如何在 Microsoft Entra Connect 中禁用组写回 v2

Microsoft 将于 2024 年 6 月停止组写回。检查您的组织是否使用它非常重要。如果是这样，您需要进行必要的更改。在本文中，您将了解如何在 Microsoft Entra Connect 中禁用组写回 v2。

组写回 v2 已停止

Microsoft Entra Connect Sync 中的组写回 v2 的公共预览版将在 2024 年 6 月 30 日之后不再提供。此功能将于该日期停止，并且 Connect Sync 中将不再支持您向 Active Directory 预配云安全组。

引用原始版本的统一组写回将继续工作，您可以在以下文章中详细了解如何设置它：

• 如何在 Microsoft Entra Connect Sync 中启用组写回

• 在 Exchange 混合中配置 Microsoft 365 组

如何禁用组写回 v2

要在 Microsoft Entra Connect Sync 中禁用组写回 v2，请按照以下步骤操作。

步骤 1. 获取组写回 v2 状态

登录 Microsoft Entra Connect 服务器。运行 PowerShell 管理员并运行 Get-ADSyncAADCompanyFeature cmdlet 以获取组写回 v2 状态。

Get-ADSyncAADCompanyFeature

PowerShell 输出显示 GroupWriteBackV2 已启用，因为该值为 True。

注意： UnifiedGroupWriteback 指的是原始版本，它将继续工作。 GroupWritebackV2 指的是即将停产的新版本。

PasswordHashSync           : True
ForcePasswordChangeOnLogOn : False
UserWriteback              : False
DeviceWriteback            : False
UnifiedGroupWriteback      : True
GroupWritebackV2           : True

如果 GroupWritebackV2 的值为 False，则无需执行以下步骤，一切都已设置。只需更新团队和文档，Microsoft Entra Connect Sync 中的 Group Writeback v2 将在 2024 年 6 月 30 日之后停止。

步骤 2. 获取启用了组写回的安全组

要获取哪些安全组启用了组写回 v2 的列表视图，请在 Microsoft Entra ID 中筛选它们。

登录 Microsoft Entra 管理中心。单击身份 > 组 > 所有组。

单击管理视图 > 编辑列。

检查两列目标写回类型/启用写回。单击保存。

筛选组以仅显示 AAD 组：

• 点击添加过滤器

• 选择过滤器 - 组类型和值 - 安全性

• 点击应用

• 点击添加过滤器

• 选择过滤器 - 来源和值 - 云

• 点击应用

• 点击添加过滤器

• 选择过滤器 - 启用回写和值 - 是

• 点击应用

这就是设置三个过滤器后的样子。

另一种检查方法是使用 Microsoft Graph PowerShell。

以管理员身份运行 Windows PowerShell 并安装 Microsoft Graph PowerShell。

Install-Module Microsoft.Graph -Force

Install-Module Microsoft.Graph.Beta -AllowClobber -Force

重要提示：始终安装 Microsoft Graph PowerShell 和 Microsoft Graph Beta PowerShell 模块。这是因为某些 cmdlet 在最终版本中尚不可用，并且无法运行。在运行 cmdlet 或脚本之前将两个模块更新到最新版本，以防止出现错误和不正确的结果。

运行下面的脚本。

# Connect to MgGraph with necessary scope
Connect-MgGraph -Scopes "Group.ReadWrite.All"

Get-MgBetaGroup -All |
Where-Object {
    $_.writebackConfiguration.onPremisesGroupType -eq "universalSecurityGroup" -and
    $_.writebackConfiguration.isEnabled -eq $true
} |
Select-Object DisplayName, @{
    Name       = "WriteBackEnabled"
    Expression = { $_.writebackConfiguration.isEnabled }
}, @{
    Name       = "OnPremisesGroupType"
    Expression = { $_.writebackConfiguration.onPremisesGroupType }
} |
Sort-Object DisplayName

输出显示启用了写回的云安全组。

DisplayName WriteBackEnabled OnPremisesGroupType
----------- ---------------- -------------------
Group1_WR               True UniversalSecurityGroup
Group2_WR               True UniversalSecurityGroup
Group3_WR               True UniversalSecurityGroup
Group4_WR               True UniversalSecurityGroup

您还可以检查在本地 Active Directory 中启用写回的云安全组。启动 Active Directory 用户和计算机并检查安全组类型。

步骤 3. 禁用云安全组的组写回

在筛选的组列表中，通过将值更改为否来禁用云安全组的所有启用写回。

速度更快，建议使用 PowerShell。运行下面的脚本。

# Connect to MgGraph with necessary scope
Connect-MgGraph -Scopes "Group.ReadWrite.All"

# List all cloud security groups with writeback enabled
$Groups = Get-MgBetaGroup -All |
Where-Object {
    $_.writebackConfiguration.onPremisesGroupType -eq "universalSecurityGroup" -and
    $_.writebackConfiguration.isEnabled -eq $true
}

# Disable writeback for cloud security groups
foreach ($Group in $Groups) {
    Update-MgBetaGroup -GroupId $Group.Id -WritebackConfiguration @{isEnabled = $false }
}

步骤 4. 在 Microsoft Entra Connect Sync 中禁用组写回 v2

登录 Microsoft Entra Connect 服务器。启动 Windows PowerShell 并运行以下命令以禁用租户中的组写回 v2 功能。

Set-ADSyncAADCompanyFeature -GroupWritebackV2 $false

现在在 Microsoft Entra Connect 中运行强制同步。

Start-ADSyncSyncCycle -PolicyType Initial

请花几分钟时间在本地 AD 和 Entra ID 之间同步数据。

步骤 5. 验证安全组是否已从本地 AD 中删除

验证安全组不会出现在本地 Active Directory 中。 Microsoft 365 云组应该仍然可用。

就是这样！

了解更多：将 Azure AD Connect 迁移到新服务器 »

结论

您了解了如何在 Microsoft Entra Connect 中禁用组写回 v2。按照步骤禁用云安全组的组写回并更新您的文档。如果您想使用安全组的组写回功能，则必须查看 Microsoft Entra Cloud Sync。

您喜欢这篇文章吗？您可能还喜欢查找 Azure AD Connect 帐户。不要忘记关注我们并分享这篇文章。