Grupės rašymas įgalina „Microsoft 365“ grupių sinchronizavimą su vietiniu AD naudojant „Microsoft Entra Connect Sync“. Tai puiki funkcija, skirta valdyti grupes debesyje, kartu kontroliuojant prieigą prie vietinių programų ir išteklių. Šiame straipsnyje sužinosite, kaip įgalinti grupės rašymą naudojant Microsoft Entra Connect Sync.
Grupinio atrašymo sąlygos
Toliau pateikiamos būtinos grupės įrašymo atgal sąlygos:
- Azure AD Premium 1 arba Azure AD Premium 2 licencija
- Azure AD Connect 2.0.89.0 arba naujesnė versija
Turite turėti bentAzure AD Connect 2.0.89.0 versijaar naujesnė įdiegta, kad įgalintumėte grupės rašymą „Azure AD Connect“.
- Prisijunkite prie Microsoft Entra Connect serverio
- Paleiskite „PowerShell“ kaip administratorių
- Vykdykite toliau pateiktas komandas, kad gautumėte Azure AD Connect versiją
Mūsų pavyzdyje yra įdiegta Azure AD Connect 2.1.20.0.
Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).ValueRekomenduojama nuolat atnaujinti „Azure AD Connect“. Vykdykite straipsnį „Microsoft Entra Connect“ atnaujinimas.
Norėdami įjungti ir sukonfigūruoti grupės rašymą Microsoft Entra Connect Sync, atlikite toliau nurodytus veiksmus.
1 veiksmas. Sukurkite OU skelbime
Pradėti„Active Directory“ vartotojai ir kompiuteriaiir sukurti du atskirusOU:
- TU:Azure Active Directory
- SKELBIMAS:Active Directory
Jei jau turite skirtingų grupių OU, jums nereikia kurtiADOU ir perkelti visas grupes į ją. Sukurkite tik naują OU pavadinimuAAD.
TheAADOU tuščia, nes grupės grąžinimas dar nesukonfigūruotas. Tai OU, į kurią visos grupės bus grąžintos iš debesies.
TheADOU jau turi tris grupes.
2 veiksmas. Gaukite grupės rašymo būseną
PaleiskiteGet-ADSyncAADCompanyFeaturePowerShell cmdlet, kad patikrintumėte grupės įrašymo būseną.
Siūloma skaityti:Kaip įjungti „Microsoft Entra“ slaptažodžio rašymą
Get-ADSyncAADCompanyFeature„PowerShell“ išvestis tai rodo„UnifiedGroupWriteback“.yra išjungtas, nes reikšmė yraNetiesa.
Pastaba:„UnifiedGroupWriteback“ reiškia pradinę versiją, kuri veiks ir toliau. „GroupWritebackV2“ reiškia naują versiją, kuri bus nutraukta 2024 m. birželio mėn.
Get-ADSyncAADCompanyFeature
PasswordHashSync : True
ForcePasswordChangeOnLogOn : False
UserWriteback : False
DeviceWriteback : False
UnifiedGroupWriteback : False
GroupWritebackV2 : False- „Microsoft Entra Connect“ serveryje atidarykiteAzure AD Connect.
- PasirinkiteKonfigūruoti.
- PasirinkiteTinkinkite sinchronizavimo parinktis, tada pasirinkiteKitas.
- Puslapyje Prisijungimas prie Azure ADįveskite savo kredencialus. PasirinkiteKitas.
- Puslapyje Prisijunkite prie katalogų patikrinkite, arsukonfigūruoti katalogaipasirodo teisingai ir spustelėkiteKitas.
- Domeno ir OU filtravimo puslapyje įsitikinkite, kad turitepasirinktos grupės(kurį sukūrėte atlikdami ankstesnį veiksmą) ir spustelėkiteKitas.
- Puslapyje Pasirinktinės funkcijos pasirinkiteGrupės rašymas, tada pasirinkiteKitas.
Pastaba:Tarkime, kad neįjungėte slaptažodžio grąžinimo, perskaitykite straipsnį Įgalinti savitarnos slaptažodžio atstatymą (SSPR).
- Grupės rašymo puslapyje pasirinkiteAADorganizacijos padalinys (OU) saugoti objektus, kurie sinchronizuojami iš Microsoft 365/Azure su vietine organizacija, ir pasirinkiteĮrašymo grupės išskirtinis pavadinimas su debesies rodomu pavadinimuir pasirinkiteKitas.
- Puslapyje Grupės rašymo leidimai užpildykiteĮmonės administratoriaus kredencialaiir spustelėkiteKitas.
- Puslapyje Paruošta konfigūruoti pasirinkiteKai konfigūracija bus baigta, pradėkite sinchronizavimo procesąir spustelėkiteKonfigūruoti.
- Puslapyje Konfigūracija baigta pasirinkiteIšeiti.
4 veiksmas. Patikrinkite, ar „Microsoft 365“ grupės rodomos vietiniame AD
Prisijunkite prieMicrosoft Entra administravimo centras.SpustelėkiteTapatybė > Grupės > Visos grupės. Filtruokite grupės tipąMicrosoft 365ir sąraše patikrinkite „Microsoft 365“ grupes.
Mūsų pavyzdyje turime tris „Microsoft 365“ grupes.
Pastaba:Tik „Microsoft 365“ grupės rašys atgal į jūsų vietinį AD. Apsaugos grupės neatrašys.
Atidaryti„Active Directory“ vartotojai ir kompiuteriai, atidarykite AAD OU ir patikrinkite, ar „Microsoft 365“ grupės įrašytos atgal į vietinį AD.
„Microsoft 365“ grupėje Group1_Cloud turime tris vartotojus.
Tačiau AD sinchronizuotoje grupėje yra tik du vartotojai. Taip yra todėl, kad „CloudOnly“ vartotojas sukurtas „Azure AD“, o ne vietiniame AD.
Tarkime, redaguojate AAD grupę vietiniame AD. Atlikus kitą sinchronizavimą, pakeitimai bus anuliuoti.
Šiame pavyzdyje vartotoją Richardą Grantą įtraukėme į AAD grupę iš vietinės AD.
Sinchronizavimas pašalino vartotoją Richardą Grantą iš grupės, nes grupę reikia pakeisti „Azure AD“, o ne iš vietinio AD.
Pastaba:AAD grupių įgaliojimai yra „Azure AD“, o ne vietiniame AD. Tai nėra dvipusis sinchronizavimas, o tik vienpusis sinchronizavimas iš Azure AD į vietinį AD. Visada atnaujinkite grupę Azure AD, o pakeitimai atsispindės vietiniame AD.
tai viskas!
Sėkmingai sukonfigūravote grupės rašymą „Azure AD“.
Išvada
Sužinojote, kaip įjungti grupės rašymą programoje Microsoft Entra Connect Sync. Pirmiausia įgalinkite grupės rašymą naudodami „Azure AD Connect“ vedlį. Tada patikrinkite, ar sėkmingai įrašytos „Microsoft 365“ grupės.
Ar jums patiko šis straipsnis? Jums taip pat gali patikti „Microsoft Entra ID“ naudotojų kūrimas iš CSV naudojant „PowerShell“. Nepamirškite sekti mūsų ir pasidalinti šiuo straipsniu.
