Migrer Microsoft Entra Connect Sync Group Writeback v2 vers Microsoft Entra Cloud Sync

Cet article explique comment migrer l’écriture différée de groupe à l’aide de Microsoft Entra Connect Sync (anciennement Azure Active Directory Connect) vers Microsoft Entra Cloud Sync. Ce scénario concerne uniquement les clients qui utilisent actuellement Microsoft Entra Connect Group Writeback v2. Le processus décrit dans cet article concerne uniquement les groupes de sécurité créés dans le cloud qui sont réécrits avec une étendue universelle.

Ce scénario est pris en charge uniquement pour :

• Groupes de sécurité créés dans le cloud.
• Groupes réécrits dans Active Directory avec la portée universelle.

Les groupes à messagerie et les listes de distribution réécrits dans Active Directory continuent de fonctionner avec Microsoft Entra Connect Group Writeback, mais reviennent au comportement de Group Writeback v1. Dans ce scénario, après avoir désactivé la réécriture de groupe v2, tous les groupes Microsoft 365 sont réécrits dans Active Directory indépendamment du paramètre Writeback Enabled dans le Centre d’administration Microsoft Entra. Pour plus d’informations, consultez Provision to Active Directory avec Microsoft Entra Cloud Sync FAQ.

Prérequis

• Un compte Microsoft Entra avec au moins un rôle d’administrateur d’identité hybride .

• Un compte Active Directory local disposant au moins d’autorisations d’administrateur de domaine.

  Requis pour accéder à l’attribut adminDescription et le copier dans l’attribut msDS-ExternalDirectoryObjectId .

• Environnement Active Directory Domain Services local qui exécute Windows Server 2022, Windows Server 2019 ou Windows Server 2016.

  Obligatoire pour l’attribut msDS-ExternalDirectoryObjectIdSchéma Active Directory .

• Agent de provisioning avec la version de build 1.1.1367.0 ou ultérieure.

• L’agent d’approvisionnement doit être en mesure de communiquer avec les contrôleurs de domaine sur les ports TCP/389 (LDAP) et TCP/3268 (catalogue global).

  Obligatoire pour la recherche dans le catalogue global afin de filtrer les références d’appartenance non valides.

Convention de nommage des groupes écrite en arrière

Par défaut, Microsoft Entra Connect Sync utilise le format suivant lorsque les groupes de noms sont réécrits :

• Format par défaut :CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
•               Exemple :CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Pour faciliter la recherche des groupes réécrits depuis Microsoft Entra ID vers Active Directory, la synchronisation Microsoft Entra Connect a ajouté une option permettant de réécrire le nom des groupes en utilisant le nom d’affichage cloud. Pour utiliser cette option, sélectionnez le nom distinctif du groupe Writeback avec le nom d'affichage du cloud lors de la configuration initiale de Group Writeback v2. Si cette fonctionnalité est activée, Microsoft Entra Connect utilise le nouveau format suivant au lieu du format par défaut :

• Nouveau format :CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
•               Exemple :CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Par défaut, Microsoft Entra Cloud Sync utilise le nouveau format, même si la fonctionnalité Nom unique du groupe d'écriture différée avec nom d'affichage cloud n'est pas activée dans Microsoft Entra Connect Sync. Si vous utilisez la dénomination par défaut de Microsoft Entra Connect Sync, puis migrez le groupe afin qu'il soit géré par Microsoft Entra Cloud Sync, le groupe est renommé au nouveau format. Utilisez la section suivante pour autoriser Microsoft Entra Cloud Sync à utiliser le format par défaut de Microsoft Entra Connect.

Utiliser le format par défaut

Si vous souhaitez que Microsoft Entra Cloud Sync utilise le même format par défaut que Microsoft Entra Connect Sync, vous devez modifier l’expression de flux d’attribut pour l’attribut CN . Les deux mappages possibles sont les suivants :

Pour plus d’informations, consultez Ajouter un mappage d’attributs - ID Microsoft Entra à Active Directory.

