Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
L'anteprima di Group Writeback v2 in Microsoft Entra Connect Sync è deprecata e non è più supportata.
È possibile usare Microsoft Entra Cloud Sync per effettuare il provisioning di gruppi di sicurezza cloud in Servizi di dominio Active Directory locali.
Se si usa group writeback v2 in Microsoft Entra Connect Sync, è consigliabile spostare il client di sincronizzazione in Microsoft Entra Cloud Sync. Per verificare se si è idonei a passare a Microsoft Entra Cloud Sync, usare la procedura guidata di sincronizzazione utente.
Se non è possibile usare Microsoft Cloud Sync come consigliato dalla procedura guidata, è possibile eseguire Microsoft Entra Cloud Sync side-by-side con Microsoft Entra Connect Sync. In tal caso, è possibile eseguire Microsoft Entra Cloud Sync solo per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory Domain Services locale.
Se si esegue il provisioning dei gruppi di Microsoft 365 a Active Directory Domain Services, è possibile continuare a usare Group Writeback v1.
Questo articolo descrive come eseguire la migrazione del writeback del gruppo usando Microsoft Entra Connect Sync (in precedenza Azure Active Directory Connect) a Microsoft Entra Cloud Sync. Questo scenario è destinato solo ai clienti che attualmente usano il writeback del gruppo Entra Connect v2. Il processo descritto in questo articolo riguarda solo i gruppi di sicurezza creati dal cloud che vengono riscritto con un ambito universale.
Questo scenario è supportato solo per:
- Gruppi di sicurezza creati dal cloud.
- I gruppi sono stati riscritti in Active Directory con ambito universale.
Importante
Durante la migrazione, non rimuovere i gruppi oggetto di writeback, l'OU di destinazione per il writeback dei gruppi o i relativi oggetti di riferimento dall'ambito di sincronizzazione di Microsoft Entra Connect Sync finché Microsoft Entra Cloud Sync non è configurato e convalidato per eseguire il provisioning di tali gruppi in Active Directory.
Il modello di coesistenza supportato consiste nel mantenere Microsoft Entra Connect Sync consapevole dei gruppi esistenti sottoposti a writeback e nell'usare le regole cloudNoFlow e JoinNoFlow di questo articolo per preservare la relazione di collegamento mentre Microsoft Entra Cloud Sync assume il provisioning dei gruppi.
JoinNoFlow non è una modalità di staging completa (sola lettura). Impedisce l'aggiunta di oggetti, le eliminazioni degli oggetti e gli aggiornamenti degli attributi non di riferimento. Tuttavia, gli aggiornamenti degli attributi di riferimento, ad esempio i riferimenti all'appartenenza ai gruppi, possono comunque essere trasferiti per la risoluzione dei riferimenti. La rimozione di gruppi o oggetti a cui si fa riferimento dall'ambito di sincronizzazione di Microsoft Entra Connect Sync prima del cutover può fare sì che Microsoft Entra Connect Sync elimini i riferimenti o annulli il provisioning degli oggetti di gruppo locali in modo imprevisto.
I gruppi abilitati alla posta elettronica e le liste di distribuzione riscritti in Active Directory continuano a funzionare con il writeback del gruppo Microsoft Entra Connect, ma ritornano al comportamento di Group Writeback v1. In questo scenario, dopo aver disabilitato Group Writeback v2, tutti i gruppi di Microsoft 365 vengono riscritto in Active Directory indipendentemente dall'impostazione Writeback Enabled nell'interfaccia di amministrazione di Microsoft Entra. Per ulteriori informazioni, vedere Domande frequenti sul provisioning in Active Directory con Microsoft Entra Cloud Sync.
Prerequisiti
Un account Microsoft Entra con almeno un ruolo di amministratore dell'identità ibrida .
Un account Active Directory locale con almeno autorizzazioni di amministratore di dominio.
Obbligatorio per accedere all'attributo
adminDescriptione copiarlo nell'attributomsDS-ExternalDirectoryObjectId.Ambiente Active Directory Domain Services locale che esegue Windows Server 2022, Windows Server 2019 o Windows Server 2016.
