如何在 Microsoft Entra Connect Sync 中啟用組寫回

組寫回允許通過 Microsoft Entra Connect Sync 將 Microsoft 365 組與本地 AD 進行同步。這是一項出色的功能，可以管理雲中的組，同時控制對本地應用程序和資源的訪問。在本文中，您將了解如何在 Microsoft Entra Connect Sync 中啟用組寫回。

組寫回先決條件

以下是組寫回的先決條件：

• Azure AD Premium 1 或 Azure AD Premium 2 許可證
• Azure AD Connect 版本 2.0.89.0 或更高版本

你必須至少有Azure AD 連接版本 2.0.89.0安裝或更高版本以在 Azure AD Connect 中啟用組寫回。

1. 登錄 Microsoft Entra Connect 服務器
2. 以管理員身份運行 PowerShell
3. 運行以下命令獲取 Azure AD Connect 版本

在我們的示例中，安裝了 Azure AD Connect 2.1.20.0。

Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

建議使 Azure AD Connect 保持最新。請按照升級 Microsoft Entra Connect 一文進行操作。

要在 Microsoft Entra Connect Sync 中啟用和配置組寫回，請按照以下步驟操作：

步驟 1. 在 AD 中創建 OU

開始Active Directory 用戶和計算機並創建兩個單獨的組織單元:

• 你：Azure 活動目錄
• 廣告：活動目錄

如果您已經為組擁有不同的 OU，則無需創建廣告OU 並將所有組移入其中。僅創建一個名為亞德。

這亞德OU 為空，因為尚未配置組寫回。這是將從雲中寫回所有組的 OU。

這廣告OU 已經擁有三個組。

步驟2.獲取組寫回狀態

運行獲取 ADSyncAADCompanyFeature用於檢查組寫回狀態的 PowerShell cmdlet。

建議閱讀：如何啟用 Microsoft Entra 密碼寫回

Get-ADSyncAADCompanyFeature

PowerShell 輸出顯示統一組寫回被禁用，因為該值為錯誤的。

筆記：UnifiedGroupWriteback 指的是原始版本，它將繼續工作。 GroupWritebackV2 指的是將於 2024 年 6 月停產的新版本。

Get-ADSyncAADCompanyFeature

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : False
GroupWritebackV2           : False

1. 在 Microsoft Entra Connect 服務器上，打開Azure AD 連接。
2. 選擇配置。

3. 選擇自定義同步選項，然後選擇下一個。

4. 在連接到 Azure AD 頁面上，輸入您的憑據。選擇下一個。

5. 在連接您的目錄頁面上，驗證配置目錄正確顯示並單擊下一個。

6. 在域和 OU 過濾頁面上，確保您擁有選定的組（您在上一步中創建的）並單擊下一個。

7. 在可選功能頁面上，選擇組寫回，然後選擇下一個。

筆記：假設您未啟用密碼寫回，請閱讀文章啟用自助密碼重置 (SSPR)。

8. 在“組寫回”頁面上，選擇亞德組織單位 (OU)，用於存儲從 Microsoft 365/Azure 同步到本地組織的對象，並選擇帶有云顯示名稱的寫回組可分辨名稱並選擇下一個。

9. 在組寫回權限頁面，填寫企業管理員憑證然後單擊下一個。

10. 在準備配置頁面上，選擇配置完成後啟動同步過程然後單擊配置。

11. 在配置完成頁面上，選擇出口。

步驟 4. 驗證 Microsoft 365 組是否顯示在本地 AD 中

登錄到微軟 Entra 管理中心。點擊身份 > 組 > 所有組。篩選組類型微軟365並檢查列表中的 Microsoft 365 組。

在我們的示例中，我們有三個 Microsoft 365 組。

筆記：只有 Microsoft 365 組才會寫回您的本地 AD。安全組不會回寫。

打開Active Directory 用戶和計算機，打開 AAD OU，並檢查 Microsoft 365 組是否已寫回到本地 AD。

我們在 Microsoft 365 組 Group1_Cloud 中有三個用戶。

但是，AD 中的同步組中僅出現兩個用戶。這是因為 CloudOnly 用戶是在 Azure AD 中創建的，而不是在本地 AD 中創建的。

假設您在本地 AD 中編輯 AAD 組。下次同步將撤消更改。

在此示例中，我們將用戶 Richard Grant 從本地 AD 添加到 AAD 組。

同步從組中刪除了用戶 Richard Grant，因為需要在 Azure AD 中而不是在本地 AD 中更改組。

筆記：AAD 組的權限位於 Azure AD，而不是本地 AD。這不是雙向同步，只是從 Azure AD 到本地 AD 的單向同步。始終更新 Azure AD 中的組，更改將反映在本地 AD 中。

就是這樣！

您已成功在 Azure AD 中配置組寫回。

結論

您了解瞭如何在 Microsoft Entra Connect Sync 中啟用組寫回。首先，通過 Azure AD Connect 嚮導啟用組寫回。接下來，驗證 Microsoft 365 組是否已成功寫回。

您喜歡這篇文章嗎？您可能還喜歡使用 PowerShell 從 CSV 創建 Microsoft Entra ID 用戶。不要忘記關注我們並分享這篇文章。