Microsoft Entra Bağlan grup geri yazmayı etkinleştirme
Önemli
Microsoft Entra Bağlan Sync'de Grup Geri Yazma v2'nin genel önizlemesi 30 Haziran 2024'te kullanıma sunulmayacaktır. Bu özellik bu tarihte kullanımdan kaldırılacak ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Bağlan Eşitleme'de artık desteklenmeyecektir.
Microsoft Entra Cloud Sync'te, Active Directory'ye Grup Sağlama adı verilen ve bulut güvenlik gruplarını Active Directory'ye sağlamak için Grup Geri Yazma v2 yerine kullanabileceğiniz benzer işlevler sunuyoruz. Cloud Sync'te geliştirdiğimiz diğer yeni özelliklerle birlikte Cloud Sync'te bu işlevselliği geliştirmek için çalışıyoruz.
Bağlan Sync'te bu önizleme özelliğini kullanan müşterilerin yapılandırmalarını Bağlan Eşitleme'den Cloud Sync'e değiştirmeleri gerekir. Tüm karma eşitlemenizi Cloud Sync'e taşımayı seçebilirsiniz (gereksinimlerinizi destekliyorsa). Ayrıca Cloud Sync'i yan yana çalıştırabilir ve yalnızca bulut güvenlik grubu sağlamayı Active Directory'ye Cloud Sync'e taşıyabilirsiniz.
Active Directory'ye Microsoft 365 grupları sağlayan müşteriler için bu özellik için Grup Geri Yazma v1'i kullanmaya devam edebilirsiniz.
Kullanıcı eşitleme sihirbazını kullanarak yalnızca Cloud Sync'e geçişi değerlendirebilirsiniz.
Grup geri yazma, Microsoft Entra Bağlan Sync kullanarak bulut gruplarını şirket içi Active Directory örneğine geri yazmanızı sağlayan bir özelliktir.
Bu makalede grup geri yazma özelliğini etkinleştirme adımları adım adım izleniyor.
Dağıtım adımları
Grup geri yazma özelliğin hem özgün hem de yeni sürümlerinin etkinleştirilmesini gerektirir. Özgün sürüm ortamınızda daha önce etkinleştirildiyse, ikinci adım kümesi zaten tamamlandığı için aşağıdaki adımların yalnızca ilk kümesini kullanmanız gerekir.
Dekont
Ortamınızda yeni grup geri yazma özelliğinin dağıtımını gerçekleştirmek için swing migration yöntemini izlemenizi öneririz. Bu yöntem, büyük bir geri alma gerekiyorsa net bir acil durum planı sağlar.
Gelişmiş grup geri yazma özelliği, Microsoft Entra Bağlan istemci örneğine göre değil kiracıda etkinleştirilir. Lütfen tüm Microsoft Entra Bağlan istemci örneklerinin en düşük derleme sürümü olan 1.6.4.0 veya sonraki bir sürüme güncelleştirildiğinden emin olun.
Dekont
Mevcut tüm Microsoft 365 gruplarını Active Directory'ye geri yazmak istemiyorsanız, özelliği etkinleştirmek için bu makaledeki adımları gerçekleştirmeden önce grup geri yazma varsayılan davranışında değişiklik yapmanız gerekir. Bkz. Microsoft Entra Bağlan grubu geri yazma varsayılan davranışını değiştirme. Ayrıca özelliğin yeni ve özgün sürümlerinin belgelenen sırayla etkinleştirilmesi gerekir. İlk olarak özgün özellik etkinleştirilirse, mevcut tüm Microsoft 365 grupları Active Directory'ye geri yazılır.
PowerShell kullanarak grup geri yazmayı etkinleştirme
Microsoft Entra Bağlan sunucunuzda yönetici olarak bir PowerShell istemi açın.
Hiçbir eşitleme işleminin çalışmadığını doğruladıktan sonra eşitleme zamanlayıcısını devre dışı bırakın:
Set-ADSyncScheduler -SyncCycleEnabled $falseAD Eşitleme modülünü içeri aktarın:
Import-Module 'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1'Kiracı için grup geri yazma özelliğini etkinleştirin:
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $trueEşitleme zamanlayıcısını yeniden etkinleştirin:
Set-ADSyncScheduler -SyncCycleEnabled $trueGrup geri yazma daha önce yapılandırılmışsa ve Microsoft Entra Bağlan sihirbazında yapılandırılmayacaksa tam eşitleme döngüsü çalıştırın:
Start-ADSyncSyncCycle -PolicyType Initial
Microsoft Entra Bağlan sihirbazını kullanarak grup geri yazmayı etkinleştirme
Grup geri yazmanın özgün sürümü daha önce etkinleştirilmediyse aşağıdaki adımlarla devam edin:
- Microsoft Entra Bağlan sunucunuzda Microsoft Entra Bağlan sihirbazını açın.
- Yapılandır'ı ve ardından İleri'yi seçin.
- Eşitleme seçeneklerini özelleştir'i ve ardından İleri'yi seçin.
- Microsoft Entra Id'ye Bağlan sayfasında kimlik bilgilerinizi girin. İleri'yi seçin.
- İsteğe bağlı özellikler sayfasında, daha önce yapılandırdığınız seçeneklerin hala seçili olduğunu doğrulayın.
- Grup Geri Yazma'yı ve ardından İleri'yi seçin.
- Geri Yazma sayfasında, Microsoft 365'ten şirket içi kuruluşunuza eşitlenen nesneleri depolamak için bir Active Directory kuruluş birimi (OU) seçin. İleri'yi seçin.
- Yapılandırmaya hazır sayfasında Yapılandır'ı seçin.
- Yapılandırma tamamlandı sayfasında Çıkış'ı seçin.
Bu yordamı tamamladıktan sonra, grup geri yazma otomatik olarak yapılandırılır. Nesneyi Active Directory'ye aktarırken izin sorunlarıyla karşılaşırsanız, Windows PowerShell'i Microsoft Entra Bağlan sunucusunda yönetici olarak açın. Ardından aşağıdaki komutları çalıştırın. Bu adım isteğe bağlıdır.
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
İsteğe bağlı yapılandırma
Microsoft Entra ID'den Active Directory'ye geri yazılan grupları bulmayı kolaylaştırmak için, bulut görünen adını kullanarak grup ayırt edici adını geri yazma seçeneği vardır:
Varsayılan biçim:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=comYeni biçim:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Grup geri yazmayı yapılandırırken, yapılandırma penceresinin en altında bir onay kutusu görüntülenir. Bu özelliği etkinleştirmek için seçin.
Dekont
Microsoft Entra Id'den Active Directory'ye geri yazılan grupların bulutta bir yetki kaynağı olacaktır. Şirket içinde Microsoft Entra Id'den geri yazılan gruplarda yapılan tüm değişikliklerin üzerine bir sonraki eşitleme döngüsünde yazılır.