启用 Microsoft Entra Connect 组写回

  • 项目

重要

2024 年 6 月 30 日之后,Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用,Connect Sync 不再支持将云安全组预配到 Active Directory。

对于将 Microsoft 365 组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。

借助组写回功能,可以使用 Microsoft Entra Connect 同步将云组写回到本地 Active Directory 实例。

本文逐步讲解如何启用组写回。

部署步骤

组写回要求同时启用该功能的原始版本和新版本。 如果以前在环境中启用了原始版本,则只需执行下面的第一组步骤,因为第二组步骤已经完成。

注意

建议按照交叉迁移方法在环境中推出新的组写回功能。 如果需要进行重大回退,此方法将提供清晰的应变计划。

增强的组写回功能将在租户上启用,而不是按 Microsoft Entra Connect 客户端实例启用。 请确保所有 Microsoft Entra Connect 客户端实例都至少更新到内部版本 1.6.4.0 或更高版本。

注意

如果你不想将所有现有的 Microsoft 365 组写回到 Active Directory,则需要在执行本文中的步骤来启用该功能之前,对组写回默认行为进行更改。 请参见 修改 Microsoft Entra Connect 组写回默认行为。 此外,需要按规定的顺序启用功能的新版本和原始版本。 如果首先启用原始功能,则所有现有的 Microsoft 365 组都将写回到 Active Directory。

使用 PowerShell 启用组写回

  1. 在 Microsoft Entra Connect 服务器上,以管理员身份打开 PowerShell 提示。

  2. 确认没有同步操作正在运行后,禁用同步计划程序:

    Set-ADSyncScheduler -SyncCycleEnabled $false

  3. 导入 ADSync 模块:

    Import-Module  'C:\Program Files\Azure AD Sync\Bin\ADSync\ADSync.psd1'

  4. 为租户启用组写回功能:

    Set-ADSyncAADCompanyFeature -GroupWritebackV2 $true

  5. 重新启用同步计划程序:

    Set-ADSyncScheduler -SyncCycleEnabled $true

  6. 如果以前配置了组写回,并且不会在 Microsoft Entra Connect 向导中配置,请运行完全同步周期:

    Start-ADSyncSyncCycle -PolicyType Initial

使用 Microsoft Entra Connect 向导启用组写回

如果以前未启用组写回的原始版本,请继续执行以下步骤:

  1. 在 Microsoft Entra Connect 服务器上,打开“Microsoft Entra Connect”向导。
  2. 选择“配置”,然后选择“下一步”。
  3. 依次选择“自定义同步选项”、“下一步”。
  4. 在“连接到 Microsoft Entra ID”页上,输入凭据。 选择下一步
  5. 在“可选功能”页上,验证先前配置的选项是否仍然处于选中状态。
  6. 选择“组写回”,然后选择“下一步”。
  7. 在“写回”页上,选择 Active Directory 组织单位 (OU),以存储从 Microsoft 365 同步到本地组织的对象。 选择“下一页”。
  8. 在“已准备好进行配置”页上,选择“配置”。
  9. 在“配置完成”页上,选择“退出”。

完成此过程后,将自动配置组写回。 如果在将对象导出到 Active Directory 时遇到权限问题,请在 Microsoft Entra Connect 服务器上以管理员身份打开 Windows PowerShell。 然后运行以下命令。 此步骤是可选的。

$AzureADConnectSWritebackAccountDN =  <MSOL_ account DN> 
Import-Module "C:\Program Files\Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" 
 
# To grant the <MSOL_account> permission to all domains in the forest: 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN 
 
# To grant the <MSOL_account> permission to a specific OU (for example, the OU chosen to write back Office 365 groups to): 
$GroupWritebackOU = <DN of OU where groups are to be written back to> 
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU

可选配置

为了更轻松地查找从 Microsoft Entra ID 写回到 Active Directory 的组,可以通过一个选项来使用云显示名称来写回组可分辨名称:

  • 默认格式:CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com

  • 新格式:CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com

配置组写回时,配置窗口底部会显示一个复选框。 选中该框可启用此功能。

注意

从 Microsoft Entra 写回到 Active Directory 的组将在云中拥有授权源。 在本地对从 Microsoft Entra ID 写回的组所做的任何更改将在下一个同步周期中被覆盖。

后续步骤