Migrowanie Microsoft Entra Connect Sync Group Writeback v2 do usługi Microsoft Entra Cloud Sync

W tym artykule opisano sposób migracji zapisu zwrotnego grup za pomocą Microsoft Entra Connect Sync (dawniej Azure Active Directory Connect) do Microsoft Entra Cloud Sync. Ten scenariusz jest tylko dla klientów, którzy obecnie korzystają z Microsoft Entra Connect Group Writeback v2. Proces opisany w tym artykule dotyczy tylko grup zabezpieczeń utworzonych w chmurze, które są zapisywane z powrotem z uniwersalnym zakresem.

Ten scenariusz jest obsługiwany tylko w następujących przypadkach:

• Utworzone w chmurze grupy zabezpieczeń .
• Grupy zapisywane z powrotem do usługi Active Directory o zakresie uniwersalnym.

Grupy oraz listy dystrybucyjne z obsługą poczty, zapisywane z powrotem do Active Directory, nadal współpracują z funkcją zapisywania zwrotnego grup Microsoft Entra Connect, jednak przywracają sposób działania zapisywania zwrotnego grup w wersji 1. W tym scenariuszu, po wyłączeniu funkcji Group Writeback v2, wszystkie grupy Microsoft 365 są zapisywane z powrotem w usłudze Active Directory, niezależnie od ustawienia Writeback Enabled w centrum administracyjnym Microsoft Entra. Aby uzyskać więcej informacji, zobacz Aprowizacja do usługi Active Directory za pomocą Microsoft Entra Cloud Sync - często zadawane pytania (FAQ).

Wymagania wstępne

• Konto Microsoft Entra z rolą co najmniej administratora tożsamości hybrydowej.

• Lokalne konto usługi Active Directory z co najmniej uprawnieniami administratora domeny.

  Wymagane do uzyskania dostępu do atrybutu adminDescription i skopiowania go do atrybutu msDS-ExternalDirectoryObjectId.

• Lokalne środowisko usług Active Directory Domain Services z systemem Windows Server 2022, Windows Server 2019 lub Windows Server 2016.

  Wymagane dla atrybutu schematu usługi Active Directory msDS-ExternalDirectoryObjectId.

• Agent konfiguracji w wersji build 1.1.1367.0 lub nowszej.

• Agent aprowizacji musi mieć możliwość komunikowania się z kontrolerami domeny na portach TCP/389 (LDAP) i TCP/3268 (wykaz globalny).

  Wymagane do przeszukiwania globalnego katalogu w celu odfiltrowania nieprawidłowych referencji do członkostwa.

Konwencja nazewnictwa dla grup zapisywanych zwrotnie

Domyślnie program Microsoft Entra Connect Sync używa następującego formatu przy przywracaniu nazw grup.

• format domyślny :CN=Group_&lt;guid&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• przykład :CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Aby ułatwić znajdowanie grup zapisywanych z powrotem z identyfikatora Entra firmy Microsoft do usługi Active Directory, usługa Microsoft Entra Connect Sync dodała opcję zapisywania nazwy grupy przy użyciu nazwy wyświetlanej w chmurze. Aby użyć tej opcji, wybierz nazwa wyróżniająca grupy zapisywania zwrotnego z nazwą wyświetlaną w chmurze podczas początkowej konfiguracji zapisywania zwrotnego grupy w wersji 2. Jeśli ta funkcja jest włączona, program Microsoft Entra Connect używa następującego nowego formatu zamiast formatu domyślnego:

• Nowy format:CN=&lt;display name&gt;_&lt;last 12 digits of object ID&gt;,OU=&lt;container&gt;,DC=&lt;domain component&gt;,DC=\<domain component>
• przykład :CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

Domyślnie usługa Microsoft Entra Cloud Sync używa nowego formatu, nawet jeśli funkcja Wyróżniająca nazwa grupy zapisywania zwrotnego z nazwą wyświetlaną w chmurze nie jest włączona w programie Microsoft Entra Connect Sync. Jeśli używasz domyślnego nazewnictwa usługi Microsoft Entra Connect Sync, a następnie zmigrujesz grupę, aby była zarządzana przez usługę Microsoft Entra Cloud Sync, nazwa grupy jest zmieniana na nowy format. Użyj poniższej sekcji, aby zezwolić usłudze Microsoft Entra Cloud Sync na używanie domyślnego formatu z programu Microsoft Entra Connect.

Użyj formatu domyślnego

Jeśli chcesz, aby usługa Microsoft Entra Cloud Sync korzystała z tego samego formatu domyślnego co microsoft Entra Connect Sync, musisz zmodyfikować wyrażenie przepływu atrybutów dla atrybutu CN. Dwa możliwe mapowania to:

Aby uzyskać więcej informacji, zobacz Dodawanie mapowania atrybutów — Microsoft Entra ID do usługi Active Directory.

