Поделиться через


Включение обратной записи группы Microsoft Entra Connect

Внимание

Общедоступная предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync больше не будет доступна после 30 июня 2024 г. Эта функция будет прекращена по этой дате, и вы больше не будете поддерживаться в Connect Sync для подготовки групп безопасности облака в Active Directory. Функция будет продолжать работать за пределами даты прекращения; однако она больше не получит поддержку после этой даты и может прекратить работу в любое время без уведомления.

Мы предлагаем аналогичные функциональные возможности в Microsoft Entra Cloud Sync с именем "Подготовка групп в Active Directory", которые можно использовать вместо групповой обратной записи версии 2 для подготовки групп безопасности облака в Active Directory . Мы работаем над улучшением этой функции в Cloud Sync вместе с другими новыми функциями, которые мы разрабатываем в Cloud Sync.

Клиенты, использующие эту предварительную версию функции в Службе синхронизации connect, должны переключить конфигурацию с Connect Sync на Cloud Sync. Вы можете переместить всю гибридную синхронизацию в облачную синхронизацию (если она поддерживает ваши потребности). Вы также можете выполнять облачную синхронизацию параллельно и перемещать только подготовку группы безопасности облака в Active Directory в Cloud Sync.

Для клиентов, которые подготавливают группы Microsoft 365 в Active Directory, можно продолжать использовать функцию обратной записи групп версии 1 для этой возможности.

Вы можете оценить перемещение исключительно в Cloud Sync с помощью мастера синхронизации пользователей.

Обратная запись групп — это функция, которая позволяет записывать облачные группы обратно в экземпляр локальная служба Active Directory с помощью Службы синхронизации Microsoft Entra Connect.

В этой статье описывается включение обратной записи группы.

Шаги развертывания

Для обратной записи группы требуется включить как исходную, так и новую версии функции. Если исходная версия была включена ранее в вашей среде, необходимо использовать только первый набор следующих шагов, так как второй набор шагов уже завершен.

Примечание.

Рекомендуется следовать методу миграции качели для развертывания новой функции обратной записи группы в вашей среде. Этот метод предоставит четкий план на непредвиденные случаи, если требуется основной откат.

Функция расширенной обратной записи группы включена в клиенте, а не на экземпляр клиента Microsoft Entra Connect. Убедитесь, что все экземпляры клиента Microsoft Entra Connect обновляются до минимальной версии сборки 1.6.4.0 или более поздней.

Примечание.

Если вы не хотите записывать все существующие группы Microsoft 365 в Active Directory, необходимо внести изменения в поведение обратной записи по умолчанию для групп, прежде чем выполнять действия, описанные в этой статье, чтобы включить эту функцию. См. статью "Изменение поведения обратной записи группы Microsoft Entra Connect" по умолчанию. Кроме того, необходимо включить новые и оригинальные версии функции в документе. Если исходная функция включена, все существующие группы Microsoft 365 будут записаны обратно в Active Directory.

Включение обратной записи групп с помощью PowerShell

  1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

  2. Отключите планировщик синхронизации после проверки, что операции синхронизации не выполняются:

    Set-ADSyncScheduler -SyncCycleEnabled $false  
    
  3. Импортируйте модуль ADSync.

    Import-Module  'C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync\ADSync.psd1' 
    
  4. Включите функцию обратной записи групп для клиента.

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true 
    
  5. Повторно включите планировщик синхронизации:

    Set-ADSyncScheduler -SyncCycleEnabled $true  
    
  6. Запустите полный цикл синхронизации, если ранее настроена обратная запись группы и не будет настроена в мастере Microsoft Entra Connect:

    Start-ADSyncSyncCycle -PolicyType Initial
    

Включение обратной записи групп с помощью мастера Microsoft Entra Connect

Если исходная версия обратной записи группы не была включена ранее, выполните следующие действия:

  1. На сервере Microsoft Entra Connect откройте мастер Microsoft Entra Connect.
  2. Нажмите кнопку "Настроить" и нажмите кнопку "Далее".
  3. Выберите Настроить параметры синхронизации и щелкните Далее.
  4. На странице "Подключение к идентификатору Microsoft Entra ID" введите свои учетные данные. Выберите Далее.
  5. На странице Дополнительные возможности убедитесь, что настроенные ранее параметры по-прежнему выбраны.
  6. Выберите "Обратная запись группы" и нажмите кнопку "Далее".
  7. На странице обратной записи выберите подразделение Active Directory для хранения объектов, синхронизированных с Microsoft 365 с локальной организацией. Выберите Далее.
  8. На странице Готово к настройке выберите Настроить.
  9. На странице Конфигурация завершена выберите Выйти.

После завершения этой процедуры функция обратной записи групп настраивается автоматически. Если при экспорте объекта в Active Directory возникают проблемы с разрешениями, откройте Windows PowerShell в качестве администратора на сервере Microsoft Entra Connect. Затем выполните следующие команды: Этот шаг необязательный.

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions –ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU 

Дополнительные настройки

Чтобы упростить поиск групп, записываемых обратно из Идентификатора Microsoft Entra в Active Directory, можно записать различающееся имя группы с помощью отображаемого имени в облаке:

  • Формат по умолчанию: CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • Новый формат: CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

При настройке обратной записи группы флажок появится в нижней части окна конфигурации. Выберите его, чтобы включить эту функцию.

Примечание.

Группы, записываемые обратно из идентификатора Microsoft Entra в Active Directory, будут иметь источник полномочий в облаке. Все изменения, внесенные локально в группы, записанные обратно из идентификатора Microsoft Entra ID, будут перезаписаны в следующем цикле синхронизации.

Следующие шаги