如何在 Microsoft Entra Connect Sync 中启用组写回

组写回允许通过 Microsoft Entra Connect Sync 将 Microsoft 365 组与本地 AD 进行同步。这是一项出色的功能，可以管理云中的组，同时控制对本地应用程序和资源的访问。在本文中，您将了解如何在 Microsoft Entra Connect Sync 中启用组写回。

组写回先决条件

以下是组写回的先决条件：

• Azure AD Premium 1 或 Azure AD Premium 2 许可证
• Azure AD Connect 版本 2.0.89.0 或更高版本

检查 Azure AD Connect 版本

您必须至少安装 Azure AD Connect 版本 2.0.89.0 或更高版本才能在 Azure AD Connect 中启用组写回。

1. 登录 Azure AD Connect 服务器
2. 以管理员身份运行 PowerShell
3. 运行以下命令获取 Azure AD Connect 版本

在我们的示例中，安装了 Azure AD Connect 2.1.20.0。

Import-Module ADSync
(Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value

建议使 Azure AD Connect 保持最新状态。请遵循升级 Azure AD Connect 一文。

如何在 Microsoft Entra Connect Sync 中启用组写回

要在 Microsoft Entra Connect Sync 中启用和配置组写回，请按照以下步骤操作：

步骤 1. 在 AD 中创建 OU

启动Active Directory 用户和计算机并创建两个单独的OU：

• AAD：Azure Active Directory
• AD：活动目录

如果您的组已有不同的 OU，则无需创建 AD OU 并将所有组移入其中。仅创建一个名为 AAD 的新 OU。

AAD OU 为空，因为尚未配置组写回。这是将从云中写回所有组的 OU。

AD OU 已具有三个组。

步骤2.获取组写回状态

运行 Get-ADSyncAADCompanyFeature PowerShell cmdlet 以检查组写回状态。

Get-ADSyncAADCompanyFeature

PowerShell 输出显示 UnifiedGroupWriteback 已禁用，因为该值为 False。

注意： UnifiedGroupWriteback 指的是原始版本，它将继续工作。 GroupWritebackV2 指的是将于 2024 年 6 月停产的新版本。

Get-ADSyncAADCompanyFeature

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : False
GroupWritebackV2           : False

步骤 3. 在 Azure AD Connect 中启用组写回

1. 在 Azure AD Connect 服务器上，打开 Azure AD Connect。
2. 选择配置。

1. 选择自定义同步选项，然后选择下一步。

1. 在“连接到 Azure AD”页面上，输入您的凭据。选择下一步。

1. 在“连接您的目录”页面上，验证配置的目录是否正确显示，然后单击下一步。

1. 在“域和 OU 过滤”页面上，确保您已选择组（您在上一步中创建的），然后单击下一步。

1. 在“可选功能”页面上，选择组写回，然后选择下一步。

注意：假设您没有启用密码写回功能，请阅读启用自助密码重置 (SSPR) 一文。

1. 在“组写回”页面上，选择用于存储从 Microsoft 365/Azure 同步到本地组织的对象的 AAD 组织单位 (OU)，然后选择“使用云显示写回组可分辨名称”名称并选择下一步。

1. 在“组写回权限”页面上，填写企业管理员凭据，然后单击下一步。

1. 在“准备配置”页面上，选择配置完成后启动同步过程，然后单击配置。

1. 在“配置完成”页面上，选择退出。

步骤 4. 验证 Microsoft 365 组是否显示在本地 AD 中

登录 Microsoft Entra 管理中心。单击身份 > 组 > 所有组。筛选 Microsoft 365 上的组类型，然后检查列表中的 Microsoft 365 组。

在我们的示例中，我们有三个 Microsoft 365 组。

注意：只有Microsoft 365 组才会写回您的本地 AD。 安全组不会回写。

打开Active Directory 用户和计算机，打开 AAD OU，然后检查 Microsoft 365 组是否已写回到本地 AD。

我们的 Microsoft 365 组 Group1_Cloud 中有三个用户。

但是，AD 中的同步组中仅出现两个用户。这是因为 CloudOnly 用户是在 Azure AD 中创建的，而不是在本地 AD 中创建的。

假设您在本地 AD 中编辑 AAD 组。下次同步将撤消更改。

在此示例中，我们将用户 Richard Grant 从本地 AD 添加到 AAD 组。

同步从组中删除了用户 Richard Grant，因为该组需要在 Azure AD 中更改，而不是在本地 AD 中更改。

注意：AAD 组的权限位于 Azure AD，而不是本地 AD。这不是双向同步，只是从 Azure AD 到本地 AD 的单向同步。始终更新 Azure AD 中的组，更改将反映在本地 AD 中。

就是这样！

您已成功在 Azure AD 中配置组写回。

了解更多：在 Exchange 混合中配置 Microsoft 365 组 »

结论

您了解了如何在 Microsoft Entra Connect Sync 中启用组写回。首先，通过 Azure AD Connect 向导启用组写回。接下来，验证 Microsoft 365 组是否已成功写回。

您喜欢这篇文章吗？您可能还喜欢使用 PowerShell 从 CSV 创建 Microsoft Entra ID 用户。不要忘记关注我们并分享这篇文章。