Skopiuj adminDescription do msDS-ExternalDirectoryObjectID

Aby zweryfikować odwołania do członkostwa w grupach, usługa Microsoft Entra Cloud Sync musi wysłać zapytanie do wykazu globalnego usługi Active Directory dla atrybutu msDS-ExternalDirectoryObjectID. Ten indeksowany atrybut jest replikowany we wszystkich katalogach globalnych w lesie usługi Active Directory.

1. W środowisku lokalnym otwórz plik ADSI Edit.

2. Skopiuj wartość, która znajduje się w atrybucie adminDescription grupy.

   

3. Wklej wartość w atrybucie msDS-ExternalDirectoryObjectID.

   

Aby zautomatyzować ten krok, możesz użyć następującego skryptu programu PowerShell. Ten skrypt pobiera wszystkie grupy w kontenerze OU=Groups,DC=Contoso,DC=com i kopiuje wartość atrybutu adminDescription do wartości atrybutu msDS-ExternalDirectoryObjectID. Przed użyciem tego skryptu zaktualizuj zmienną $gwbOU wartością DistinguishedName docelowej jednostki organizacyjnej (OU) dla grupy, która ma zapisywać dane zwrotnie.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Aby sprawdzić wyniki poprzedniego skryptu, możesz użyć następującego skryptu programu PowerShell. Możesz również potwierdzić, że wszystkie grupy mają wartość adminDescription równą wartości msDS-ExternalDirectoryObjectID.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Krok 2. Umieść serwer synchronizacji Programu Microsoft Entra Connect w trybie przejściowym i wyłącz harmonogram synchronizacji

1. Uruchom kreatora Microsoft Entra Connect Sync.

2. Wybierz Konfiguruj.

3. Wybierz pozycję Skonfiguruj tryb przejściowy i wybierz pozycję Dalej.

4. Wprowadź dane logowania Microsoft Entra.

5. Zaznacz pole wyboru Włącz tryb przejściowy i wybierz Dalej.

   

6. Wybierz Konfiguruj.

7. Wybierz pozycję Zakończ.

   

8. Na serwerze Microsoft Entra Connect otwórz monit programu PowerShell jako administrator.

9. Wyłącz harmonogram synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Krok 3: Utwórz regułę przychodzącą dla grupy niestandardowej

W Edytorze reguł synchronizacji programu Microsoft Entra Connect utworzysz regułę synchronizacji ruchu przychodzącego, która filtruje grupy, które mają NULL dla atrybutu poczty. Reguła synchronizacji przychodzącej to reguła kojarzenia, której atrybut docelowy jest cloudNoFlow. Ta reguła informuje Microsoft Entra Connect, aby nie synchronizowała atrybutów tych grup. Aby utworzyć tę regułę synchronizacji, możesz użyć interfejsu użytkownika lub utworzyć ją za pomocą programu PowerShell z podanym skryptem.

Utwórz niestandardową regułę ruchu przychodzącego grupy w interfejsie użytkownika

1. W menu Start rozpocznij Edytor reguł synchronizacji.

2. W obszarze Directionwybierz Inbound z menu rozwijanego i wybierz Dodaj nową regułę.

3. Na stronie Opis wprowadź następujące wartości i wybierz pozycję Dalej:

   • Nazwa: nadaj regule zrozumiałą nazwę.
   • Opis: Dodaj znaczący opis.
   • Połączony System: wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji.
   • typ obiektu systemu połączonego: wybierz grupę.
   • typ obiektu Metaverse: wybierz grupę.
   • typ łącza: wybierz Dołącz.
   • Priorytet: Podaj wartość unikatową w systemie. Zalecamy użycie wartości niższej niż 100, aby miała ona pierwszeństwo przed regułami domyślnymi.
   • Tag: Pozostaw pole puste.

   

4. Na stronie filtru określania zakresu dodaj następujące wartości i wybierz pozycję Dalej:

   Atrybut	Obsługujący	Wartość
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. Na stronie reguły dołączania wybierz pozycję Dalej.

6. Na stronie Dodawanie przekształceń dla FlowTypewybierz pozycję Stała. W przypadku atrybutu docelowegowybierz cloudNoFlow. W obszarze Sourcewybierz wartość True.

