Azure Active Directory Connect Group Writeback

Andres Bohren

2018-12-03

Hallo zusammen,

Ich habe mich mal mit dem Azure Active Directory Connect (AAD Connect) Group writeback beschäftigt. Diese Option wird benötigt um Office 365 Groups, diese Objekte existieren ja bekanntlich nur in Office 365, ins OnPremise Active Directory zurück zu synchronisieren. Dort werden sie als Distribution Group angelegt.

Group writeback
https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-preview

Prerequisits:

Der Office 365 Tenant benötigt eine Azure AD Premium Lizenz. Ich habe mir dafür eine 30 Tägige "Azure Active Directory Premium P1" Testlizenz geholt.
Eine OU innerhalb vom AAD Connect Synchronisationsbereich

Nun kann AAD Connect konfiguriert werden

Man beachte, dass nur die OU "Icewolf Users" synchronisiert wird.

Group Writeback ist immer noch im Preview

Nachdem die Option aktiviert ist, erscheint links ein weiterer Task "Writeback"

Dort muss ich die OU auswählen, in welcher die Objekte erstellt werden. Man beachte, dass die OU innerhalb des ausgewählten Synchronisationsbereichs liegen muss.

Wähle ich die OU "GroupWriteback" in der OU "Icewolf Users" aus, dann kann ich erst Next klicken.

Die Settings kann man sich auch per PowerShell ansehen.

$gs= Get-ADSyncGlobalSettings
$gs.Parameters | where {$_.name -match "Microsoft.GroupWriteBack"}

Leider wurden keine Objekte angelegt. Im Eventviewer finde ich einen Event 6001 von der Source ADSync

Also mal den Syncronisation Service Manager starten und nachsehen

C:\Program Files\Microsoft Azure AD Sync\UIShell\miisclient.exe

Ein Permission Error - der Access ist verboten.

In Active Directory den Delegation Wizard starten. Rechte Maustaste auf der OU und "Delegate control" auswählen.

Nun nach dem MSOL_* User suchen

Die Berechtigungen für Gruppen erteilen

Bei der nächsten Synchronisation werden die Objekte dann auch angelegt.

Eine kurze Prüfung mit der Exchange Management Shell. Jup alle Office 365 Groups wurden angelegt.

Get-UnifiedGroup

Mit dem Befehl "Update-Recipient" auf dem OnPrem Exchange kann man die Gruppe auch im Adressbuch sichtbar machen.

Hier der Beweis

Grüsse

Andres Bohren

Works as a Microsoft Cloud Engineer/Architect for midsize to large Enterprises. He has a special focus on M365 including Identity, Messaging, Communication, Security and PowerShell but also Azure Technologies. He is Co-Organisator of the <Microsoft 365 Community Schweiz> Meetup group and was Speaker at several other Meetups.