Migrieren der Microsoft Entra Connect Sync Group Writeback v2 zu Microsoft Entra Cloud Sync

In diesem Artikel wird beschrieben, wie Sie Group Writeback mithilfe von Microsoft Entra Connect Sync (früher Azure Active Directory Connect) zu Microsoft Entra Cloud Sync migrieren. Dieses Szenario ist nur für Kunden, die derzeit Microsoft Entra Connect Group Writeback v2 verwenden. Der in diesem Artikel beschriebene Prozess bezieht sich nur auf in der Cloud erstellte Sicherheitsgruppen, die zurückgeschrieben werden, um einen universellen Gültigkeitsbereich zu haben.

Dieses Szenario wird lediglich für Folgendes unterstützt:

• In der Cloud erstellte Sicherheitsgruppen.
• Gruppen, die in Active Directory zurückgeschrieben wurden, mit dem Umfang universell.

E-Mail-aktivierte Gruppen und Verteilerlisten, die in Active Directory zurückgeschrieben wurden, funktionieren weiterhin mit Microsoft Entra Connect-Gruppenrückschreiben, kehren jedoch zum Verhalten von Gruppenrückschreiben v1 zurück. In diesem Szenario werden nach der Deaktivierung von Gruppenrückschreiben v2 alle Microsoft 365-Gruppen unabhängig von der Einstellung "Rückschreiben aktiviert" im Microsoft Entra Admin Center in Active Directory zurückgeschrieben. Weitere Informationen finden Sie unter Bereitstellen von Active Directory mit Microsoft Entra Cloud Sync – häufig gestellte Fragen.

Voraussetzungen

• Microsoft Entra-Konto mit mindestens der Rolle Für Hybrididentitätsadministration zuständige Person.

• Ein lokales Active Directory-Konto mit mindestens Domänenadministratorberechtigungen.

  Erforderlich für den Zugriff auf das Attribut adminDescription und das Kopieren in das Attribut msDS-ExternalDirectoryObjectId.

• Lokale Active Directory Domain Services-Umgebung mit Windows Server 2022, Windows Server 2019 oder Windows Server 2016.

  Erforderlich für das Active Directory-Schema-Attribut msDS-ExternalDirectoryObjectId.

• Ein Bereitstellungs-Agent mit der Buildversion 1.1.1367.0 oder höher.

• Der Bereitstellungs-Agent muss mit den Domänencontrollern an den Ports TCP/389 (LDAP) und TCP/3268 (globaler Katalog) kommunizieren können.

  Erforderlich für die globale Katalogsuche, um ungültige Mitgliedschaftsverweise herauszufiltern.

Namenskonvention für zurückgeschriebene Gruppen

Die Microsoft Entra Connect-Synchronisierung verwendet standardmäßig das folgende Format beim Benennen von Gruppen, die zurückgeschrieben werden:

• Standardformat:CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Beispiel:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Um die Suche nach Gruppen zu vereinfachen, die von Microsoft Entra ID in Active Directory zurückgeschrieben werden, wurde bei der Microsoft Entra Connect-Synchronisierung eine Option zum Rückschreiben des Gruppennamens mithilfe des Cloudanzeigenamens hinzugefügt. Um diese Option zu verwenden, wählen Sie Distinguished Name der Gruppe mit Cloudanzeigename zurückschreiben während der Ersteinrichtung von Gruppenrückschreibens V2 aus. Wenn dieses Feature aktiviert ist, verwendet Microsoft Entra Connect anstelle des Standardformats das folgende neue Format:

• Neues Format:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• Beispiel:CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Standardmäßig verwendet Microsoft Entra Cloud Sync das neue Format, auch wenn das Feature "Writeback Group Distinguished Name" mit Cloud Display Name in Microsoft Entra Connect Sync nicht aktiviert ist. Wenn Sie die Standardbenennung von Microsoft Entra Connect Sync verwenden und dann die Gruppe migrieren, damit sie von Microsoft Entra Cloud Sync verwaltet wird, wird die Gruppe in das neue Format umbenannt. Verwenden Sie den folgenden Abschnitt, um Microsoft Entra Cloud Sync die Verwendung des Standardformats von Microsoft Entra Connect zu ermöglichen.

Verwenden des Standardformats

Wenn Microsoft Entra Cloud Sync dasselbe Standardformat wie Microsoft Entra Connect Sync verwenden soll, müssen Sie den Attributflussausdruck für das CN-Attribut ändern. Die zwei möglichen Zuordnungen sind:

Weitere Informationen finden Sie unter Hinzufügen einer Attributzuordnung – Microsoft Entra ID zu Active Directory.