   

7. Wybierz Dodaj.

Utwórz niestandardową regułę ruchu przychodzącego grupy w PowerShell

1. Na serwerze Microsoft Entra Connect otwórz monit programu PowerShell jako administrator.

2. Zaimportuj moduł.

   Import-Module ADSync
   

3. Podaj unikatową wartość pierwszeństwa reguły synchronizacji (0–99).

   [int] $inboundSyncRulePrecedence = 88
   

4. Uruchom następujący skrypt:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Krok 4: Utwórz zasady ruchu wychodzącego dla grupy niestandardowej

Potrzebna jest również reguła synchronizacji wychodzącej z typem łącza JoinNoFlow oraz filtrem zakresu zawierającym atrybut cloudNoFlow ustawiony na True. Ta reguła informuje Microsoft Entra Connect, aby nie synchronizowała atrybutów tych grup. Aby utworzyć tę regułę synchronizacji, możesz użyć interfejsu użytkownika lub utworzyć ją za pomocą programu PowerShell z podanym skryptem.

Utwórz regułę ruchu wychodzącego niestandardowej grupy w interfejsie użytkownika

1. W obszarze Directionwybierz pozycję Wychodzące z listy rozwijanej, a następnie wybierz pozycję Dodaj regułę.

2. Na stronie Opis wprowadź następujące wartości i wybierz pozycję Dalej:

   • Nazwa: nadaj regule zrozumiałą nazwę.
   • Opis: Dodaj znaczący opis.
   • Połączony system: wybierz łącznik usługi Active Directory, dla którego piszesz regułę niestandardowej synchronizacji.
   • typ obiektu systemu połączonego: wybierz grupę.
   • typ obiektu Metaverse: wybierz grupę.
   • Typ łącza: wybierz JoinNoFlow.
   • Priorytet: Podaj wartość unikatową w systemie. Zalecamy użycie wartości niższej niż 100, aby miała ona pierwszeństwo przed regułami domyślnymi.
   • Tag: pozostaw pole puste.

   

3. Na stronie filtru określania zakresu , dla atrybutu, wybierz cloudNoFlow W przypadku operator wybierz pozycję EQUAL. Dla wartościwybierz True. Następnie kliknij przycisk Dalej.

   

4. Na stronie reguły dołączania wybierz pozycję Dalej.

5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Utwórz niestandardową regułę ruchu przychodzącego grupy w PowerShell

1. Na serwerze Microsoft Entra Connect otwórz monit programu PowerShell jako administrator.

2. Zaimportuj moduł.

   Import-Module ADSync
   

3. Podaj unikatową wartość pierwszeństwa reguły synchronizacji (0–99).

   [int] $outboundSyncRulePrecedence = 89
   

4. Pobierz łącznik Active Directory do zwrotnego zapisu grup.

   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Uruchom następujący skrypt:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Krok 5. Kończenie konfiguracji przy użyciu programu PowerShell

1. Na serwerze Microsoft Entra Connect otwórz monit programu PowerShell jako administrator.

2. Zaimportuj moduł ADSync:

   Import-Module ADSync
   

3. Uruchom cykl pełnej synchronizacji:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Wyłącz funkcję grupowego zapisu zwrotnego dla dzierżawy.

   Ostrzeżenie

   Ta operacja jest nieodwracalna. Po wyłączeniu zapisywania zwrotnego grup w wersji 2 wszystkie grupy platformy Microsoft 365 są zapisywane z powrotem w usłudze Active Directory niezależnie od ustawienia zapisywania zwrotnego włączonego w centrum administracyjnym firmy Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Uruchom ponownie cykl pełnej synchronizacji:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Ponowne włączanie harmonogramu synchronizacji:

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Krok 6. Usuwanie serwera microsoft Entra Connect Sync z trybu przejściowego

1. Uruchom kreatora Microsoft Entra Connect Sync.
2. Wybierz Konfiguruj.
3. Wybierz pozycję Skonfiguruj tryb przejściowy i wybierz pozycję Dalej.
4. Wprowadź dane logowania Microsoft Entra.
5. Wyczyść pole wyboru "Włącz tryb przejściowy" i wybierz Dalej.
6. Wybierz Konfiguruj.
7. Wybierz pozycję Zakończ.

Krok 7. Konfigurowanie synchronizacji z chmurą firmy Microsoft

Teraz, gdy grupy zostały usunięte z zakresu synchronizacji programu Microsoft Entra Connect Sync, możesz skonfigurować usługę Microsoft Entra Cloud Sync w celu przejęcia synchronizacji grup zabezpieczeń. Aby uzyskać więcej informacji, zobacz Udostępnianie grup w Active Directory przy użyciu Microsoft Entra Cloud Sync.

Powiązana zawartość

• Konfigurowanie grup w usłudze Active Directory przy użyciu Microsoft Entra Cloud Sync
• Zarządzaj lokalnymi aplikacjami opartymi na usłudze Active Directory (Kerberos) przy użyciu usługi Microsoft Entra ID Governance
• Aprowizowanie w usłudze Active Directory za pomocą usługi Microsoft Entra Cloud Sync — FAQ