Obbligatorio per l'attributo
msDS-ExternalDirectoryObjectIdschema di Active Directory .Agente di provisioning con versione di build 1.1.1367.0 o successive.
L'agente di provisioning deve essere in grado di comunicare con i controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (catalogo globale).
Necessario per la ricerca nel catalogo globale per filtrare riferimenti ad appartenenze non valide.
Convenzione di denominazione per i gruppi di cui viene eseguito il writeback
Per impostazione predefinita, Microsoft Entra Connect Sync usa il formato seguente quando vengono riscritto i gruppi di denominazione:
-
Formato predefinito:
CN=Group_<guid>,OU=<container>,DC=<domain component> - Esempio di :
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271,OU=WritebackContainer,DC=Contoso,DC=com
Per semplificare l'individuazione dei gruppi di cui viene eseguito il writeback da Microsoft Entra ID in Active Directory, Microsoft Entra Connect Sync ha aggiunto un'opzione per eseguire il writeback del nome del gruppo usando il nome visualizzato del cloud. Per usare questa opzione, selezionare Writeback Group Distinguished Name with Cloud Display Name durante l'installazione iniziale del Group Writeback v2. Se questa funzionalità è abilitata, Microsoft Entra Connect usa il nuovo formato seguente anziché il formato predefinito:
Nuovo formato:
CN=<display name>_<last 12 digits of object ID>,OU=<container>,DC=<domain component>Esempio di :
CN=Sales_e9305786a271,OU=WritebackContainer,DC=contoso,DC=com
Per impostazione predefinita, Microsoft Entra Cloud Sync usa il nuovo formato, anche se la funzionalità denominata "Writeback Group Distinguished Name with Cloud Display Name" non è abilitata in Microsoft Entra Connect Sync. Se si utilizza la denominazione predefinita di Microsoft Entra Connect Sync e si esegue la migrazione del gruppo affinché sia gestito da Microsoft Entra Cloud Sync, il gruppo viene rinominato nel nuovo formato. Usare la sezione seguente per consentire a Microsoft Entra Cloud Sync di usare il formato predefinito di Microsoft Entra Connect.
Usare il formato predefinito
Se si vuole che Microsoft Entra Cloud Sync usi lo stesso formato predefinito di Microsoft Entra Connect Sync, è necessario modificare l'espressione del flusso di attributi per l'attributo CN . Le due possibili mappature sono:
| Espressione | Sintassi | Descrizione |
|---|---|---|
Espressione predefinita per la sincronizzazione con il cloud utilizzando DisplayName |
Append(Append(Left(Trim([displayName]), 51), "_"), Mid([objectId], 25, 12)) |
Espressione predefinita usata da Microsoft Entra Cloud Sync (ovvero il nuovo formato). |
Nuova espressione di sincronizzazione cloud senza usare DisplayName |
Append("Group_", [objectId]) |
La nuova espressione per usare il formato predefinito di Microsoft Entra Connect Sync. |
Per altre informazioni, vedere Aggiungere una mappatura degli attributi - Microsoft Entra ID ad Active Directory.
Passaggio 1: Copiare adminDescription in msDS-ExternalDirectoryObjectID
Per convalidare i riferimenti all'appartenenza ai gruppi, Microsoft Entra Cloud Sync deve eseguire una query sul catalogo globale di Active Directory per l'attributo msDS-ExternalDirectoryObjectID . Questo attributo indicizzato viene replicato in tutti i cataloghi globali all'interno della foresta Active Directory.
Nell'ambiente locale aprire ADSI Edit (Modifica ADSI).
Copiare il valore incluso nell'attributo del
adminDescriptiongruppo.Incollare il valore nell'attributo
msDS-ExternalDirectoryObjectID.
