Sdílet prostřednictvím

Migrace na Microsoft Entra Cloud Sync pro existující synchronizovanou doménovou strukturu AD

  • Článek

Tento kurz vás provede migrací do cloudové synchronizace pro testovací doménovou strukturu Služby Active Directory, která je už synchronizovaná pomocí služby Microsoft Entra Připojení Sync.

Poznámka:

Tento článek obsahuje informace o základní migraci a před pokusem o migraci produkčního prostředí byste si měli projít dokumentaci migrace do cloudu .

Diagram znázorňující tok Microsoft Entra Cloud Sync

Důležité informace

Než si tento kurz vyzkoušíte, zvažte následující položky:

  1. Ujistěte se, že znáte základy cloudové synchronizace.

  2. Ujistěte se, že používáte Microsoft Entra Připojení Sync verze 1.4.32.0 nebo novější a že jste nakonfigurovali pravidla synchronizace podle dokumentu.

  3. Při pilotním nasazení odeberete testovací organizační jednotky nebo skupinu z oboru synchronizace Microsoft Entra Připojení Sync. Přesunutí objektů mimo rozsah vede k odstranění těchto objektů v Microsoft Entra ID.

    • Uživatelské objekty, objekty v Microsoft Entra ID jsou obnovitelné odstranění a lze je obnovit.
    • Seskupit objekty, objekty v MICROSOFT Entra ID jsou pevně odstraněny a nelze je obnovit.

    V Microsoft Entra Připojení Sync byl zaveden nový typ propojení, který zabrání odstranění v pilotním scénáři.

  4. Ujistěte se, že objekty v rozsahu pilotního nasazení mají vyplněné ms-ds-consistencyGUID, aby pevného synchronizace cloudu odpovídala objektům.

Poznámka:

Microsoft Entra Připojení Sync ve výchozím nastavení nenaplní ms-ds-consistencyGUID pro objekty skupiny.

  1. Tato konfigurace je určená pro pokročilé scénáře. Ujistěte se, že postupujete přesně podle kroků popsaných v tomto kurzu.

Požadavky

Pro dokončení tohoto kurzu jsou vyžadovány následující předpoklady:

  • Testovací prostředí s Microsoft Entra Připojení Sync verze 1.4.32.0 nebo novější
  • Organizační jednotky nebo skupina, které jsou v rozsahu synchronizace a dají se použít pilotní nasazení. Doporučujeme začít s malou sadou objektů.
  • Server se systémem Windows Server 2016 nebo novějším, který bude hostitelem agenta zřizování.
  • Zdrojové ukotvení pro Microsoft Entra Připojení Sync by mělo být objectGuid nebo ms-ds-consistencyGUID

Aktualizace microsoft entra Připojení

Minimálně byste měli mít Microsoft Entra Připojení 1.4.32.0. Pokud chcete aktualizovat Microsoft Entra Připojení Sync, proveďte kroky v microsoft Entra Připojení: Upgradujte na nejnovější verzi.

Zálohování konfigurace microsoft entra Připojení

Před provedením jakýchkoli změn byste měli zálohovat konfiguraci microsoft Entra Připojení. Tímto způsobem se můžete vrátit k předchozí konfiguraci. Další informace najdete v tématu Import a export nastavení konfigurace Microsoft Entra Připojení.

Zastavení plánovače

Microsoft Entra Připojení Sync synchronizuje změny, ke kterým dochází v místním adresáři, pomocí plánovače. Pokud chcete upravit a přidat vlastní pravidla, chcete plánovač zakázat, aby se synchronizace nespustí při provádění změn. Pokud chcete plánovač zastavit, postupujte následovně:

  1. Na serveru, na kterém běží Microsoft Entra Připojení Sync, otevřete PowerShell s Správa istrativními oprávněními.
  2. Spusťte Stop-ADSyncSyncCycle. Stiskněte Enter.
  3. Spusťte Set-ADSyncScheduler -SyncCycleEnabled $false.

Poznámka:

Pokud používáte vlastní plánovač pro Microsoft Entra Připojení Sync, zakažte plánovač.

Vytvoření vlastního příchozího pravidla uživatele

V editoru pravidel synchronizace Microsoft Entra Připojení je potřeba vytvořit příchozí pravidlo synchronizace, které filtruje uživatele v organizační jednotky, kterou jste identifikovali dříve. Příchozí pravidlo synchronizace je pravidlo spojení s cílovým atributem cloudNoFlow. Toto pravidlo říká microsoftu Entra, Připojení nesynchronizovat atributy pro tyto uživatele. Další informace najdete v dokumentaci k migraci do cloudové synchronizace před pokusem o migraci produkčního prostředí.

