Перенос функции обратной записи группы синхронизации Microsoft Entra Connect версии 2 в Microsoft Entra Cloud Sync

В этой статье описывается, как выполнить перенос функции обратной записи группы с помощью службы синхронизации Microsoft Entra Connect (ранее Azure Active Directory Connect) в Microsoft Entra Cloud Sync. Этот сценарий предназначен только для клиентов, которые сейчас используют функцию обратной записи группы Microsoft Entra Connect версии 2. Процесс, описанный в этой статье, относится только к созданным в облаке группам безопасности, которые записываются с универсальной областью.

Этот сценарий поддерживается только для следующих вариантов:

• Созданные в облаке группы безопасности .
• Группы, записанные обратно в Active Directory с областью действия универсальной.

Группы с поддержкой почты и списки рассылки, записанные обратно в Active Directory, продолжают работать с функцией обратной записи группы Microsoft Entra Connect, но возвращаются к поведению, характерному для функции обратной записи группы версии 1. В этом сценарии после отключения функции Group Writeback v2 все группы Microsoft 365 записываются обратно в Active Directory независимо от параметра Writeback Enabled в Центре администрирования Microsoft Entra. Дополнительные сведения см. раздел Публикация в Active Directory с помощью Microsoft Entra Cloud Sync FAQ.

Предварительные условия

• Учетная запись Microsoft Entra с по крайней мере ролью администратора гибридного удостоверения .

• Локальная учетная запись Active Directory с разрешениями администратора домена.

  Требуется для доступа к атрибуту adminDescription и копирования его в атрибут msDS-ExternalDirectoryObjectId.

• Локальная среда доменных служб Active Directory под управлением Windows Server 2022, Windows Server 2019 или Windows Server 2016.

  Требуется для атрибута схемы Active Directory msDS-ExternalDirectoryObjectId.

• Подготавливающий агент с версией сборки 1.1.1367.0 или более поздней.

• Агент подготовки должен иметь возможность взаимодействовать с контроллерами домена на портах TCP/389 (LDAP) и TCP/3268 (глобальный каталог).

  Требуется для поиска глобального каталога, чтобы отфильтровать недопустимые ссылки на членство.

Правила именования для групп, которые записываются обратно

По умолчанию, синхронизация Microsoft Entra Connect использует следующий формат, когда имена групп записываются обратно.

• формат по умолчанию:CN=Group_<guid>,OU=<container>,DC=<domain component>
• Пример :CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=Contoso,DC=com

Чтобы упростить поиск групп, записываемых обратно из идентификатора Microsoft Entra ID в Active Directory, Microsoft Entra Connect Sync добавил параметр для записи обратного имени группы с помощью отображаемого имени облака. Чтобы использовать этот параметр, выберите различающееся имя группы обратной записи с облачным отображаемым именем во время первоначальной настройки групповой обратной записи версии 2. Если эта функция включена, Microsoft Entra Connect использует следующий новый формат вместо формата по умолчанию:

• Новый формат:CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>

• Пример :CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com

По умолчанию Microsoft Entra Cloud Sync использует новый формат, даже если функция "Возврат различающегося имени группы с облачным отображаемым именем" не включена в Microsoft Entra Connect Sync. Если вы используете стандартное именование синхронизации Microsoft Entra Connect и затем переносите группу, чтобы она управлялась Microsoft Entra Cloud Sync, группа переименовывается в новый формат. Используйте следующий раздел, чтобы разрешить Microsoft Entra Cloud Sync использовать формат по умолчанию из Microsoft Entra Connect.

Использование формата по умолчанию

Если вы хотите, чтобы Microsoft Entra Cloud Sync использовал тот же формат по умолчанию, что и Microsoft Entra Connect Sync, необходимо изменить выражение потока атрибута для атрибута CN. Два возможных сопоставления:

Для получения дополнительной информации см. раздел Сопоставление атрибутов — Microsoft Entra ID с Active Directory.

Шаг 1: Скопируйте adminDescription в msDS-ExternalDirectoryObjectID

Чтобы проверить ссылки на членство в группах, Microsoft Entra Cloud Sync должен запросить глобальный каталог Active Directory для атрибута msDS-ExternalDirectoryObjectID. Этот индексируемый атрибут реплицируется во всех глобальных каталогах в лесу Active Directory.

1. В вашей локальной среде откройте ADSI Edit.

2. Скопируйте значение, которое находится в атрибуте adminDescription группы.

   

3. Вставьте значение в атрибут msDS-ExternalDirectoryObjectID.

   

Для автоматизации этого шага можно использовать следующий скрипт PowerShell. Этот скрипт принимает все группы в контейнере OU=Groups,DC=Contoso,DC=com и копирует значение атрибута adminDescription в значение атрибута msDS-ExternalDirectoryObjectID. Перед использованием этого скрипта обновите переменную $gwbOU со значением DistinguishedName целевого подразделения организации обратной записи группы.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'

# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory 
foreach ($group in $groups) {
    Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
} 

Чтобы проверить результаты предыдущего скрипта, можно использовать следующий скрипт PowerShell. Вы также можете подтвердить, что все группы имеют значение adminDescription равно значению msDS-ExternalDirectoryObjectID.

# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'


# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties | 
    Where-Object {$_.adminDescription -ne $null} |
        Select-Object $properties

$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}

Шаг 2. Поместите сервер синхронизации Microsoft Entra Connect в промежуточный режим и отключите планировщик синхронизации

1. Запустите мастер синхронизации Microsoft Entra Connect.

2. Выберите и настройте.

3. Выберите Настроить промежуточный режим и выберите Далее.

4. Введите учетные данные Microsoft Entra.

5. Установите флажок Включить промежуточный режим и выберите Далее.

   

6. Выберите и настройте.

7. Щелкните Выход.

   

8. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

9. Отключите планировщик синхронизации:

   Set-ADSyncScheduler -SyncCycleEnabled $false  
   

Шаг 3. Создание настраиваемого правила для входящего трафика группы

В редакторе правил синхронизации Microsoft Entra Connect создайте правило входящей синхронизации, которое предназначено для созданных облаком групп, которые в настоящее время ведутся в Microsoft Entra ID и имеют NULL атрибут почты. Это правило синхронизации для входящего трафика — это правило соединения, которое задает для атрибута cloudNoFlow значение True.

Цель этого правила заключается в том, чтобы пометить эти группы, чтобы Microsoft Entra Connect продолжала распознавать их как присоединенные объекты после отключения обратной записи группы, предотвращая их обработку как неуправляемые объекты. Это правило необходимо для сохранения существующих локальных объектов группы во время перехода с синхронизации данных групп с помощью Group Writeback в Microsoft Entra Connect Sync на подготовку групп с использованием Microsoft Entra Cloud Sync. Это правило синхронизации можно создать через пользовательский интерфейс или PowerShell, используя предоставленный скрипт.

Создание настраиваемого правила для входящего трафика группы в пользовательском интерфейсе

1. В меню "Пуск" запустите редактор правил синхронизации.

2. В разделе Направлениевыберите Входящее в раскрывающемся списке, затем выберите Добавить новое правило.

3. На странице Описание введите следующие значения и выберите Далее.

   • Имя: подарите правилу понятное имя.
   • описание: Добавьте значимое описание.
   • Подключенная система: выберите коннектор Microsoft Entra, для которого вы пишете настраиваемое правило синхронизации.
   • Тип подключенной системы объекта: выберите группу .
   • тип объекта Metaverse: выберите группу.
   • тип ссылки: выберите объединить.
   • приоритет: укажите уникальное значение в системе. Рекомендуется использовать значение ниже 100, чтобы он был приоритетом над правилами по умолчанию.
   • Тег : Оставьте поле пустым.

   

4. На странице фильтра области действия добавьте следующие значения и нажмите кнопку Далее:

   Атрибут	Оператор	Значение
   cloudMastered	EQUAL	true
   mail	ISNULL

   

5. На странице правил присоединения выберите Далее.

6. На странице Добавление преобразований для FlowTypeвыберите Константный. Для целевого атрибутавыберите cloudNoFlow. Для исходноговыберите True.

   

7. Выберите Добавить.

Создайте настраиваемое входящее правило для группы в PowerShell

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль.

   Import-Module ADSync
   

3. Укажите уникальное значение приоритета правила синхронизации (0–99).

   # Provide the sync rule precedence (0-99)
   [int] $inboundSyncRulePrecedence = 88
   

4. Запустите следующий сценарий:

    New-ADSyncRule  `
    -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Inbound' `
    -Precedence $inboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector 'b891884f-051e-4a83-95af-2544101c9083' `
    -LinkType 'Join' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    Add-ADSyncAttributeFlowMapping  `
    -SynchronizationRule $syncRule[0] `
    -Source @('true') `
    -Destination 'cloudNoFlow' `
    -FlowType 'Constant' `
    -ValueMergeType 'Update' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudMastered','true','EQUAL' `
    -OutVariable condition0
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'mail','','ISNULL' `
    -OutVariable condition1
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0],$condition1[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
   

Шаг 4. Создайте правило исходящего трафика для настроенной группы

Кроме того, требуется правило исходящей синхронизации с типом JoinNoFlow ссылки и фильтр области, который выбирает группы, в которых cloudNoFlow задано значение True. Это правило исходящего трафика гарантирует, что после отключения Group Writeback в Microsoft Entra Connect оно поддерживает соединение объектов без проведения изменений или вызова удаления из обслуживания.

** Без этого правила ранее записанные группы будут интерпретированы как больше не охватываемые и удалены из локальной версии Active Directory во время следующего цикла синхронизации. Это правило необходимо для безопасного вывода группы обратной записи v2 из эксплуатации, позволяя Microsoft Entra Cloud Sync взять на себя обязанности по предоставлению групп. Это правило синхронизации можно создать с помощью пользовательского интерфейса или PowerShell с предоставленным скриптом.