È possibile usare lo script di PowerShell seguente per automatizzare questo passaggio. Questo script accetta tutti i gruppi nel OU=Groups,DC=Contoso,DC=com contenitore e copia il valore dell'attributo adminDescription nel valore dell'attributo msDS-ExternalDirectoryObjectID . Prima di usare questo script, aggiorna la variabile $gwbOU con il valore DistinguishedName dell'unità organizzativa di destinazione per il writeback del gruppo.
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
# Set msDS-ExternalDirectoryObjectID for all groups written back to Active Directory
foreach ($group in $groups) {
Set-ADGroup -Identity $group.Samaccountname -Add @{('msDS-ExternalDirectoryObjectID') = $group.adminDescription}
}
È possibile usare lo script di PowerShell seguente per controllare i risultati dello script precedente. È anche possibile verificare che tutti i gruppi abbiano il adminDescription valore uguale al msDS-ExternalDirectoryObjectID valore .
# Provide the DistinguishedName of your Group Writeback target OU
$gwbOU = 'OU=Groups,DC=Contoso,DC=com'
# Get all groups written back to Active Directory
$properties = @('displayName', 'Samaccountname', 'adminDescription', 'msDS-ExternalDirectoryObjectID')
$groups = Get-ADGroup -Filter * -SearchBase $gwbOU -Properties $properties |
Where-Object {$_.adminDescription -ne $null} |
Select-Object $properties
$groups | select displayName, adminDescription, 'msDS-ExternalDirectoryObjectID', @{Name='Equal';Expression={$_.adminDescription -eq $_.'msDS-ExternalDirectoryObjectID'}}
Passaggio 2: Posizionare il server di sincronizzazione Microsoft Entra Connect in modalità di gestione temporanea e disabilitare l'utilità di pianificazione della sincronizzazione
Avvia la procedura guidata di Microsoft Entra Connect Sync.
Seleziona Configura.
Selezionare Configura modalità di gestione temporanea e selezionare Avanti.
Immettere le credenziali di Microsoft Entra.
Selezionare la casella di controllo Abilita modalità di gestione temporanea e selezionare Avanti.
Seleziona Configura.
Selezionare Esci.
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Disabilitare l'utilità di pianificazione della sincronizzazione:
Set-ADSyncScheduler -SyncCycleEnabled $false
Passaggio 3: Creare una regola in ingresso per un gruppo personalizzato
Nell'editor delle regole di sincronizzazione di Microsoft Entra Connect, creare una regola di sincronizzazione in ingresso destinata ai gruppi creati nel cloud, attualmente gestiti in Microsoft Entra ID e che dispongono di un attributo NULL di posta elettronica. Questa regola di sincronizzazione in ingresso è una regola di join che imposta l'attributo cloudNoFlow su True.
Lo scopo di questa regola è contrassegnare questi gruppi in modo che Microsoft Entra Connect Sync continui a riconoscerli come oggetti uniti dopo che il writeback del gruppo è disabilitato. Ciò impedisce che gli oggetti di gruppo locali esistenti vengano considerati esterni all'ambito durante la transizione dal writeback dei gruppi in Microsoft Entra Connect Sync al provisioning dei gruppi in Microsoft Entra Cloud Sync.
È possibile creare questa regola di sincronizzazione usando l'interfaccia utente o PowerShell con lo script fornito.
Creare una regola personalizzata di gruppo in ingresso nell'interfaccia utente
Nel menu Start avviare l'Editor regole di sincronizzazione.
In Direzione selezionare In ingresso nell'elenco a discesa e selezionare Aggiungi nuova regola.
Nella pagina Descrizione immettere i valori seguenti e selezionare Avanti:
- Nome: assegnare alla regola un nome significativo.
- Descrizione: aggiungere una descrizione significativa.
- Sistema Connesso: scegliere il connettore Microsoft Entra per cui si sta scrivendo la regola di sincronizzazione personalizzata.
- Connected System Object Type (Tipo di oggetto sistema connesso): selezionare il gruppo.
- Tipo di oggetto metaverse: selezionare il gruppo.
- tipo di collegamento: seleziona unisci.