Schritt 1: Kopieren von adminDescription in msDS-ExternalDirectoryObjectID

Um Gruppenmitgliedschaftsverweise zu überprüfen, muss Microsoft Entra Cloud Sync den globalen Active Directory-Katalog für das attribut msDS-ExternalDirectoryObjectID abfragen. Dieses indizierte Attribut wird in allen globalen Katalogen innerhalb der Active Directory-Gesamtstruktur repliziert.

1. Öffnen Sie die ADSI-Bearbeitung in Ihrer lokalen Umgebung.

2. Kopieren Sie den Wert, der sich im adminDescription-Attribut der Gruppe befindet.

   

3. Fügen Sie den Wert in das attribut msDS-ExternalDirectoryObjectID ein.

   

Sie können das folgende PowerShell-Skript verwenden, um diesen Schritt zu automatisieren. Dieses Skript nimmt alle Gruppen im OU=Groups,DC=Contoso,DC=com-Container und kopiert den adminDescription-Attributwert in den msDS-ExternalDirectoryObjectID-Attributwert. Aktualisieren Sie vor der Verwendung dieses Skripts die Variable $gwbOU mit dem DistinguishedName-Wert der Zielorganisationseinheit (OE) Ihres Gruppenrückschreibens.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Sie können das folgende PowerShell-Skript verwenden, um die Ergebnisse des vorherigen Skripts zu überprüfen. Sie können auch bestätigen, dass alle Gruppen den adminDescription Wert haben, der dem msDS-ExternalDirectoryObjectID Wert entspricht.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Schritt 2: Platzieren des Microsoft Entra Connect-Synchronisierungsservers im Stagingmodus und Deaktivieren des Synchronisierungsplanrs

1. Starten Sie den Microsoft Entra Connect-Synchronisierungs-Assistenten.

2. Wählen Sie Konfigurierenaus.

3. Wählen Sie Stagingmodus konfigurieren und anschließend Weiter aus:

4. Geben Sie die Microsoft Entra-Anmeldeinformationen ein.

5. Aktivieren Sie das Kontrollkästchen Stagingmodus aktivieren, und wählen Sie Weiter aus.

   

6. Wählen Sie Konfigurierenaus.

7. Wählen Sie Beenden aus.

   

8. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

9. Deaktivieren Sie den Synchronisierungsplaner:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Schritt 3: Erstellen einer benutzerdefinierten Eingangsregel für Gruppen

Im Microsoft Entra Connect-Synchronisierungsregeln-Editor erstellen Sie eine eingehende Synchronisierungsregel, die Gruppen herausfiltert, die über NULL für das E-Mail-Attribut verfügen. Die Eingangssynchronisierungsregel ist eine Verknüpfungsregel mit einem Ziel-Attribut von cloudNoFlow. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Gruppen nicht zu synchronisieren. Um diese Synchronisierungsregel zu erstellen, können Sie die Benutzeroberfläche verwenden oder sie über PowerShell mit dem bereitgestellten Skript erstellen.

Erstellen einer benutzerdefinierten eingehenden Gruppenregel in der Benutzeroberfläche

1. Starten Sie im Menü Start den Synchronisierungsregeln-Editor.

2. Wählen Sie in der Dropdownliste unter Richtung die Option Eingehend und dann Neue Regel hinzufügen aus.

3. Geben Sie auf der Seite Beschreibung die folgenden Werte ein, und wählen Sie Weiteraus:

   • Name: Geben Sie der Regel einen aussagekräftigen Namen.
   • Beschreibung: Fügen Sie eine aussagekräftige Beschreibung hinzu.
   • Verbundenes System: Wählen Sie den Microsoft Entra-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel schreiben.
   • Objekttyp des verbundenen Systems: Wählen Sie group aus.
   • Metaverse-Objekttyp: Wählen Sie Gruppeaus.
   • Verknüpfungstyp: Wählen Sie Join aus.
   • Vorrang: Geben Sie einen Wert an, der im System einzigartig ist. Es wird empfohlen, einen Wert unter 100 zu verwenden, damit er Vorrang vor den Standardregeln hat.
   • Tag: Lassen Sie dieses Feld leer.

   

4. Fügen Sie auf der Seite Bereichsfilter die folgenden Werte hinzu, und wählen Sie dann Weiter aus:

   Attribut	Bediener	Wert
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

6. Wählen Sie auf der Seite Transformationen hinzufügen für FlowType die Option Konstante aus. Wählen Sie für das Zielattribut die Option cloudNoFlowaus. Wählen Sie für Quelle die Option True aus.

