Kurz: Migrace zřizování synchronizace Okta do synchronizace Microsoft Entra Připojení

V tomto kurzu se naučíte migrovat zřizování uživatelů z Okty do Microsoft Entra ID a migrovat synchronizaci uživatelů nebo univerzální synchronizaci na Microsoft Entra Připojení. Tato funkce umožňuje zřizování v Microsoft Entra ID a Office 365.

Poznámka:

Při migraci synchronizačních platforem ověřte kroky v tomto článku ve vašem prostředí předtím, než odeberete Microsoft Entra Připojení z přípravného režimu nebo povolíte agenta zřizování cloudu Microsoft Entra.

Požadavky

Při přechodu ze zřizování Okta na ID Microsoft Entra existují dvě možnosti. Použijte server Microsoft Entra Připojení nebo zřizování cloudu Microsoft Entra.

Další informace: Porovnání mezi microsoft entra Připojení a cloudovou synchronizací

Zřizování cloudu Microsoft Entra je nejznámější cestou migrace pro zákazníky Okta, kteří používají Univerzální synchronizaci nebo Synchronizaci uživatelů. Agenti zřizování cloudu jsou odlehčeni. Můžete je nainstalovat na řadiče domény, jako jsou agenti synchronizace adresářů Okta nebo blízko nich. Neinstalujte je na stejný server.

Při synchronizaci uživatelů použijte server Microsoft Entra Připojení, pokud vaše organizace potřebuje některou z následujících technologií:

• Synchronizace zařízení: Hybridní připojení k Microsoft Entra nebo Hello pro firmy
• Předávací ověřování
• Podpora více než 150 000 objektů
• Podpora zpětného zápisu

Pokud chcete používat Připojení Microsoft Entra, musíte se přihlásit pomocí role hybridní identity Správa istrator.

Poznámka:

Při instalaci microsoft Entra Připojení nebo zřizování cloudu Microsoft Entra vezměte v úvahu všechny požadavky. Než budete pokračovat v instalaci, přečtěte si téma Požadavky pro microsoft Entra Připojení.

Potvrzení atributu ImmutableID synchronizovaného oktou

Atribut ImmutableID spojuje synchronizované objekty s místními protějšky. Okta vezme ObjektGUID služby Active Directory místního objektu a převede ho na řetězec kódovaný v base-64. Ve výchozím nastavení pak tento řetězec označí do pole ImmutableID v Microsoft Entra ID.

Můžete se připojit k Prostředí Microsoft Graph PowerShell a prozkoumat aktuální hodnotu ImmutableID. Pokud jste modul Microsoft Graph PowerShellu nepoužívali, spusťte ho před spuštěním příkazů v relaci správy:

Pokud máte modul, může se zobrazit upozornění, že se aktualizuje na nejnovější verzi.

1. Importujte nainstalovaný modul.

2. V ověřovacím okně se přihlaste alespoň jako hybridní identita Správa istrator.

3. Připojení do tenanta.

4. Ověřte nastavení hodnoty ImmutableID. Následující příklad je výchozí převod objectGUID na ImmutableID.

5. Ruční potvrzení převodu z objectGUID do místního prostředí Base64 K otestování jednotlivé hodnoty použijte tyto příkazy:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

Metody hromadného ověřování ObjectGUID

Než přejdete na Microsoft Entra Připojení, je důležité ověřit, že hodnoty ImmutableID v ID Microsoft Entra odpovídají jejich místním hodnotám.

Následující příkaz získá místní uživatele Microsoft Entra a vyexportuje seznam hodnot objectGUID a hodnoty ImmutableID, které jsou již vypočteny do souboru CSV.

1. V Microsoft Graph PowerShellu na místním řadiči domény spusťte následující příkaz:

   Get-MgUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Spuštěním příkazu v relaci Microsoft Graph PowerShellu zobrazte seznam synchronizovaných hodnot.

3. Po obou exportech potvrďte shodu hodnot ImmutableID uživatele.

   Důležité

   Pokud hodnoty ImmutableID v cloudu neodpovídají hodnotám objectGUID, upravili jste výchozí hodnoty pro synchronizaci Okta. Pravděpodobně jste zvolili jiný atribut k určení hodnot ImmutableID. Než přejdete do další části, určete, který zdrojový atribut naplní hodnoty ImmutableID. Než zakážete synchronizaci Okta, aktualizujte atribut Okta, který se synchronizuje.

Instalace nástroje Microsoft Entra Připojení v pracovním režimu

Po přípravě seznamu zdrojových a cílových cílů nainstalujte server Microsoft Entra Připojení. Pokud používáte Microsoft Entra Připojení zřizování cloudu, přeskočte tuto část.

