Як налаштувати груповий зворотній запис у Microsoft Entra Cloud Sync

Груповий зворотній запис дозволяє синхронізувати групи безпеки Microsoft Entra ID із вашою локальною AD. Однак у червні 2024 року корпорація Майкрософт відмовилася від зворотного запису групи безпеки в Microsoft Entra Connect. Але вона стала доступною в Microsoft Entra Cloud Sync. У цій статті ви дізнаєтесь, як налаштувати груповий зворотній запис у Microsoft Entra Cloud Sync.

Перш ніж продовжити, переконайтеся, що у вас є:

• Орендар Microsoft Entra ID.
• Обліковий запис глобального адміністратора Entra ID для початкового налаштування.
• Принаймні одна машина з Windows Server 2016 або новішої версії (до домену) для розміщення агента підготовки.
• Відкрито необхідні порти брандмауера: HTTPS (443) і HTTP (80) до хмарних кінцевих точок Microsoft.
• Правильна роздільна здатність DNS від сервера до ваших контролерів домену та зовнішнього Інтернету.

Якщо ви вже стежили за статтею «Увімкнути зворотний запис груп» у Microsoft Entra Connect Sync, у вас уже налаштовано OU, і вони записують групи з Entra ID до AD. Однак це не групи безпеки.

Примітка:Зворотний запис груп безпеки можна налаштувати лише в Microsoft Entra Cloud Sync, про що ми розповімо в цій статті.

Як увімкнути груповий зворотній запис у Microsoft Entra Cloud Sync

Щоб увімкнути та налаштувати груповий зворотній запис у Microsoft Entra Cloud Sync, виконайте наведені нижче дії.

Крок 1. Створіть OU в AD

Запустіть Active Directory Users and Computers і створіть два окремих OU:

• Введіть ID: ідентифікатор входу в Microsoft
• нашої ери: Active Directory

Якщо у вас уже є різні OU для груп, вам не потрібно створюватинашої ериOU і перемістіть туди всі групи. Створіть лише нову OU з назвоюВведіть ID. Це те, що ви будете використовувати пізніше в посібнику.

1. Клацніть правою кнопкою мишіВведіть IDАБО
2. НатиснітьВластивості

3. Двічі клацніть навизначне ім'яатрибут

4. Скопіюйтезначенняі збережіть його. Він вам знадобиться пізніше в посібнику.

Крок 2. Отримайте статус зворотного запису групи

Якщо у вас встановлено Microsoft Entra Connect, запустітьGet-ADSyncAADCanyFeatureКомандлет PowerShell для перевірки статусу зворотного запису групи.

Get-ADSyncAADCompanyFeature

Результат PowerShell показує цеUnifiedGroupWritebackвимкнено, оскільки значення єНеправда.

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : False
GroupWritebackV2           : False

Ви можете ввімкнути UnifiedGroupWriteback і залишити його таким. Важливо, щоб у вас було вимкнено GroupWritebackV2, оскільки його припинено. Докладніше в статті Вимкнути зворотній запис групи v2 у Microsoft Entra Connect.

Примітка:UnifiedGroupWriteback відноситься до оригінальної версії, яка продовжуватиме працювати. GroupWritebackV2 відноситься до нової версії та припинено в червні 2024 року. Тепер він інтегрований у Microsoft Entra Cloud Sync, і саме про це ця стаття.

Крок 3. Завантажте Cloud Sync Agent

1. Увійдіть доЦентр адміністрування Microsoft Entra
2. Перейдіть доІдентичність > Показати більше

3. ВиберітьГібридне керування > Microsoft Entra Connect
4. Натисніть наХмарна синхронізація

5. ВиберітьАгенти
6. Натисніть наЗавантажте локальний агент

7. Натисніть наПрийміть умови та завантажте
8. Збережіть виконуваний файл на машині Windows Server

Крок 4. Встановіть Provisioning Agent на Windows Server

1. стартПровідник файлів
2. Перейти до завантаженогоВиконуваний файл налаштування агента надання
3. Запустіть завантажений інсталятор Microsoft Entra Connect Provisioning Agent від імені адміністратора