   

7. Wählen Sie Hinzufügen.

Erstellen einer benutzerdefinierten eingehenden Gruppenregel in PowerShell

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

2. Importieren Sie das Modul.

   Import-Module ADSync
   

3. Geben Sie einen eindeutigen Wert für die Rangfolge der Synchronisierungsregel an (0-99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Führen Sie folgendes Skript aus:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Schritt 4: Erstellen einer benutzerdefinierten ausgehenden Gruppenregel

Außerdem benötigen Sie eine ausgehende Synchronisierungsregel mit einem Linktyp von JoinNoFlow und einem Bereichsfilter, bei dem das Attribut cloudNoFlow auf Truefestgelegt ist. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Gruppen nicht zu synchronisieren. Um diese Synchronisierungsregel zu erstellen, können Sie die Benutzeroberfläche verwenden oder sie über PowerShell mit dem bereitgestellten Skript erstellen.

Erstellen einer benutzerdefinierten Ausgangsgruppenregel in der Benutzeroberfläche

1. Wählen Sie in der Dropdownliste unter Richtung die Option Ausgehend aus, und wählen Sie dann Regel hinzufügen aus.

2. Geben Sie auf der Seite Beschreibung die folgenden Werte ein, und wählen Sie Weiteraus:

   • Name: Geben Sie der Regel einen aussagekräftigen Namen.
   • Beschreibung: Fügen Sie eine aussagekräftige Beschreibung hinzu.
   • Verbundenes System: Wählen Sie den Active Directory-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel schreiben.
   • Objekttyp des verbundenen Systems: Wählen Sie group aus.
   • Metaverse-Objekttyp: Wählen Sie Gruppeaus.
   • Linktyp: Wählen Sie JoinNoFlow-aus.
   • Vorrang: Geben Sie einen Wert an, der im System einzigartig ist. Es wird empfohlen, einen Wert unter 100 zu verwenden, damit er Vorrang vor den Standardregeln hat.
   • Tag: Lassen Sie dieses Feld leer.

   

3. Wählen Sie auf der Seite Bereichsfilter für Attribut die Option cloudNoFlow aus. Wählen Sie die Option Ist gleich als Operator aus. Wählen Sie für Wert die Option Wahr aus. Wählen Sie Weiteraus.

   

4. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

5. Wählen Sie auf der Seite Transformationen die Option Hinzufügen aus.

Erstellen einer benutzerdefinierten eingehenden Gruppenregel in PowerShell

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

2. Importieren Sie das Modul.

   Import-Module ADSync
   

3. Geben Sie einen eindeutigen Wert für die Rangfolge der Synchronisierungsregel an (0-99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Rufen Sie den Active Directory-Connector für Gruppenrückschreiben ab.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Führen Sie folgendes Skript aus:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Schritt 5: Verwenden von PowerShell zum Abschließen der Konfiguration

1. Öffnen Sie auf Ihrem Microsoft Entra Connect-Server eine PowerShell-Eingabeaufforderung als Administrator.

2. Importieren Sie das ADSync Modul:

   Import-Module ADSync
   

3. Führen Sie einen vollständigen Synchronisierungszyklus aus:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Deaktivieren Sie das Features für Gruppenrückschreiben für den Mandanten:

   Warnung

   Dieser Vorgang kann nicht rückgängig gemacht werden. Nachdem Sie "Gruppenrückschreiben v2" deaktiviert haben, werden alle Microsoft 365-Gruppen unabhängig von der Einstellung "Rückschreiben aktiviert" im Microsoft Entra Admin Center in Active Directory zurückgeschrieben.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Führen Sie einen vollständigen Synchronisierungszyklus erneut aus:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Den Synchronisierungsplaner wieder aktivieren.

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Schritt 6: Entfernen des Microsoft Entra Connect-Synchronisierungsservers aus dem Stagingmodus

1. Starten Sie den Microsoft Entra Connect-Synchronisierungs-Assistenten.
2. Wählen Sie Konfigurierenaus.
3. Wählen Sie Stagingmodus konfigurieren und anschließend Weiter aus:
4. Geben Sie die Microsoft Entra-Anmeldeinformationen ein.
5. Deaktivieren Sie das Kontrollkästchen Stagingmodus aktivieren, und wählen Sie Weiter aus.
6. Wählen Sie Konfigurierenaus.
7. Wählen Sie Beenden aus.

Schritt 7: Konfigurieren der Microsoft Entra Cloud Sync

Nachdem die Gruppen aus dem Synchronisierungsbereich der Microsoft Entra Connect-Synchronisierung entfernt wurden, können Sie die Microsoft Entra-Cloudsynchronisierung einrichten und konfigurieren, um die Synchronisierung der Sicherheitsgruppen zu übernehmen. Weitere Informationen finden Sie unter Bereitstellen von Gruppen in Active Directory mithilfe von Microsoft Entra Cloud Sync.

Verwandte Inhalte

• Bereitstellen von Gruppen in Active Directory mithilfe von Microsoft Entra Cloud Sync
• Verwalten lokaler Active Directory-basierter Apps (Kerberos) mithilfe von Microsoft Entra ID Governance-
• Provisionierung in Active Directory mit Microsoft Entra Cloud Sync: Häufig gestellte Fragen