如何在 Microsoft Entra Connect 中禁用組寫回 v2

Microsoft 將於 2024 年 6 月停止組寫回。檢查您的組織是否使用它非常重要。如果是這樣，您需要進行必要的更改。在本文中，您將了解如何在 Microsoft Entra Connect 中禁用組寫回 v2。

Microsoft Entra Connect Sync 中的組寫回 v2 的公共預覽版將在 2024 年 6 月 30 日之後不再提供。此功能將於該日期停止，並且 Connect Sync 將不再支持您向 Active Directory 預配雲安全組。

這統一組寫回指的是原始版本將繼續工作，您可以在以下文章中閱讀有關如何設置它的更多信息：

• 如何在 Microsoft Entra Connect Sync 中啟用組寫回
• 在 Exchange 混合中配置 Microsoft 365 組

如何禁用組寫回 v2

要在 Microsoft Entra Connect Sync 中禁用組寫回 v2，請按照以下步驟操作。

步驟 1. 獲取組寫回 v2 狀態

登錄 Microsoft Entra Connect 服務器。運行 PowerShell 管理員並運行獲取 ADSyncAADCompanyFeature用於獲取組寫回 v2 狀態的 cmdlet。

Get-ADSyncAADCompanyFeature

PowerShell 輸出顯示 GroupWriteBackV2 已啟用，因為該值為真的。

參見：如何修復 Microsoft Entra Connect 同步服務未運行的問題

筆記：UnifiedGroupWriteback 指的是原始版本，它將繼續工作。 GroupWritebackV2 指的是即將停產的新版本。

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : True
GroupWritebackV2           : True

如果值為錯誤的對於 GroupWritebackV2，您不必執行以下步驟，一切都已設置。只需更新團隊和文檔，Microsoft Entra Connect Sync 中的 Group Writeback v2 將在 2024 年 6 月 30 日之後停止。

步驟 2. 獲取啟用了組寫回的安全組

要獲取哪些安全組啟用了組寫回 v2 的列表視圖，請在 Microsoft Entra ID 中篩選它們。

登錄到微軟 Entra 管理中心。點擊身份 > 組 > 所有組。

點擊管理視圖 > 編輯列。

檢查兩列目標寫回類型/啟用寫回。點擊節省。

篩選組以僅顯示 AAD 組：

• 點擊添加過濾器
• 選擇過濾器 –團體類型和價值 –安全
• 點擊申請

• 點擊添加過濾器
• 選擇過濾器 –來源和價值 –雲
• 點擊申請

• 點擊添加過濾器
• 選擇過濾器 –啟用寫回和價值 –是的
• 點擊申請

這就是設置三個過濾器後的樣子。

另一種檢查方法是使用 Microsoft Graph PowerShell。

以管理員身份運行 Windows PowerShell 並安裝 Microsoft Graph PowerShell。

Install-Module Microsoft.Graph -Force

Install-Module Microsoft.Graph.Beta -AllowClobber -Force

重要的：始終安裝 Microsoft Graph PowerShell 和 Microsoft Graph Beta PowerShell 模塊。這是因為某些 cmdlet 在最終版本中尚不可用，並且它們將無法工作。在運行 cmdlet 或腳本之前將兩個模塊更新到最新版本，以防止出現錯誤和不正確的結果。

運行下面的腳本。

# Connect to MgGraph with necessary scope
Connect-MgGraph -Scopes "Group.ReadWrite.All"

Get-MgBetaGroup -All |
Where-Object {
    $_.writebackConfiguration.onPremisesGroupType -eq "universalSecurityGroup" -and
    $_.writebackConfiguration.isEnabled -eq $true
} |
Select-Object DisplayName, @{
    Name       = "WriteBackEnabled"
    Expression = { $_.writebackConfiguration.isEnabled }
}, @{
    Name       = "OnPremisesGroupType"
    Expression = { $_.writebackConfiguration.onPremisesGroupType }
} |
Sort-Object DisplayName

輸出顯示啟用了寫回的雲安全組。

DisplayName WriteBackEnabled OnPremisesGroupType
----------- ---------------- -------------------
Group1_WR               True UniversalSecurityGroup
Group2_WR               True UniversalSecurityGroup
Group3_WR               True UniversalSecurityGroup
Group4_WR               True UniversalSecurityGroup

您還可以檢查在本地 Active Directory 中啟用寫回的雲安全組。啟動 Active Directory 用戶和計算機並檢查安全組類型。

步驟 3. 禁用雲安全組的組寫回

在篩選的組列表中，通過將值更改為禁用為雲安全組啟用的所有寫回不。

速度更快，建議使用 PowerShell。運行下面的腳本。

# Connect to MgGraph with necessary scope
Connect-MgGraph -Scopes "Group.ReadWrite.All"

# List all cloud security groups with writeback enabled
$Groups = Get-MgBetaGroup -All |
Where-Object {
    $_.writebackConfiguration.onPremisesGroupType -eq "universalSecurityGroup" -and
    $_.writebackConfiguration.isEnabled -eq $true
}

# Disable writeback for cloud security groups
foreach ($Group in $Groups) {
    Update-MgBetaGroup -GroupId $Group.Id -WritebackConfiguration @{isEnabled = $false }
}

步驟 4. 在 Microsoft Entra Connect Sync 中禁用組寫回 v2

登錄 Microsoft Entra Connect 服務器。啟動 Windows PowerShell 並運行以下命令以禁用租戶中的組寫回 v2 功能。

Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

現在在 Microsoft Entra Connect 中運行強制同步。

Start-ADSyncSyncCycle -PolicyType Initial

請花幾分鐘時間在本地 AD 和 Entra ID 之間同步數據。

驗證安全組不會出現在本地 Active Directory 中。 Microsoft 365 雲組應該仍然可用。

就是這樣！

結論

您了解瞭如何在 Microsoft Entra Connect 中禁用組寫回 v2。按照步驟禁用雲安全組的組寫回並更新您的文檔。如果您想使用安全組的組寫回功能，則必須查看 Microsoft Entra Cloud Sync。

您喜歡這篇文章嗎？您可能還喜歡查找 Microsoft Entra Connect 帳戶。不要忘記關注我們並分享這篇文章。