  1. Spusťte editor synchronizace z nabídky aplikace na ploše, jak je znázorněno níže:

    Snímek obrazovky s nabídkou editoru pravidel synchronizace

  2. V rozevíracím seznamu Pro směr vyberte Možnost Příchozí a vyberte Přidat nové pravidlo.

    Snímek obrazovky znázorňující okno Zobrazit a spravovat synchronizační pravidla s vybranou možností Příchozí a Tlačítkem Přidat nové pravidlo

  3. Na stránce Popis zadejte následující a vyberte Další:

    • Název: Pojmenujte pravidlo smysluplným názvem.
    • Popis: Přidání smysluplného popisu
    • systém Připojení: Zvolte konektor AD, pro který píšete vlastní pravidlo synchronizace.
    • Připojení typ systémového objektu: Uživatele
    • Typ objektu Metaverse: Osoba
    • Typ propojení: Spojení
    • Priorita: Zadejte hodnotu, která je v systému jedinečná.
    • Značka: Ponechte tuto prázdnou

    Snímek obrazovky znázorňující stránku Vytvořit příchozí synchronizační pravidlo – Popis se zadanými hodnotami

  4. Na stránce filtru oborů zadejte organizační jednotku nebo skupinu zabezpečení, u které chcete pilotní nasazení vypnout. Pokud chcete filtrovat podle organizační jednotky, přidejte část organizační jednotky rozlišujícího názvu. Toto pravidlo se použije pro všechny uživatele, kteří jsou v této organizační lekci. Takže pokud dn končí na "OU=CPUsers,DC=contoso,DC=com, přidali byste tento filtr. Pak vyberte Další.

    Pravidlo Atribut Operátor Hodnota
    Rozsah organizační jednotky DN ENDSWITH Rozlišující název organizační jednotky.
    Skupina oborů ISMEMBEROF Rozlišující název skupiny zabezpečení

    Snímek obrazovky znázorňující pravidlo vytvořit příchozí synchronizaci – stránka filtru oborů se zadaná hodnotou filtru rozsahu

  5. Na stránce Pravidla připojení vyberte Další.

  6. Na stránce Transformace přidejte konstantní transformaci: tok true do atributu cloudNoFlow. Vyberte Přidat.

    Snímek obrazovky znázorňující stránku Vytvořit příchozí synchronizační pravidlo – Transformace s přidaným tokem konstantní transformace

Stejný postup je potřeba provést u všech typů objektů (uživatel, skupina a kontakt). Opakujte kroky pro nakonfigurovanou Připojení nebo doménovou strukturu AD.

Vytvoření vlastního pravidla odchozích přenosů uživatelů

Budete také potřebovat pravidlo odchozí synchronizace s typem odkazu JoinNoFlow a filtrem oborů, který má atribut cloudNoFlow nastavený na Hodnotu True. Toto pravidlo říká microsoftu Entra, Připojení nesynchronizovat atributy pro tyto uživatele. Další informace najdete v dokumentaci k migraci do cloudové synchronizace před pokusem o migraci produkčního prostředí.

  1. V rozevíracím seznamu Pro směr vyberte Odchozí a vyberte Přidat pravidlo.

    Snímek obrazovky znázorňující vybraný směr odchozích přenosů a zvýrazněné tlačítko Přidat nové pravidlo

  2. Na stránce Popis zadejte následující a vyberte Další:

    • Název: Pojmenujte pravidlo smysluplným názvem.
    • Popis: Přidání smysluplného popisu
    • systém Připojení: Zvolte konektor Microsoft Entra, pro který píšete vlastní pravidlo synchronizace.
    • Připojení typ systémového objektu: Uživatele
    • Typ objektu Metaverse: Osoba
    • Typ odkazu: JoinNoFlow
    • Priorita: Zadejte hodnotu, která je v systému jedinečná.
    • Značka: Ponechte tuto prázdnou

    Snímek obrazovky znázorňující stránku Popis se zadanými vlastnostmi

  3. Na stránce filtru oborů zvolte cloudNoFlow rovno hodnotě True. Pak vyberte Další.

    Snímek obrazovky znázorňující vlastní pravidlo

  4. Na stránce Pravidla připojení vyberte Další.

  5. Na stránce Transformace vyberte Přidat.

Stejný postup je potřeba provést u všech typů objektů (uživatel, skupina a kontakt).

