Il writeback del gruppo consente la sincronizzazione dei gruppi di Microsoft 365 con AD locale tramite Microsoft Entra Connect Sync. È una funzionalità eccellente per gestire i gruppi nel cloud controllando al tempo stesso l'accesso alle applicazioni e alle risorse locali. In questo articolo imparerai come abilitare il writeback del gruppo in Microsoft Entra Connect Sync.
Prerequisiti del writeback del gruppo
Di seguito sono riportati i prerequisiti per il writeback del gruppo:
- Licenza Azure AD Premium 1 o Azure AD Premium 2
- Azure AD Connect versione 2.0.89.0 o successiva
Devi averne almenoAzure AD Connect versione 2.0.89.0o versione successiva installata per abilitare il writeback del gruppo in Azure AD Connect.
- Accedi al server Microsoft Entra Connect
- Esegui PowerShell come amministratore
- Esegui i comandi seguenti per ottenere la versione di Azure AD Connect
Nel nostro esempio è installato Azure AD Connect 2.1.20.0.
Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).ValueÈ consigliabile mantenere aggiornato Azure AD Connect. Segui l'articolo Aggiorna Microsoft Entra Connect.
Per abilitare e configurare il writeback del gruppo in Microsoft Entra Connect Sync, attenersi alla procedura seguente:
Passaggio 1. Creare unità organizzative in AD
InizioUtenti e computer di Active Directorye crearne due separatiUO:
- VOI:Azure Active Directory
- A.D:Directory attiva
Se disponi già di unità organizzative diverse per i gruppi, non è necessario creare un fileA.DOU e spostavi tutti i gruppi. Crea solo una nuova unità organizzativa denominataAAD.
ILAADL'unità organizzativa è vuota perché il writeback del gruppo non è ancora configurato. Questa è l'unità organizzativa in cui verranno riscritti tutti i gruppi dal cloud.
ILA.DL'unità organizzativa ha già tre gruppi.
Passaggio 2. Ottieni lo stato di writeback del gruppo
Esegui ilGet-ADSyncAADCompanyFeatureCmdlet di PowerShell per verificare lo stato del writeback del gruppo.
Lettura consigliata:Come abilitare il writeback della password di Microsoft Entra
Get-ADSyncAADCompanyFeatureL'output di PowerShell lo mostraWriteback di gruppo unificatoè disabilitato perché il valore èFalso.
Nota:UnifiedGroupWriteback si riferisce alla versione originale, che continuerà a funzionare. GroupWritebackV2 si riferisce alla nuova versione che verrà interrotta a giugno 2024.
Get-ADSyncAADCompanyFeature
PasswordHashSync : True
ForcePasswordChangeOnLogOn : False
UserWriteback : False
DeviceWriteback : False
UnifiedGroupWriteback : False
GroupWritebackV2 : False- Sul server Microsoft Entra Connect, apriAzure AD Connect.
- SelezionareConfigura.
- SelezionarePersonalizza le opzioni di sincronizzazione, quindi selezionareProssimo.
- Nella pagina Connetti ad Azure AD,inserisci le tue credenziali. SelezionareProssimo.
- Nella pagina Connetti le tue directory verificare che il filedirectory configurateapparire correttamente e fare clic suProssimo.
- Nella pagina Filtro dominio e unità organizzativa, assicurati di avere il filegruppi selezionati(che hai creato nel passaggio precedente) e fai clic suProssimo.
- Nella pagina Funzionalità opzionali selezionareWriteback di gruppo, quindi selezionareProssimo.
Nota:Supponiamo di non avere abilitato il writeback della password, leggere l'articolo Abilitare la reimpostazione della password self-service (SSPR).
- Nella pagina Writeback gruppo selezionare il fileAADunità organizzativa (OU) per archiviare gli oggetti sincronizzati da Microsoft 365/Azure nell'organizzazione locale e selezionareNome distinto del gruppo di writeback con nome visualizzato nel cloude selezionaProssimo.
- Nella pagina Autorizzazioni writeback gruppo compilare il fileCredenziali di amministratore aziendalee fare clicProssimo.
- Nella pagina Pronto per la configurazione selezionareAvvia il processo di sincronizzazione al termine della configurazionee fare clicConfigura.
- Nella pagina Configurazione completata selezionareUscita.
Passaggio 4. Verificare che i gruppi di Microsoft 365 vengano visualizzati in AD locale
Accedi aInterfaccia di amministrazione di Microsoft Entra.Fare clic suIdentità > Gruppi > Tutti i gruppi. Filtra il tipo di gruppoMicrosoft 365e controlla i gruppi Microsoft 365 nell'elenco.
Nel nostro esempio abbiamo tre gruppi Microsoft 365.
Nota:Solo i gruppi di Microsoft 365 risponderanno al tuo AD locale. I gruppi di sicurezza non risponderanno.
AprireUtenti e computer di Active Directory, aprire l'unità organizzativa AAD e verificare che i gruppi Microsoft 365 vengano riscritti in AD locale.
Abbiamo tre utenti nel gruppo Microsoft 365 Group1_Cloud.
Tuttavia, solo due utenti compaiono nel gruppo sincronizzato in AD. Questo perché l'utente CloudOnly viene creato in Azure AD e non in AD locale.
Si supponga di modificare il gruppo AAD in AD locale. La successiva sincronizzazione annullerà le modifiche.
In questo esempio abbiamo aggiunto l'utente Richard Grant al gruppo AAD da AD locale.
La sincronizzazione ha eliminato l'utente Richard Grant dal gruppo perché il gruppo deve essere modificato in Azure AD e non da AD locale.
Nota:L'autorità per i gruppi AAD si trova in Azure AD e non in AD locale. Non si tratta di una sincronizzazione bidirezionale ma solo di una sincronizzazione unidirezionale da Azure AD ad AD locale. Aggiorna sempre il gruppo in Azure AD e le modifiche si rifletteranno in AD locale.
Questo è tutto!
Hai configurato correttamente il writeback del gruppo in Azure AD.
Conclusione
Hai imparato come abilitare il writeback del gruppo in Microsoft Entra Connect Sync. Innanzitutto, abilitare il writeback del gruppo tramite la procedura guidata di Azure AD Connect. Verificare quindi che i gruppi di Microsoft 365 vengano riscritti correttamente.
Ti è piaciuto questo articolo? Potrebbe interessarti anche Crea utenti ID Microsoft Entra da CSV con PowerShell. Non dimenticare di seguirci e condividere questo articolo.
