Aktivera tillbakaskrivning av Microsoft Entra-Anslut grupp

Viktigt!

Den offentliga förhandsversionen av Group Writeback v2 i Microsoft Entra Anslut Sync är inte längre tillgänglig efter den 30 juni 2024. Den här funktionen upphör den här dagen och du kommer inte längre att stödjas i Anslut Sync för att etablera molnsäkerhetsgrupper i Active Directory.

Vi erbjuder liknande funktioner i Microsoft Entra Cloud Sync med namnet Gruppetablering till Active Directory som du kan använda i stället för Tillbakaskrivning av grupp v2 för etablering av molnsäkerhetsgrupper till Active Directory. Vi arbetar med att förbättra den här funktionen i Cloud Sync tillsammans med andra nya funktioner som vi utvecklar i Cloud Sync.

Kunder som använder den här förhandsgranskningsfunktionen i Anslut Sync bör byta konfiguration från Anslut Sync till Cloud Sync. Du kan välja att flytta all din hybridsynkronisering till Cloud Sync (om den stöder dina behov). Du kan också köra Cloud Sync sida vid sida och endast flytta etablering av molnsäkerhetsgrupper till Active Directory till Cloud Sync.

För kunder som etablerar Microsoft 365-grupper till Active Directory kan du fortsätta använda tillbakaskrivning av grupp v1 för den här funktionen.

Du kan utvärdera att flytta exklusivt till Cloud Sync med hjälp av användarsynkroniseringsguiden.

Tillbakaskrivning av grupper är en funktion som gör att du kan skriva tillbaka molngrupper till din lokal Active Directory-instans med hjälp av Microsoft Entra Anslut Sync.

Den här artikeln beskriver hur du aktiverar tillbakaskrivning av grupper.

Instruktioner för distribution

Tillbakaskrivning av grupper kräver aktivering av både de ursprungliga och nya versionerna av funktionen. Om den ursprungliga versionen tidigare har aktiverats i din miljö behöver du bara använda den första uppsättningen av följande steg, eftersom den andra uppsättningen steg redan har slutförts.

Kommentar

Vi rekommenderar att du följer metoden för swingmigrering för att distribuera den nya funktionen för tillbakaskrivning av grupper i din miljö. Den här metoden ger en tydlig beredskapsplan om en större återställning krävs.

Funktionen för utökad tillbakaskrivning av grupper är aktiverad i klientorganisationen och inte enligt Microsoft Entra Anslut klientinstans. Se till att alla Microsoft Entra-Anslut klientinstanser har uppdaterats till en minimal version av 1.6.4.0 eller senare.

Kommentar

Om du inte vill skriva tillbaka alla befintliga Microsoft 365-grupper till Active Directory måste du göra ändringar i standardbeteendet för gruppåterskrivning innan du utför stegen i den här artikeln för att aktivera funktionen. Se Ändra standardbeteendet för tillbakaskrivning av Microsoft Entra-Anslut grupp. Även de nya och ursprungliga versionerna av funktionen måste aktiveras i den ordning som dokumenteras. Om den ursprungliga funktionen aktiveras först skrivs alla befintliga Microsoft 365-grupper tillbaka till Active Directory.

Aktivera tillbakaskrivning av grupp med hjälp av PowerShell

1. Öppna en PowerShell-fråga som administratör på Microsoft Entra-Anslut-servern.

2. Inaktivera synkroniseringsschemaläggaren när du har kontrollerat att inga synkroniseringsåtgärder körs:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

3. Importera ADSync-modulen:

   Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
   

4. Aktivera funktionen för tillbakaskrivning av grupp för klientorganisationen:

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
   

5. Återaktivera synkroniseringsschemaläggaren:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

6. Kör en fullständig synkroniseringscykel om tillbakaskrivning av grupper tidigare har konfigurerats och inte konfigureras i Microsoft Entra Anslut-guiden:

   Start-ADSyncSyncCycle -PolicyType Initial
   

Aktivera tillbakaskrivning av grupper med hjälp av guiden Microsoft Entra Anslut

Om den ursprungliga versionen av tillbakaskrivningen av gruppen inte har aktiverats tidigare fortsätter du med följande steg:

1. Öppna Microsoft Entra Anslut-guiden på microsoft Entra Anslut-servern.
2. Välj Konfigurera och välj sedan Nästa.
3. Välj Anpassa synkroniseringsalternativ och välj sedan Nästa.
4. På sidan Anslut till Microsoft Entra-ID anger du dina autentiseringsuppgifter. Välj Nästa.
5. På sidan Valfria funktioner kontrollerar du att de alternativ som du tidigare har konfigurerat fortfarande är markerade.
6. Välj Tillbakaskrivning av grupp och välj sedan Nästa.
7. På sidan Tillbakaskrivning väljer du en Active Directory-organisationsenhet (OU) för att lagra objekt som synkroniseras från Microsoft 365 till din lokala organisation. Välj Nästa.
8. På sidan Redo att konfigurera väljer du Konfigurera.
9. På sidan Konfiguration slutförd väljer du Avsluta.

När du har slutfört den här proceduren konfigureras tillbakaskrivning av grupper automatiskt. Om du får behörighetsproblem när du exporterar objektet till Active Directory öppnar du Windows PowerShell som administratör på Microsoft Entra Anslut-servern. Kör sedan följande kommandon. Steget är valfritt.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Valfri konfiguration

För att göra det enklare att hitta grupper som skrivs tillbaka från Microsoft Entra-ID till Active Directory finns det ett alternativ för att skriva tillbaka gruppens unika namn med hjälp av molnvisningsnamnet:

• Standardformat: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

• Nytt format: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com 

När du konfigurerar tillbakaskrivning av grupper visas en kryssruta längst ned i konfigurationsfönstret. Välj den för att aktivera den här funktionen.

Kommentar

Grupper som skrivs tillbaka från Microsoft Entra-ID till Active Directory har en auktoritetskälla i molnet. Ändringar som görs lokalt i grupper som skrivs tillbaka från Microsoft Entra-ID skrivs över i nästa synkroniseringscykel.

Nästa steg

• Tillbakaskrivning av Microsoft Entra Connect-grupp
• Ändra standardbeteendet för tillbakaskrivning av Microsoft Entra-Anslut grupp
• Inaktivera tillbakaskrivning av Microsoft Entra Anslut-grupp