重要
2024 年 6 月 30 日之后,Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用,Connect Sync 不再支持将云安全组预配到 Active Directory。 该功能将在停止使用日期之后继续运行;但是,在此日期之后将不再获得支持,并且可能随时停止运行,恕不另行通知。
对于将 Microsoft 365 组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。
借助组写回功能,可以使用 Microsoft Entra Connect 同步将云组写回到本地 Active Directory 实例。使用 Microsoft Entra Connect 的组写回 V2 已弃用。 使用 Microsoft Entra Connect 的组写回 V1 仍可正常工作,如果同步 Microsoft 365 组,则应使用。
本文介绍并逐步讲解如何启用组回写 V1。
重要
本文介绍如何使用 Microsoft Entra Connect 同步启用组写回 V1。应该只由将 Microsoft 365 组预配到 Active Directory 的客户使用。
先决条件和信息
必须满足以下先决条件才能启用组写回。
- 为租户提供 Azure Active Directory Premium 许可证。
- 在 Exchange 内部部署组织与 Microsoft 365 之间配置了混合部署,并验证其运行正常。
- 安装了受支持版本的 Exchange 内部部署
- 使用 Azure Active Directory Connect 配置了单一登录
将组写回 V1 与 Microsoft Entra Connect Sync 配合使用时,应考虑以下信息:
- 可以将包含至多 250,000 个成员的 Microsoft 365 组写回本地。
- 如果不想将所有现有的 Microsoft 365 组写回到 Active Directory,则需要在执行本文中的步骤来启用该功能之前,对组写回默认行为进行更改。 请参阅修改 Microsoft 365 组。
启用组写回
若要启用组写回,请执行以下步骤:
- 打开 Azure AD Connect 向导,选择“配置”,然后单击“下一步”。
- 选择“自定义同步选项”,然后单击“下一步”。
- 在“连接到 Azure AD”页上输入凭据。 单击 “下一步” 。
- 在“可选功能”页上,验证先前配置的选项是否仍然处于选中状态。
- 选择“组写回”,然后单击“下一步”。
- 在“写回”页上,选择 Active Directory 组织单位 (OU),以存储从 Microsoft 365 同步到本地组织的对象,然后单击“下一步”。
- 为了更轻松地查找从 Microsoft Entra ID 写回到 Active Directory 的组,可以通过一个选项来使用云显示名称来写回组可分辨名称:
默认格式:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=com新格式:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
配置组写回时,配置窗口底部会显示一个复选框。 选中该框可启用此功能。
注意
从 Microsoft Entra 写回到 Active Directory 的组将在云中拥有授权源。 在本地对从 Microsoft Entra ID 写回的组所做的任何更改将在下一个同步周期中被覆盖。
- 在“准备好配置”页上,单击“配置”。
- 向导完成后,单击“配置完成”页上的“退出”。
- 在 Microsoft Entra Connect 服务器上以管理员身份打开 Windows PowerShell,并运行以下命令。
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN>
Import-Module "C:\Program Files\Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"
# To grant the <MSOL_account> permission to all domains in the forest:
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN
# To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to):
$GroupWritebackOU = <DN of OU where groups are to be written back to>
Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
有关配置 Microsoft 365 组的其他信息,请参阅使用本地 Exchange 混合配置 Microsoft 365 组。
禁用组写回
若要禁用组写回,请执行以下步骤:
- 启动 Azure Active Directory Connect 向导并导航到“其他任务”页。 选择“自定义同步选项”任务,然后单击“下一步”。
- 在“可选功能”页上,取消选中“组写回”。 你将收到一条警告消息,提示组将被删除。 单击“是”。
重要
禁用组写回会导致在下一同步周期中从本地 Active Directory 删除以前由此功能创建的所有组。
- 单击 “下一步” 。
- 单击 “配置” 。
注意
禁用组写回会将 Azure Active Directory 连接器上的“完全导入”和“完全同步”标志设置为“true”,从而导致规则更改在下一个同步周期中传播,删除以前写回到 Active Directory 的组。
修改 Microsoft 365 组的默认行为
以下部分将指导如何修改 Microsoft 365 组的默认行为。
写回包含至多 250,000 个成员的 Microsoft 365 组
由于限制组大小的默认同步规则是在启用组写回时创建的,因此在启用组写回后必须完成以下步骤:
- 在 Microsoft Entra Connect 服务器上,以管理员身份打开 PowerShell 提示。
- 禁用 Microsoft Entra Connect 同步计划程序:
Set-ADSyncScheduler -SyncCycleEnabled $false
- 打开同步规则编辑器。
- 将方向设置为“出站”。
- 查找并禁用“传出到 AD - 组写回成员限制”同步规则。
- 启用 Microsoft Entra Connect 同步计划程序:
Set-ADSyncScheduler -SyncCycleEnabled $true
注意
禁用同步规则将在 Microsoft Entra 连接器上将完全同步标志设置为 true。 此更改将导致规则更改在下一个同步周期中传播。