Étape 1 : Copier adminDescription dans msDS-ExternalDirectoryObjectID

Pour valider les références d’appartenance au groupe, Microsoft Entra Cloud Sync doit interroger le catalogue global Active Directory pour l’attribut msDS-ExternalDirectoryObjectID . Cet attribut indexé est répliqué dans tous les catalogues globaux de la forêt Active Directory.

1. Dans votre environnement local, ouvrez ADSI Edit.

2. Copiez la valeur qui se trouve dans l’attribut du adminDescription groupe.

   

3. Collez la valeur dans l’attribut msDS-ExternalDirectoryObjectID .

   

Vous pouvez utiliser le script PowerShell suivant pour automatiser cette étape. Ce script prend tous les groupes du conteneur OU=Groups,DC=Contoso,DC=com et copie la valeur d’attribut adminDescription dans la valeur d’attribut msDS-ExternalDirectoryObjectID. Avant d’utiliser ce script, mettez à jour la variable $gwbOU avec la valeur DistinguishedName de l’unité d’organisation cible de votre écriture différée de groupe.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Vous pouvez utiliser le script PowerShell suivant pour vérifier les résultats du script précédent. Vous pouvez également confirmer que tous les groupes ont la adminDescription valeur égale à la msDS-ExternalDirectoryObjectID valeur.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Étape 2 : Placer le serveur Microsoft Entra Connect Sync en mode intermédiaire et désactiver le planificateur de synchronisation

1. Démarrez l’Assistant Microsoft Entra Connect Sync.

2. Sélectionnez Configurer.

3. Sélectionnez Configurer le mode intermédiaire , puis sélectionnez Suivant.

4. Entrez les informations d'identification Microsoft Entra.

5. Cochez la case Activer le mode intermédiaire , puis sélectionnez Suivant.

   

6. Sélectionnez Configurer.

7. Sélectionnez Quitter.

   

8. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

9. Désactivez le planificateur de synchronisation :

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Étape 3 : Créer une règle de trafic entrant de groupe personnalisé

Dans l’Éditeur de règles de synchronisation Microsoft Entra Connect, vous créez une règle de synchronisation entrante qui filtre les groupes qui ont NULL pour l’attribut de messagerie. La règle de synchronisation entrante est une règle de jointure avec un attribut cible de cloudNoFlow. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces groupes. Pour créer cette règle de synchronisation, vous pouvez choisir d’utiliser l’interface utilisateur ou de la créer via PowerShell avec le script fourni.

Créer une règle entrante de groupe personnalisée dans l’interface utilisateur

1. Dans le menu Démarrer , démarrez l’Éditeur de règles de synchronisation.

2. Sous Direction, sélectionnez Entrant dans la liste déroulante, puis sélectionnez Ajouter une nouvelle règle.

3. Dans la page Description , entrez les valeurs suivantes, puis sélectionnez Suivant :

   • Nom : donnez un nom explicite à la règle.
   • Description : Ajoutez une description explicite.
   • Système connecté : choisissez le connecteur Microsoft Entra pour lequel vous écrivez la règle de synchronisation personnalisée.
   • Type d’objet système connecté : sélectionnez un groupe.
   • Type d’objet métaverse : sélectionner un groupe.
   • Type de lien : sélectionnez Jointure.
   • Priorité : fournissez une valeur unique dans le système. Nous vous recommandons d’utiliser une valeur inférieure à 100 afin qu’elle soit prioritaire sur les règles par défaut.
   • Étiquette: Laissez le champ vide.

   

4. Sur la page Filtre de portée, ajoutez les valeurs suivantes et sélectionnez Suivant :

   Attribut	Opérateur	Valeur
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Dans la page Règles de jointure , sélectionnez Suivant.

6. Dans la page Ajouter des transformations , pour FlowType, sélectionnez Constante. Pour l’attribut cible, sélectionnez cloudNoFlow. Pour Source, sélectionnez True.