Instalace agenta zřizování Microsoft Entra

Pokud používáte kurz základní služby AD a prostředí Azure, bude to CP1. Chcete-li nainstalovat agenta, postupujte takto:

  1. Na webu Azure Portal vyberte ID Microsoft Entra.
  2. Vlevo vyberte Připojení Microsoft Entra.
  3. Na levé straně vyberte cloudovou synchronizaci.

Snímek obrazovky s novým uživatelským prostředím

  1. Na levé straně vyberte Agent.
  2. Vyberte Stáhnout místního agenta a vyberte Přijmout podmínky a stáhnout.

Snímek obrazovky agenta pro stahování

  1. Po stažení balíčku agenta zřizování Microsoft Entra Připojení spusťte instalační soubor AAD Připojení ProvisioningAgentSetup.exe ze složky pro stahování.

Poznámka:

Při instalaci pro cloud státní správy USA použijte:
AAD Připojení ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Další informace najdete v tématu Instalace agenta v cloudu státní správy USA.

  1. Na úvodní obrazovce vyberte Souhlasím s licencí a podmínkami a pak vyberte Nainstalovat.

Snímek obrazovky znázorňující úvodní obrazovku balíčku agenta zřizování Microsoft Entra Připojení

  1. Po dokončení instalace se spustí průvodce konfigurací. Výběrem možnosti Další spusťte konfiguraci. Snímek obrazovky s úvodní obrazovkou
  2. Na obrazovce Vybrat rozšíření vyberte zřizování řízené hrou (Workday a SuccessFactors) / Microsoft Entra Připojení synchronizaci cloudu a vyberte Další. Snímek obrazovky s výběrem rozšíření

Poznámka:

Pokud instalujete agenta zřizování pro použití s místním zřizováním aplikací, vyberte místní zřizování aplikací (Microsoft Entra ID pro aplikaci).

  1. Přihlaste se pomocí účtu s alespoň rolí hybrid Identity Správa istrator. Pokud máte povolené rozšířené zabezpečení Internet Exploreru, zablokuje přihlášení. Pokud ano, zavřete instalaci, zakažte rozšířené zabezpečení aplikace Internet Explorer a restartujte instalaci balíčku agenta zřizování microsoft Entra Připojení.

Snímek obrazovky s Připojení ID Microsoft Entra

  1. Na obrazovce Konfigurovat účet služby vyberte skupinu Účet spravované služby (gMSA). Tento účet slouží ke spuštění služby agenta. Pokud je účet spravované služby už ve vaší doméně nakonfigurovaný jiným agentem a instalujete druhého agenta, vyberte Vytvořit gMSA , protože systém zjistí existující účet a přidá požadovaná oprávnění pro nového agenta, aby používal účet gMSA. Po zobrazení výzvy zvolte jednu z těchto:
  • Vytvořte gMSA , který umožňuje agentovi vytvořit účet spravované služby provAgentgMSA$ za vás. Účet spravované služby skupiny (například CONTOSO\provAgentgMSA$) se vytvoří ve stejné doméně služby Active Directory, do které je hostitelský server připojený. Pokud chcete tuto možnost použít, zadejte přihlašovací údaje správce domény služby Active Directory (doporučeno).
  • Použijte vlastní účet gMSA a zadejte název účtu spravované služby, který jste pro tuto úlohu vytvořili ručně.

Pokračujte výběrem tlačítka Next (Další).

Snímek obrazovky Konfigurovat účet služby

  1. Pokud se na obrazovce Připojení Active Directory zobrazí název vaší domény v části Nakonfigurované domény, přejděte k dalšímu kroku. V opačném případě zadejte název domény služby Active Directory a vyberte Přidat adresář.

  2. Přihlaste se pomocí účtu správce domény služby Active Directory. Účet správce domény by neměl mít heslo, jehož platnost vypršela. V případě, že vypršela platnost hesla nebo se během instalace agenta změní, musíte agenta překonfigurovat pomocí nových přihlašovacích údajů. Tato operace přidá místní adresář. Vyberte OK a pak pokračujte výběrem možnosti Další .

Snímek obrazovky, který ukazuje, jak zadat přihlašovací údaje správce domény

  1. Následující snímek obrazovky ukazuje příklad contoso.com nakonfigurované domény. Pokračujte výběrem tlačítka Další.

Snímek obrazovky Připojení Active Directory

  1. Na obrazovce Dokončení konfigurace vyberte Potvrdit. Tato operace zaregistruje a restartuje agenta.

  2. Po dokončení této operace byste měli být upozorněni, že konfigurace agenta byla úspěšně ověřena. Můžete vybrat Možnost Ukončit.

