Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
La versión preliminar de La escritura diferida de grupos v2 en Microsoft Entra Connect Sync está en desuso y ya no se admite.
Puede usar Microsoft Entra Cloud Sync para aprovisionar grupos de seguridad en la nube a Active Directory Domain Services (AD DS) local.
Si usa La escritura diferida de grupos v2 en Microsoft Entra Connect Sync, debe mover el cliente de sincronización a Microsoft Entra Cloud Sync. Para comprobar si es apto para moverse a Microsoft Entra Cloud Sync, use el Asistente para la sincronización de usuarios.
Si no puede usar Microsoft Cloud Sync como recomienda el asistente, puede ejecutar Microsoft Entra Cloud Sync en paralelo con Microsoft Entra Connect Sync. En ese caso, puede ejecutar Microsoft Entra Cloud Sync solo para aprovisionar grupos de seguridad en la nube a AD DS local.
Si aprovisiona grupos de Microsoft 365 en AD DS, puede seguir usando la escritura diferida de grupos v1.
La escritura diferida de grupos es una característica que puede usar para volver a escribir grupos en la nube en la instancia de Active Directory local mediante Microsoft Entra Connect Sync. La escritura diferida de grupos V2 con Microsoft Entra Connect está en desuso. La reescritura de grupos V1 con Microsoft Entra Connect sigue funcionando, y debería usarlo si está sincronizando grupos de Microsoft 365. Esta versión de la escritura diferida de grupos se sustituye por el aprovisionamiento de grupos de Microsoft Entra Cloud Sync en Active Directory. La funcionalidad V1 sigue funcionando hasta que Microsoft Entra Cloud Sync admite la sincronización de grupos de Microsoft 365.
En este artículo se proporciona información, y se guía paso a paso, sobre cómo habilitar la funcionalidad de escritura diferida de grupos V1.
Importante
En este artículo se describe cómo habilitar la escritura diferida de grupos V1 con Microsoft Entra Connect Sync. Solo los clientes que aprovisionan grupos de Microsoft 365 en Active Directory deben usarlo.
Requisitos previos e información
Para habilitar la escritura diferida de grupos debe tener:
- Licencias de Microsoft Entra Premium para su inquilino.
- Una implementación híbrida configurada entre la organización local de Exchange y Microsoft 365 y compruebe que funciona correctamente.
- Una versión compatible de Exchange instalada localmente.
- Inicio de sesión único configurado mediante Microsoft Entra Connect.
Tenga en cuenta la siguiente información al hacer uso de la escritura diferida de grupos V1 con Microsoft Entra Connect Sync:
- Los grupos de Microsoft 365 con hasta 250 000 miembros se pueden volver a escribir en el entorno local.
- Si no desea volver a escribir todos los grupos de Microsoft 365 existentes en Active Directory, realice cambios en el comportamiento predeterminado de escritura diferida de grupos antes de realizar los pasos descritos en este artículo para habilitar la característica. Para obtener más información, vea Modificar grupos de Microsoft 365.
Habilitación de la escritura diferida de grupos
Para habilitar la escritura diferida de grupos siga estos pasos:
Abra el Asistente de Microsoft Entra Connect , seleccione Configurar y, a continuación, seleccione Siguiente.
Seleccione Personalizar opciones de sincronización y, a continuación, seleccione Siguiente.
En la página Conectarse a Azure AD , escriba sus credenciales. Seleccione Next (Siguiente).
En la página Características opcionales, compruebe que las opciones que configuró anteriormente sigan estando seleccionadas.
Seleccione Reescritura de grupo y, a continuación, seleccione Siguiente.
En la página Group Writeback, seleccione una unidad organizativa de Active Directory para almacenar objetos sincronizados de Microsoft 365 con su organización local. Luego, selecciona Siguiente.