4. Прийнятиумови ліцензії
5. Натиснітьвстановити

6. Інсталяція розпочинає інсталяцію Microsoft Entra Provisioning Agent

7. НатиснітьДаліна екрані майстра налаштування агента надання Microsoft Entra

8. ВиберітьІніціалізація на основі кадрів (Workday і SuccessFactors) / Microsoft Entra Cloud Sync
9. НатиснітьДалі

10. НатиснітьАвтентифікувати
11. Увійдіть за допомогою свогоОблікові дані адміністратора Microsoft Entra ID

12. ВиберітьСтворіть gSMA
13. Введіть свійОблікові дані адміністратора локального домену
14. НатиснітьДалі

15. НатиснітьДалі

16. НатиснітьПідтвердити

17. НатиснітьВихід

Крок 5. Перевірте статус Provisioning Agent

1. Увійдіть доЦентр адміністрування Microsoft Entra
2. НатиснітьАгентиі переконайтеся, що ім’я машини з’являється, а статус єАктивний

3. стартСлужби Windows
4. Переконайтеся, щоАгент надання Microsoft Azure AD Connectслужба працює

5. стартКористувачі та комп’ютери Active Directory
6. Перейдіть доДомен (exoip.local) > Облікові записи керованих служб
7. Переконайтеся, щоprovAgentgMSAз’явиться обліковий запис служби

1. Увійти вЦентр адміністрування Microsoft Entra
2. Натисніть наКонфігурації
3. Виберіть+ Нова конфігурація > Синхронізація Microsoft Entra ID з AD

4. ВиберітьДомен Active Directory
5. НатиснітьСтворити

6. НатиснітьОгляд
7. ВиберітьВластивості
8. Натисніть значок олівця, щоб відредагуватиоснови

9. Налаштуйтеоснови:

• Додайте електронну адресу для сповіщень
• Увімкніть запобігання випадковому видаленню
• Встановіть порогове значення випадкового видалення на 500

10. ВиберітьЗастосувати

11. НатиснітьФільтри огляду
12. ВиберітьВсі групи безпеки
13. ВиберітьРедагувати зіставлення атрибутів

14. ВиберітьПостійнийзі спадного меню
15. Вставте в поле значення константиЗначення розрізненого імені OUякі ви зазначили на першому кроці
16. НатиснітьЗастосувати

17. Натиснітьзберегти

18. НатиснітьОгляд
19. НатиснітьПерегляньте та ввімкніть

20. НатиснітьУвімкнути конфігурацію

1. Переконайтеся, що синхронізація конфігурації від Microsoft Entra ID до AD відображає статусЗдоровий

2. Повернутися доОгляд
3. ВиберітьОгляді переконайтеся, що все виглядає добре

Крок 8. Перевірте синхронізацію зворотного запису групи

1. ВиберітьМоніторинг
2. Налаштування групи показує, що початкова синхронізація не виконується

3. Оновлюйте, доки початкова синхронізація завершена

4. Переконайтеся, що групи безпеки записані назад доВведіть IDАБО

5. Припустімо, що ви хочете ще раз перевірити, чи це групи безпеки, ви завжди можете ввійти в центр адміністрування Microsoft Entra та перейти доГрупилезо та відфільтруйте їх у Microsoft Entra ID на:

• Тип групи: Охорона
• Джерело: Cloud

Це правильні групи, які записуються з Microsoft Entra ID до локальної AD.

Більше читання:Як вимкнути Group Writeback v2 у Microsoft Entra Connect

Ось і все!

Висновок

Ви дізналися, як налаштувати груповий зворотній запис у Microsoft Entra Cloud Sync. Це стосується лише хмарних груп безпеки. Якщо ви хочете отримати зворотній запис груп розсилки та груп Microsoft 365, увімкніть зворотний запис груп у Microsoft Entra Connect Sync. Таким чином усі групи будуть записані з Entra ID у локальну AD.

Вам сподобалася ця стаття? Вам також може сподобатися Як обмежити доступ до центру адміністрування Microsoft Entra. Не забудьте підписатися на нас і поділитися цією статтею.