Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Внимание
Предварительная версия групповой обратной записи версии 2 в Microsoft Entra Connect Sync устарела и больше не поддерживается.
Microsoft Entra Cloud Sync можно использовать для подготовки групп безопасности облака в локальных доменных службах Active Directory (AD DS).
Если вы используете групповую обратную запись версии 2 в службе синхронизации Microsoft Entra Connect, необходимо переместить клиент синхронизации в Microsoft Entra Cloud Sync. Чтобы проверить, может ли вы перейти в Microsoft Entra Cloud Sync, используйте мастер синхронизации пользователей.
Если вы не можете использовать Microsoft Cloud Sync, как рекомендуется мастером, вы можете запустить Microsoft Entra Cloud Sync параллельно с Microsoft Entra Connect Sync. В этом случае вы можете запустить Microsoft Entra Cloud Sync только для подготовки групп безопасности облака в локальных AD DS.
Если вы подготавливаете группы Microsoft 365 в AD DS, вы можете продолжать использовать обратную запись групп версии 1.
Обратная запись групп — это функция, которую можно использовать для записи облачных групп в локальный экземпляр Active Directory с помощью Microsoft Entra Connect Sync. Функция обратной записи группы версии 2 с помощью Microsoft Entra Connect устарела. Обратная запись групп версии 1 с помощью Microsoft Entra Connect по-прежнему работает, и его следует использовать, если вы синхронизируете группы Microsoft 365. Эта версия обратной записи группы заменяется на подготовку группы Microsoft Entra Cloud Sync в Active Directory. Функциональные возможности версии 1 продолжают работать до тех пор, пока Microsoft Entra Cloud Sync не поддерживает синхронизацию групп Microsoft 365.
В этой статье содержатся сведения и приведены инструкции по включению обратной записи группы V1.
Внимание
В этой статье описывается, как включить функцию обратной записи группы версии 1 с помощью Microsoft Entra Connect Sync. Его следует использовать только клиентам, которые подготавливают группы Microsoft 365 в Active Directory.
Предварительные требования и сведения
Чтобы включить обратную запись групп, необходимо:
- Лицензии Microsoft Entra Premium для вашего клиента.
- Убедитесь, что гибридное развертывание, настроенное между вашей локальной организацией Exchange и Microsoft 365, работает правильно.
- Поддерживаемая версия Exchange, установленная локально.
- Единый вход, настроенный с помощью Microsoft Entra Connect.
При использовании функции обратной записи группы версии 1 с Microsoft Entra Connect Sync следует учитывать следующие сведения.
- Группы Microsoft 365 с 250 000 участниками могут быть записаны обратно в локальную среду.
- Если вы не хотите записывать все существующие группы Microsoft 365 в Active Directory, внесите изменения в поведение обратной записи групп перед выполнением действий, описанных в этой статье, чтобы включить эту функцию. Дополнительные сведения см. в разделе "Изменение групп Microsoft 365".
Включить обратную запись групп
Чтобы включить обратную запись группы, выполните следующие действия.
Откройте мастер Microsoft Entra Connect , нажмите кнопку "Настроить", а затем нажмите кнопку "Далее".
Выберите "Настройка параметров синхронизации " и нажмите кнопку "Далее".
На странице "Подключение к Azure AD" введите свои учетные данные. Нажмите кнопку Далее.
На странице Дополнительные возможности убедитесь, что настроенные ранее параметры по-прежнему выбраны.
Нажмите кнопку "Обратная запись группы " и нажмите кнопку "Далее".
На странице групповой обратной записи выберите организационную единицу Active Directory для хранения объектов, синхронизированных из Microsoft 365 в вашу локальную инфраструктуру. Затем выберите Далее.
Чтобы упростить поиск групп, записываемых обратно из Microsoft Entra ID в Active Directory, выберите параметр Различающееся имя для записи обратно с облачным отображаемым именем:
Формат по умолчанию:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=comНовый формат:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
При настройке обратной записи группы флажок появится в нижней части окна конфигурации. Выберите его, чтобы включить эту функцию.
Группы, записываемые обратно из Microsoft Entra ID в Active Directory, имеют источник полномочий в облаке. Все изменения, внесенные локально в группы, записанные обратно из идентификатора Microsoft Entra, перезаписываются в следующем цикле синхронизации.
На странице Готово к настройке выберите Настроить.
Когда мастер завершит работу, на странице завершения настройки нажмите кнопку "Выйти".
Откройте Windows PowerShell в качестве администратора на сервере Microsoft Entra Connect и выполните следующие команды:
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Дополнительные сведения о настройке групп Microsoft 365 см. в статье "Настройка групп Microsoft 365 с помощью локальной гибридной среды Exchange".
Отключить обратную запись групп
Чтобы отключить обратную запись группы, выполните следующие действия.
Откройте мастер Microsoft Entra Connect и перейдите на страницу "Дополнительные задачи ". Выберите задачу "Настройка параметров синхронизации " и нажмите кнопку "Далее".
На странице "Необязательные функции" снимите флажок " Обратная запись группы ". Предупреждение указывает, что вы будете удалять группы. Выберите Да.
При отключении обратной записи групп все группы, созданные ранее с помощью этой функции, удаляются из локального экземпляра Active Directory в следующем цикле синхронизации.
Нажмите кнопку Далее.
Выберите и настройте.
Отключение обратной записи группы устанавливает флаги Full Import и Full Synchronization в true на соединителе Microsoft Entra Connector. Изменения правила распространяются на следующий цикл синхронизации и удаляют группы, которые ранее были записаны обратно в Active Directory.
Изменение поведения по умолчанию для групп Microsoft 365
В следующих разделах содержатся рекомендации по изменению поведения по умолчанию для групп Microsoft 365.
Обратная запись групп Microsoft 365 с количеством участников до 250 000
Так как правило синхронизации по умолчанию, ограничивающее размер группы, создается при включенной обратной записи группы, необходимо выполнить следующие действия после включения обратной записи группы:
На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.
Отключите планировщик синхронизацииMicrosoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $falseОткройте редактор правил синхронизации.
Установите направление на Внешние.
Найдите и отключите правило синхронизации Out to AD — ограничение числа участников при обратной записи группы.
Включите планировщик синхронизации Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $true
Отключение правила синхронизации устанавливает флаг для полной синхронизации на true в Microsoft Entra Connector. Это изменение обеспечивает распространение изменений правил в следующем цикле синхронизации.