Создание настраиваемого правила для исходящей группы в пользовательском интерфейсе

1. В разделе Направлениевыберите исходящие из раскрывающегося списка, а затем выберите Добавить правило.

2. На странице Описание введите следующие значения и выберите Далее.

   • Имя: подарите правилу понятное имя.
   • описание: Добавьте значимое описание.
   • Подключенная система: Выберите соединитель Active Directory, для которого вы создаёте пользовательское правило синхронизации.
   • Тип подключенной системы объекта: выберите группу .
   • тип объекта Metaverse: выберите группу.
   • тип ссылки: выберите JoinNoFlow.
   • приоритет: укажите уникальное значение в системе. Рекомендуется использовать значение ниже 100, чтобы он был приоритетом над правилами по умолчанию.
   • тег: оставьте поле пустым.

   

3. На странице фильтра области для атрибут авыберите cloudNoFlow. Для оператора выберите РАВНО. Для значениявыберите True. Затем выберите Далее.

   

4. На странице правил присоединения выберите Далее.

5. На странице "Преобразования" нажмите кнопку "Добавить".

Создайте настраиваемое входящее правило для группы в PowerShell

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль.

   Import-Module ADSync
   

3. Укажите уникальное значение приоритета правила синхронизации (0–99).

   # Provide the sync rule precedence (0-99)
   [int] $outboundSyncRulePrecedence = 89
   

4. Получите коннектор Active Directory для обратной записи группы.

   # Provide the name of your Active Directory Connector
   $connectorAD = Get-ADSyncConnector -Name "Contoso.com"
   

5. Запустите следующий сценарий:

    New-ADSyncRule  `
    -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' `
    -Description 'https://learn.microsoft.com/entra/identity/hybrid/cloud-sync/migrate-group-writeback' `
    -Direction 'Outbound' `
    -Precedence $outboundSyncRulePrecedence `
    -PrecedenceAfter '00000000-0000-0000-0000-000000000000' `
    -PrecedenceBefore '00000000-0000-0000-0000-000000000000' `
    -SourceObjectType 'group' `
    -TargetObjectType 'group' `
    -Connector $connectorAD.Identifier `
    -LinkType 'JoinNoFlow' `
    -SoftDeleteExpiryInterval 0 `
    -ImmutableTag '' `
    -OutVariable syncRule
   
    New-Object  `
    -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' `
    -ArgumentList 'cloudNoFlow','true','EQUAL' `
    -OutVariable condition0
   
    Add-ADSyncScopeConditionGroup  `
    -SynchronizationRule $syncRule[0] `
    -ScopeConditions @($condition0[0]) `
    -OutVariable syncRule
   
    Add-ADSyncRule  `
    -SynchronizationRule $syncRule[0]
   
    Get-ADSyncRule  `
    -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
   

Шаг 5. Использование PowerShell для завершения настройки

1. На сервере Microsoft Entra Connect откройте запрос PowerShell от имени администратора.

2. Импортируйте модуль ADSync:

   Import-Module ADSync
   

3. Выполните полный цикл синхронизации:

   Start-ADSyncSyncCycle -PolicyType Initial
   

4. Отключите функцию обратной записи группы для арендатора.

   Предупреждение

   Это действие необратимо. После отключения обратной записи Group Writeback версии 2 все группы Microsoft 365 записываются обратно в Active Directory независимо от настройки включения обратной записи в Центре администрирования Microsoft Entra.

   Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false 
   

5. Снова выполните полный цикл синхронизации:

   Start-ADSyncSyncCycle -PolicyType Initial
   

6. Включить заново планировщик синхронизации.

   Set-ADSyncScheduler -SyncCycleEnabled $true  
   

   

Шаг 6. Удаление сервера синхронизации Microsoft Entra Connect из промежуточного режима

1. Запустите мастер синхронизации Microsoft Entra Connect.
2. Выберите и настройте.
3. Выберите Настроить промежуточный режим и выберите Далее.
4. Введите учетные данные Microsoft Entra.
5. Снимите флажок Включить промежуточный режим и выберите Далее.
6. Выберите и настройте.
7. Щелкните Выход.

Шаг 7. Настройка Microsoft Entra Cloud Sync

Теперь, когда группы были удалены из области синхронизации Microsoft Entra Connect Sync, вы можете настроить Microsoft Entra Cloud Sync для синхронизации групп безопасности. Дополнительные сведения см. в разделе Группы подготовки в Active Directory с помощьюMicrosoft Entra Cloud Sync.

Связанный контент

• Подключение групп к Active Directory с помощью Microsoft Entra Cloud Sync
• управлять локальными приложениями Active Directory (Kerberos) с помощью системы управления идентификаторами Майкрософт
• Часто задаваемые вопросы о подключении к Active Directory с помощью Microsoft Entra Cloud Sync