Para facilitar la búsqueda de los grupos que se están reescribiendo desde Microsoft Entra ID hacia Active Directory, seleccione la opción Reescribir el nombre distinguido del grupo con el nombre a mostrar en la nube:
Formato predeterminado:
CN=Group_3a5c3221-c465-48c0-95b8-e9305786a271, OU=WritebackContainer, DC=domain, DC=comFormato nuevo:
CN=Administrators_e9305786a271, OU=WritebackContainer, DC=domain, DC=com
Al configurar la escritura diferida de grupos aparece una casilla en la parte inferior de la ventana de configuración. Selecciónela para habilitar esta característica.
Los grupos que se reescriben desde Microsoft Entra ID en Active Directory tienen una fuente de autoridad en la nube. Los cambios realizados de forma local en grupos que se devuelven desde Microsoft Entra ID se sobrescriben en el siguiente ciclo de sincronización.
En la página Listo para configurar, seleccione Configurar.
Una vez completado el asistente, en la página Configuración completa, seleccione Salir.
Abra Windows PowerShell como administrador en el servidor Microsoft Entra Connect y ejecute los siguientes comandos:
$AzureADConnectSWritebackAccountDN = <MSOL_ account DN> Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1" # To grant the <MSOL_account> permission to all domains in the forest: Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN # To grant the <MSOL_account> permission to specific OU (eg. the OU chosen to writeback Office 365 Groups to): $GroupWritebackOU = <DN of OU where groups are to be written back to> Set-ADSyncUnifiedGroupWritebackPermissions -ADConnectorAccountDN $AzureADConnectSWritebackAccountDN -ADObjectDN $GroupWritebackOU
Para obtener más información sobre cómo configurar grupos de Microsoft 365, vea Configurar grupos de Microsoft 365 con un entorno híbrido local de Exchange.
Deshabilitación de la escritura diferida de grupos
Para deshabilitar la escritura diferida de grupos siga estos pasos:
Abra el Asistente para Microsoft Entra Connect y vaya a la página Tareas adicionales . Seleccione la tarea Personalizar opciones de sincronización y seleccione Siguiente.
En la página Características opcionales desactive la casilla Escritura diferida de grupos. Una advertencia indica que está a punto de eliminar grupos. Seleccione Sí.
Al deshabilitar la escritura diferida de grupos, los grupos que se crearon anteriormente con esta característica se eliminan de la instancia local de Active Directory en el siguiente ciclo de sincronización.
Seleccione Next (Siguiente).
Seleccione Configurar.
Al deshabilitar la escritura diferida de grupos, las marcas Full Import y Full Synchronization se ponen a true en Microsoft Entra Connector. Los cambios de regla se propagan en el siguiente ciclo de sincronización y eliminan los grupos que fueron escritos de nuevo anteriormente en Active Directory.
Modificación del comportamiento predeterminado para grupos de Microsoft 365
En las secciones siguientes se proporcionan instrucciones sobre cómo modificar el comportamiento predeterminado para los grupos de Microsoft 365.
Escritura diferida de grupos de Microsoft 365 con hasta 250 000 miembros
Dado que la regla de sincronización predeterminada que limita el tamaño del grupo se crea cuando la escritura diferida de grupos está habilitada, debe completar los pasos siguientes después de habilitar la escritura diferida de grupos:
En el servidor de Microsoft Entra Connect, abra un símbolo del sistema de PowerShell como administrador.
Deshabilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $falseAbra el Editor de reglas de sincronización.
Establezca la dirección en Saliente.
Busque y deshabilite la regla de sincronización Fuera de AD: límite de miembros de escritura diferida de grupos.
Habilite el programador de sincronización de Microsoft Entra Connect:
Set-ADSyncScheduler -SyncCycleEnabled $true
Al deshabilitar la regla de sincronización, se establece la marca para la sincronización completa en true en Microsoft Entra Connector. Este cambio hace que los cambios de regla se propaguen en el siguiente ciclo de sincronización.