Шаги развертывания

Для обратной записи группы требуется включить как исходную, так и новую версии функции. Если исходная версия была включена ранее в вашей среде, необходимо использовать только первый набор следующих шагов, так как второй набор шагов уже завершен.

Примечание.

Рекомендуется следовать методу миграции качели для развертывания новой функции обратной записи группы в вашей среде. Этот метод предоставит четкий план на непредвиденные случаи, если требуется основной откат.

Функция расширенной обратной записи групп включена в клиенте, а не для экземпляра клиента Microsoft Entra Подключение. Убедитесь, что все экземпляры клиента Microsoft Entra Подключение обновляются до минимальной версии сборки 1.6.4.0 или более поздней.

Примечание.

Если вы не хотите записывать все существующие группы Microsoft 365 в Active Directory, необходимо внести изменения в поведение обратной записи по умолчанию для групп, прежде чем выполнять действия, описанные в этой статье, чтобы включить эту функцию. См. статью "Изменение поведения обратной записи в группе", Подключение Microsoft Entra. Кроме того, необходимо включить новые и оригинальные версии функции в документе. Если исходная функция включена, все существующие группы Microsoft 365 будут записаны обратно в Active Directory.

Включение обратной записи групп с помощью PowerShell

  1. На сервере Microsoft Entra Подключение откройте запрос PowerShell от имени администратора.

  2. Отключите планировщик синхронизации после проверки, что операции синхронизации не выполняются:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. Импортируйте модуль ADSync.

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. Включите функцию обратной записи групп для клиента.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. Повторно включите планировщик синхронизации:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. Запустите полный цикл синхронизации, если ранее настроена обратная запись группы и не будет настроена в мастере microsoft Entra Подключение:

    Start-ADSyncSyncCycle -PolicyType Initial

Включение обратной записи групп с помощью мастера Подключение Microsoft Entra

Если исходная версия обратной записи группы не была включена ранее, выполните следующие действия:

  1. На сервере Microsoft Entra Подключение откройте мастер Подключение Microsoft Entra.
  2. Нажмите кнопку "Настроить" и нажмите кнопку "Далее".
  3. Выберите Настроить параметры синхронизации и щелкните Далее.
  4. На странице Подключение идентификатора Microsoft Entra введите свои учетные данные. Выберите Далее.
  5. На странице Дополнительные возможности убедитесь, что настроенные ранее параметры по-прежнему выбраны.
  6. Выберите "Обратная запись группы" и нажмите кнопку "Далее".
  7. На странице обратной записи выберите подразделение Active Directory для хранения объектов, синхронизированных с Microsoft 365 с локальной организацией. Выберите Далее.
  8. На странице Готово к настройке выберите Настроить.
  9. На странице Конфигурация завершена выберите Выйти.

После завершения этой процедуры функция обратной записи групп настраивается автоматически. Если при экспорте объекта в Active Directory возникают проблемы с разрешениями, откройте Windows PowerShell в качестве администратора на сервере Microsoft Entra Подключение. Затем выполните следующие команды: Этот шаг необязательный.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

Дополнительные настройки

Чтобы упростить поиск групп, записываемых обратно из Идентификатора Microsoft Entra в Active Directory, можно записать различающееся имя группы с помощью отображаемого имени в облаке:

  • Формат по умолчанию: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Новый формат: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

При настройке обратной записи группы в нижней части окна конфигурации появится поле проверка box. Выберите его, чтобы включить эту функцию.

Примечание.

Группы, записываемые обратно из идентификатора Microsoft Entra в Active Directory, будут иметь источник полномочий в облаке. Все изменения, внесенные локально в группы, записанные обратно из идентификатора Microsoft Entra ID, будут перезаписаны в следующем цикле синхронизации.

Следующие шаги