- Precedenza: Fornire un valore univoco nel sistema. È consigliabile usare un valore inferiore a 100 in modo da avere la precedenza sulle regole predefinite.
- Etichetta: Lascia il campo vuoto.
Nella pagina Filtro di ambito, aggiungere i valori seguenti e selezionare Avanti:
Attributo Operatore Valore cloudMasteredEQUALtruemailISNULLNella pagina regole di join, selezionare Avanti.
Nella pagina Aggiungi trasformazioni, per FlowType, selezionare Costante. Per Attributo di destinazione selezionare cloudNoFlow. In Origine selezionare Vero.
Selezionare Aggiungi.
Creare una regola di ingresso di gruppo personalizzata in PowerShell
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il modulo.
Import-Module ADSyncSpecificare un valore univoco per la precedenza della regola di sincronizzazione (0-99).
# Provide the sync rule precedence (0-99) [int] $inboundSyncRulePrecedence = 88Eseguire lo script seguente:
New-ADSyncRule ` -Name 'In from AAD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027' ` -Description 'https://dotnet.territoriali.olinfo.it/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Inbound' ` -Precedence $inboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector 'b891884f-051e-4a83-95af-2544101c9083' ` -LinkType 'Join' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule Add-ADSyncAttributeFlowMapping ` -SynchronizationRule $syncRule[0] ` -Source @('true') ` -Destination 'cloudNoFlow' ` -FlowType 'Constant' ` -ValueMergeType 'Update' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudMastered','true','EQUAL' ` -OutVariable condition0 New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'mail','','ISNULL' ` -OutVariable condition1 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0],$condition1[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier 'e4eae1c9-b9bc-4328-ade9-df871cdd3027'
Passaggio 4: Creare una regola in uscita per un gruppo personalizzato
È inoltre necessaria una regola di sincronizzazione in uscita con un tipo di collegamento pari a JoinNoFlow e un filtro di definizione dell'ambito che seleziona i gruppi in cui cloudNoFlow è impostato su True.
Questa regola in uscita mantiene la relazione di collegamento dopo che Group Writeback viene disabilitato in Microsoft Entra Connect Sync e impedisce che per tali gruppi vengano esportate aggiunte di oggetti, eliminazioni di oggetti e modifiche agli attributi non di riferimento.
Senza questa regola, i gruppi oggetto di writeback in precedenza potrebbero essere interpretati come non più rientranti nell'ambito di applicazione ed essere eliminati dall'Active Directory locale durante il ciclo di sincronizzazione successivo. Questa regola è necessaria per disattivare in sicurezza il Writeback di gruppo v2, consentendo al contempo a Microsoft Entra Cloud Sync di assumere le responsabilità di provisioning del gruppo.
È possibile creare questa regola di sincronizzazione usando l'interfaccia utente o PowerShell con lo script fornito.
Creare una regola in uscita del gruppo personalizzata nell'interfaccia utente
In Direzione selezionare In uscita dall'elenco a discesa e quindi selezionare Aggiungi regola.
Nella pagina Descrizione immettere i valori seguenti e selezionare Avanti:
- Nome: assegnare alla regola un nome significativo.
- Descrizione: aggiungere una descrizione significativa.
- Sistema connesso: scegliere il connettore Active Directory per cui si sta scrivendo la regola di sincronizzazione personalizzata.
- Connected System Object Type (Tipo di oggetto sistema connesso): selezionare il gruppo.
- Tipo di oggetto metaverse: selezionare il gruppo.
- tipo di collegamento: selezionare JoinNoFlow.
- Precedenza: Fornire un valore univoco nel sistema. È consigliabile usare un valore inferiore a 100 in modo da avere la precedenza sulle regole predefinite.
- Tag: lasciare vuoto il campo.
Nella pagina Filtro di ambito, per Attributo, selezionare cloudNoFlow. Per Operatore selezionare EQUAL. Per Valoreselezionare True. Quindi seleziona Avanti.
Nella pagina regole di join, selezionare Avanti.
Nella pagina Trasformazioni, selezionare Aggiungi.
