Microsoft Entra 管理中心中的组写回

重要

2024 年 6 月 30 日之后,Microsoft Entra Connect Sync 将不再提供组写回 V2 (GWB) 的公共预览版。 此功能将于该日期停止使用,Connect Sync 不再支持将云安全组预配到 Active Directory。 该功能将在停止使用日期之后继续运行;但是,在此日期之后将不再获得支持,并且可能随时停止运行,恕不另行通知。

对于将 Microsoft 365 组预配到 Active Directory 的客户,可以继续使用组写回 v1 实现此功能。

注意

如果以前将 Microsoft 365 组为通用通讯组写回本地 Active Directory,则在 Azure 门户的“组”页面和组的属性页中都将显示为未启用写回。 这些页面将显示为预览版引入的新属性 writeback enabled。 此属性未按当前版本的组写回设置,目的是确保与旧版组写回的后向兼容性,避免中断现有的客户设置。

若要了解门户中 No writeback 的行为,可以通过 Microsoft Graph 查看写回状态。 有关详细信息,请参阅获取组

Portal Microsoft Graph 行为
写回 isEnabled = null 或 true 组将写回。
无写回 isEnabled = false 组不会写回。
无写回 IsEnabled = null & onPremisesGroupType = null 如果是 Microsoft 365 组,则将作为通讯组写回本地 Active Directory。
如果它是 Microsoft Entra 安全组,则会写回到本地 Active Directory。

默认情况下,组的“组写回状态”设置为“无写回”。 这意味着:

  • Microsoft 365 组:如果组 IsEnabled = nullonPremisesGroupType = null,为确保与旧版组写回的后向兼容性,组将作为分发组写回到本地 Active Directory。
  • Microsoft Entra 安全组:如果组是 IsEnabled = nullonPremisesGroupType = null,则组会写回到本地 Active Directory。

显示写回列

在“所有组”概述页面中,可以将组写回列“目标写回类型”和“已启用写回”添加到视图中。 无论在 Microsoft Entra Connect 中是否启用了写回,“目标写回类型”和“已启用写回”列都可用于视图。

显示选择“所有组”列表中的写回列的屏幕截图。

写回列设置

启用写回的列允许关闭单个组的写回功能。 使用“目标写回类型”列,可以指定要将此云组写回本地 Active Directory 的组类型。 对于 Microsoft Entra Microsoft 365 组,可以将其写回安全组、通讯组或已启用邮件的安全组。 对于 Microsoft Entra 安全组,只能将其写回作为安全组。

显示“所有组”页上可见的写回设置列的屏幕截图。

组属性中的写回设置

还可以在组的“属性”页上为组配置写回设置。 使用“组写回状态”设置可以关闭组的写回或指定写回组类型。 如果选择“无写回”,则组不会被写回。 如果选择其他写回类型选项(例如安全性),则可以:

  • 启用组写回。
  • 将目标写回类型设置为安全组。

显示更改组属性中的写回设置的屏幕截图。

使用 PowerShell 读取写回配置

借助 PowerShell,可以使用以下 PowerShell Get-MgGroup cmdlet 来获取已启用写回的组列表。

Connect-MgGraph -Environment China -ClientId 'YOUR_CLIENT_ID' -TenantId 'YOUR_TENANT_ID' -Scopes @('Group.Read.all')
Select-MgProfile -Name beta
PS D:\> Get-MgGroup -All |Where-Object {$_.writebackConfiguration.isEnabled -Like $true} |Select-Object Displayname,@{N="WriteBackEnabled";E={$_.writebackConfiguration.isEnabled}}

DisplayName WriteBackEnabled
----------- ----------------
CloudGroup1           True
CloudGroup2           True

后续步骤