如何在 Microsoft Entra Connect Sync 中启用组写回

组写回允许通过 Microsoft Entra Connect Sync 将 Microsoft 365 组与本地 AD 进行同步。这是一项出色的功能，可以管理云中的组，同时控制对本地应用程序和资源的访问。在本文中，您将了解如何在 Microsoft Entra Connect Sync 中启用组写回。

组写回先决条件

以下是组写回的先决条件：

• Azure AD Premium 1 或 Azure AD Premium 2 许可证
• Azure AD Connect 版本 2.0.89.0 或更高版本

你必须至少有Azure AD 连接版本 2.0.89.0安装或更高版本以在 Azure AD Connect 中启用组写回。

1. 登录 Microsoft Entra Connect 服务器
2. 以管理员身份运行 PowerShell
3. 运行以下命令获取 Azure AD Connect 版本

在我们的示例中，安装了 Azure AD Connect 2.1.20.0。

Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

建议使 Azure AD Connect 保持最新。请按照升级 Microsoft Entra Connect 一文进行操作。

要在 Microsoft Entra Connect Sync 中启用和配置组写回，请按照以下步骤操作：

步骤 1. 在 AD 中创建 OU

开始Active Directory 用户和计算机并创建两个单独的组织单元:

• 你：Azure 活动目录
• 广告：活动目录

如果您已经为组拥有不同的 OU，则无需创建广告OU 并将所有组移入其中。仅创建一个名为亚德。

另请阅读：如何启用 Microsoft Entra 密码写回

这亚德OU 为空，因为尚未配置组写回。这是将从云中写回所有组的 OU。

这广告OU 已经拥有三个组。

步骤2.获取组写回状态

运行获取 ADSyncAADCompanyFeature用于检查组写回状态的 PowerShell cmdlet。

Get-ADSyncAADCompanyFeature

PowerShell 输出显示统一组写回被禁用，因为该值为错误的。

笔记：UnifiedGroupWriteback 指的是原始版本，它将继续工作。 GroupWritebackV2 指的是将于 2024 年 6 月停产的新版本。

Get-ADSyncAADCompanyFeature

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : False
GroupWritebackV2           : False

1. 在 Microsoft Entra Connect 服务器上，打开Azure AD 连接。
2. 选择配置。

3. 选择自定义同步选项，然后选择下一个。

4. 在连接到 Azure AD 页面上，输入您的凭据。选择下一个。

5. 在连接您的目录页面上，验证配置目录正确显示并单击下一个。

6. 在域和 OU 过滤页面上，确保您拥有选定的组（您在上一步中创建的）并单击下一个。

7. 在可选功能页面上，选择组写回，然后选择下一个。

笔记：假设您未启用密码写回，请阅读文章启用自助密码重置 (SSPR)。

8. 在“组写回”页面上，选择亚德组织单位 (OU)，用于存储从 Microsoft 365/Azure 同步到本地组织的对象，并选择带有云显示名称的写回组可分辨名称并选择下一个。

9. 在组写回权限页面，填写企业管理员凭证然后单击下一个。

10. 在准备配置页面上，选择配置完成后启动同步过程然后单击配置。

11. 在配置完成页面上，选择出口。

步骤 4. 验证 Microsoft 365 组是否显示在本地 AD 中

登录到微软 Entra 管理中心。点击身份 > 组 > 所有组。筛选组类型微软365并检查列表中的 Microsoft 365 组。

在我们的示例中，我们有三个 Microsoft 365 组。

笔记：只有 Microsoft 365 组才会写回您的本地 AD。安全组不会回写。

打开Active Directory 用户和计算机，打开 AAD OU，并检查 Microsoft 365 组是否已写回到本地 AD。

我们在 Microsoft 365 组 Group1_Cloud 中有三个用户。

但是，AD 中的同步组中仅出现两个用户。这是因为 CloudOnly 用户是在 Azure AD 中创建的，而不是在本地 AD 中创建的。

假设您在本地 AD 中编辑 AAD 组。下次同步将撤消更改。

在此示例中，我们将用户 Richard Grant 从本地 AD 添加到 AAD 组。

同步从组中删除了用户 Richard Grant，因为需要在 Azure AD 中而不是在本地 AD 中更改组。

笔记：AAD 组的权限位于 Azure AD，而不是本地 AD。这不是双向同步，只是从 Azure AD 到本地 AD 的单向同步。始终更新 Azure AD 中的组，更改将反映在本地 AD 中。

就是这样！

您已成功在 Azure AD 中配置组写回。

结论

您了解了如何在 Microsoft Entra Connect Sync 中启用组写回。首先，通过 Azure AD Connect 向导启用组写回。接下来，验证 Microsoft 365 组是否已成功写回。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 从 CSV 创建 Microsoft Entra ID 用户。不要忘记关注我们并分享这篇文章。