Creare una regola di ingresso di gruppo personalizzata in PowerShell
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il modulo.
Import-Module ADSyncSpecificare un valore univoco per la precedenza della regola di sincronizzazione (0-99).
# Provide the sync rule precedence (0-99) [int] $outboundSyncRulePrecedence = 89Scarica il connettore Active Directory per il writeback di gruppo.
# Provide the name of your Active Directory Connector $connectorAD = Get-ADSyncConnector -Name "Contoso.com"Eseguire lo script seguente:
New-ADSyncRule ` -Name 'Out to AD - Group SOAinAAD coexistence with Cloud Sync' ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551' ` -Description 'https://dotnet.territoriali.olinfo.it/entra/identity/hybrid/cloud-sync/migrate-group-writeback' ` -Direction 'Outbound' ` -Precedence $outboundSyncRulePrecedence ` -PrecedenceAfter '00000000-0000-0000-0000-000000000000' ` -PrecedenceBefore '00000000-0000-0000-0000-000000000000' ` -SourceObjectType 'group' ` -TargetObjectType 'group' ` -Connector $connectorAD.Identifier ` -LinkType 'JoinNoFlow' ` -SoftDeleteExpiryInterval 0 ` -ImmutableTag '' ` -OutVariable syncRule New-Object ` -TypeName 'Microsoft.IdentityManagement.PowerShell.ObjectModel.ScopeCondition' ` -ArgumentList 'cloudNoFlow','true','EQUAL' ` -OutVariable condition0 Add-ADSyncScopeConditionGroup ` -SynchronizationRule $syncRule[0] ` -ScopeConditions @($condition0[0]) ` -OutVariable syncRule Add-ADSyncRule ` -SynchronizationRule $syncRule[0] Get-ADSyncRule ` -Identifier '419fda18-75bb-4e23-b947-8b06e7246551'
Passaggio 5: Usare PowerShell per completare la configurazione
Nel server di Microsoft Entra Connect, aprire un prompt di PowerShell come amministratore.
Importare il
ADSyncmodulo:Import-Module ADSyncEseguire un ciclo di sincronizzazione completo:
Start-ADSyncSyncCycle -PolicyType InitialDisabilitare la funzionalità di writeback del gruppo per il tenant.
Avviso
questa operazione è irreversibile. Dopo aver disabilitato Group Writeback v2, tutti i gruppi di Microsoft 365 vengono riscritto in Active Directory, indipendentemente dall'impostazione Writeback Enabled nell'interfaccia di amministrazione di Microsoft Entra.
Set-ADSyncAADCompanyFeature -GroupWritebackV2 $falseEseguire di nuovo un ciclo di sincronizzazione completo:
Start-ADSyncSyncCycle -PolicyType InitialRiattivare l'utilità di pianificazione della sincronizzazione:
Set-ADSyncScheduler -SyncCycleEnabled $true
Passaggio 6: Rimuovere il server di sincronizzazione Microsoft Entra Connect dalla modalità di gestione temporanea
- Avvia la procedura guidata di Microsoft Entra Connect Sync.
- Seleziona Configura.
- Selezionare Configura modalità di gestione temporanea e selezionare Avanti.
- Immettere le credenziali di Microsoft Entra.
- Deselezionare la casella di controllo Abilita modalità di gestione temporanea e selezionare Avanti.
- Seleziona Configura.
- Selezionare Esci.
Passaggio 7: Configurare Microsoft Entra Cloud Sync
Ora che Microsoft Entra Connect Sync ha configurato le regole di non flusso per i gruppi esistenti con writeback, configura Microsoft Entra Cloud Sync affinché subentri nel provisioning dei gruppi di sicurezza in Active Directory. Per altre informazioni, vedere Effettuare il provisioning di gruppi in Active Directory usando Microsoft Entra Cloud Sync.
Prima di disattivare Microsoft Entra Connect Sync Group Writeback, verificare che Microsoft Entra Cloud Sync esegua il provisioning dei gruppi e ne mantenga le appartenenze in Active Directory.