Snímek obrazovky znázorňující obrazovku dokončení

  1. Pokud se vám stále zobrazuje úvodní obrazovka, vyberte Zavřít.

Ověření instalace agenta

K ověření agenta dochází na webu Azure Portal a na místním serveru, na kterém běží agent.

Ověření agenta na webu Azure Portal

Pokud chcete ověřit, že agent je zaregistrovaný pomocí ID Microsoft Entra, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Vyberte Microsoft Entra ID.
  3. Vyberte Microsoft Entra Připojení a pak vyberte Cloud sync.Snímek obrazovky s novým uživatelským prostředím
  4. Na stránce synchronizace cloudu uvidíte agenty, které jste nainstalovali. Ověřte, že se agent zobrazí a stav je v pořádku.

Na místním serveru

Pokud chcete ověřit, že je agent spuštěný, postupujte takto:

  1. Přihlaste se k serveru pomocí účtu správce.
  2. Otevřete služby tak, že na ni přejdete nebo přejdete na Start/Run/Services.msc.
  3. V části Služby se ujistěte, že je k dispozici Microsoft Entra Připojení Agent Updater a Microsoft Entra Připojení Provisioning Agent a stav Spuštěno. Snímek obrazovky znázorňující služby systému Windows

Ověření verze agenta zřizování

Pokud chcete ověřit, že je spuštěná verze agenta, postupujte takto:

  1. Přejděte na C:\Program Files\Microsoft Azure AD Připojení Provisioning Agent.
  2. Klikněte pravým tlačítkem na AAD Připojení ProvisioningAgent.exe a vyberte vlastnosti.
  3. Klikněte na kartu podrobností a vedle verze produktu se zobrazí číslo verze.

Konfigurace Microsoft Entra Cloud Sync

Ke konfiguraci zřizování použijte následující postup:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní Správa istrator.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Připojení> Cloud synchronizace.Snímek obrazovky domovské stránky synchronizace cloudu
  1. Vyberte Možnost Nová konfigurace. Snímek obrazovky s přidáním konfigurace
  2. Na konfigurační obrazovce vyberte svoji doménu a jestli chcete povolit synchronizaci hodnot hash hesel. Klikněte na Vytvořit.

Snímek obrazovky s novou konfigurací

  1. Otevře se obrazovka Začínáme .

  2. Na obrazovce Začínáme klikněte buď na Přidat filtry oborů vedle ikony Přidat filtry oborů, nebo klikněte na Filtry oborů vlevo v části Spravovat.

Snímek obrazovky s filtry oborů

  1. Vyberte filtr oborů. Pro účely tohoto kurzu vyberte:
    • Vybrané organizační jednotky: Určuje rozsah konfigurace, která se použije pro konkrétní organizační jednotky.
  2. Do pole zadejte "OU=CPUsers,DC=contoso,DC=com".

Snímek obrazovky s filtrem oborů

  1. Klikněte na tlačítko Přidat. Klikněte na Uložit.

Spuštění plánovače

Microsoft Entra Připojení Sync synchronizuje změny, ke kterým dochází v místním adresáři, pomocí plánovače. Teď, když jste upravili pravidla, můžete plánovač restartovat. Použijte následující postup:

  1. Na serveru, na kterém běží Microsoft Entra Připojení Sync, otevřete PowerShell s Správa istrativními oprávněními.
  2. Spusťte Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Spusťte Start-ADSyncSyncCyclea stiskněte Enter.

Poznámka:

Pokud používáte vlastní plánovač pro Microsoft Entra Připojení Sync, povolte plánovač.

Jakmile je plánovač povolený, Microsoft Entra Připojení přestane exportovat všechny změny objektů v cloudNoFlow=true metaverse, pokud se neaktualizuje žádný odkazový atribut (napříkladmanager). V případě, že objekt obsahuje aktualizace atributu odkazu, microsoft Entra Připojení bude ignorovat cloudNoFlow signál a exportovat všechny aktualizace objektu.

Něco se pokazilo.

V případě, že pilotní nasazení nefunguje podle očekávání, můžete se vrátit k nastavení Microsoft Entra Připojení Sync pomocí následujícího postupu:

  1. Zakažte konfiguraci zřizování na portálu.
  2. Pomocí nástroje Editor pravidel synchronizace zakažte všechna vlastní pravidla synchronizace vytvořená pro zřizování cloudu. Zakázání by mělo způsobit úplnou synchronizaci všech konektorů.

Další kroky