   

7. Sélectionnez Ajouter.

Créer une règle entrante de groupe personnalisée dans PowerShell

1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

2. Importez le module .

   Import-Module ADSync
   

3. Fournissez une valeur unique pour la priorité des règles de synchronisation (0-99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Exécutez le script suivant :

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Étape 4 : créer une règle sortante de groupe personnalisée

Vous avez également besoin d'une règle de synchronisation sortante avec un type de lien JoinNoFlow et un filtre d'étendue avec l'attribut cloudNoFlow défini sur True. Cette règle indique à Microsoft Entra Connect de ne pas synchroniser les attributs de ces groupes. Pour créer cette règle de synchronisation, vous pouvez choisir d’utiliser l’interface utilisateur ou de la créer via PowerShell avec le script fourni.

Créer une règle sortante de groupe personnalisée dans l’interface utilisateur

1. Sous Direction, sélectionnez Sortant dans la liste déroulante, puis sélectionnez Ajouter une règle.

2. Dans la page Description , entrez les valeurs suivantes, puis sélectionnez Suivant :

   • Nom : donnez un nom explicite à la règle.
   • Description : Ajoutez une description explicite.
   • Système connecté : choisissez le connecteur Active Directory pour lequel vous écrivez la règle de synchronisation personnalisée.
   • Type d’objet système connecté : sélectionnez un groupe.
   • Type d’objet métaverse : sélectionner un groupe.
   • Type de lien : sélectionnez JoinNoFlow.
   • Priorité : fournissez une valeur unique dans le système. Nous vous recommandons d’utiliser une valeur inférieure à 100 afin qu’elle soit prioritaire sur les règles par défaut.
   • Étiquette : laissez ce champ vide.

   

3. Dans la page Filtre de périmètre, pour Attribut, sélectionnez cloudNoFlow. Pour Opérateur, sélectionnez EQUAL. Pour Valeur, sélectionnez True. Sélectionnez ensuite Suivant.

   

4. Dans la page Règles de jointure , sélectionnez Suivant.

5. Dans la page Transformations, sélectionnez Ajouter.

Créer une règle entrante de groupe personnalisée dans PowerShell

1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

2. Importez le module .

   Import-Module ADSync
   

3. Fournissez une valeur unique pour la priorité des règles de synchronisation (0-99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Obtenez le connecteur Active Directory pour l’écriture différée de groupe.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Exécutez le script suivant :

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Étape 5 : Utiliser PowerShell pour terminer la configuration

1. Sur votre serveur Microsoft Entra Connect, ouvrez une invite PowerShell en tant qu'administrateur.

2. Importez le ADSync module :

   Import-Module ADSync
   

3. Exécutez un cycle de synchronisation complet :

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Désactivez la fonctionnalité Group Writeback pour le client.

   Avertissement

   Cette action est irréversible. Après avoir désactivé la réécriture de groupe v2, tous les groupes Microsoft 365 sont réécrits dans Active Directory, indépendamment du paramètre Réécriture activé dans le Centre d’administration Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Réexécutez un cycle de synchronisation complet :

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Réenable le planificateur de synchronisation :

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Étape 6 : Supprimer le serveur Microsoft Entra Connect Sync du mode intermédiaire

1. Démarrez l’Assistant Microsoft Entra Connect Sync.
2. Sélectionnez Configurer.
3. Sélectionnez Configurer le mode intermédiaire , puis sélectionnez Suivant.
4. Entrez les informations d'identification Microsoft Entra.
5. Décochez la case Activer le mode intermédiaire , puis sélectionnez Suivant.
6. Sélectionnez Configurer.
7. Sélectionnez Quitter.

Étape 7 : Configurer Microsoft Entra Cloud Sync

Maintenant que les groupes ont été retirés du périmètre de synchronisation de Microsoft Entra Connect Sync, vous pouvez configurer Microsoft Entra Cloud Sync pour prendre en charge la synchronisation des groupes de sécurité. Pour plus d’informations, consultez Provisionner des groupes sur Active Directory à l’aide de Microsoft Entra Cloud Sync.

Contenu connexe

• Approvisionner des groupes dans Active Directory à l’aide de Microsoft Entra Cloud Sync
• Régir les applications locales basées sur Active Directory (Kerberos) à l’aide de Microsoft Entra ID Governance
• FAQ sur l’approvisionnement dans Active Directory avec Microsoft Entra Cloud Sync