1. Stáhněte a nainstalujte microsoft Entra Připojení na server. Viz vlastní instalace microsoft Entra Připojení.

2. Na levém panelu vyberte Identifikovat uživatele.

3. Na stránce Jedinečná identifikace uživatelů v části Vyberte, jak mají být uživatelé identifikováni pomocí ID Microsoft Entra, vyberte Zvolit konkrétní atribut.

4. Pokud jste výchozí nastavení Okta neupravovali, vyberte mS-DS-ConsistencyGUID.

   Upozorňující

   Tento krok je kritický. Ujistěte se, že vybraný atribut pro zdrojovou ukotvení naplní uživatele Microsoft Entra. Pokud vyberete nesprávný atribut, odinstalujte a přeinstalujte Microsoft Entra Připojení tuto možnost znovu vyberte.

5. Vyberte Další.

6. Na levém panelu vyberte Konfigurovat.

7. Na stránce Připraveno ke konfiguraci vyberte Povolit pracovní režim.

8. Vyberte volbu Instalovat.

9. Ověřte shodu hodnot ImmutableID.

10. Po dokončení konfigurace vyberte Ukončit.

11. Otevřete synchronizační službu jako správce.

12. Najděte úplnou synchronizaci s místem konektoru domain.onmicrosoft.com.

13. Pomocí karty Flow Aktualizace ověřte, že na kartě Připojení existují uživatelé.

14. Ověřte v exportu žádné nevyřízené odstranění.

15. Vyberte kartu Připojení orů.

16. Zvýrazněte prostor konektoru domain.onmicrosoft.com.

17. Vyberte Prohledat Připojení o prostor.

18. V dialogovém okně Prohledat Připojení Obrazen prostor v části Obor vyberte Nevyřízené exporty.

19. Vyberte Odstranit.

20. Vyberte Hledat. Pokud se všechny objekty shodují, pro odstranění se nezobrazí žádné odpovídající záznamy.

21. Zaznamená objekty čekající na odstranění a jejich místní hodnoty.

22. Vymazat odstranění.

23. Vyberte Přidat.

24. Vyberte Upravit.

25. Vyberte Hledat.

26. Funkce aktualizace se zobrazují pro uživatele, kteří se synchronizují s ID Microsoft Entra prostřednictvím Okta. Přidání nových objektů Okta se nesynchronizuje, které jsou ve struktuře organizační jednotky vybrané během instalace Microsoft Entra Připojení.

27. Pokud chcete zjistit, co Microsoft Entra Připojení komunikuje s ID Microsoft Entra, poklikejte na aktualizaci.

Poznámka:

Pokud existují funkce pro uživatele v Microsoft Entra ID, jeho místní účet neodpovídá cloudovému účtu. Entra Připojení vytvoří nový objekt a zaznamenává nové a neočekávané přidání.

28. Před ukončením pracovního režimu opravte hodnotu ImmutableID v ID Microsoft Entra.

V tomto příkladu okta označila atribut pošty k účtu uživatele, i když místní hodnota nebyla přesná. Když Microsoft Entra Připojení převezme účet, atribut pošty se z objektu odstraní.

29. Ověřte, že aktualizace zahrnují atributy očekávané v MICROSOFT Entra ID. Pokud se odstraňuje více atributů, můžete před odebráním pracovního režimu naplnit místní hodnoty AD.

Poznámka:

Než budete pokračovat, ujistěte se, že se atributy uživatelů synchronizují a zobrazují se na kartě Čekající na export . Pokud jsou odstraněné, ujistěte se, že se hodnoty ImmutableID shodují a uživatel je ve vybrané organizační jednotky pro synchronizaci.

Instalace agentů synchronizace cloudu microsoft Entra Připojení

Po přípravě seznamu zdrojových a cílových cílů nainstalujte a nakonfigurujte microsoft Entra Připojení agenty cloudové synchronizace. Viz kurz: Integrace jedné doménové struktury s jedním tenantem Microsoft Entra.

Poznámka:

Pokud používáte server Microsoft Entra Připojení, přeskočte tuto část.

Zakázání zřizování Okta pro ID Microsoft Entra

Po ověření instalace microsoft Entra Připojení zakažte zřizování Okta pro Microsoft Entra ID.

1. Přechod na portál Okta

2. Vyberte Přihlášky.

3. Vyberte aplikaci Okta, která zřídí uživatele na ID Microsoft Entra.

4. Vyberte kartu Zřizování.

5. Vyberte část Integrace.

   

6. Vyberte položku Upravit.

7. Zrušte zaškrtnutí políčka Povolit integraci rozhraní API.

8. Zvolte Uložit.

   

   Poznámka:

   Pokud máte více aplikací Office 365, které zpracovávají zřizování pro Microsoft Entra ID, ujistěte se, že jsou vypnuté.

Zakázání pracovního režimu v microsoft entra Připojení

Po zakázání zřizování Okta může server Microsoft Entra Připojení synchronizovat objekty.

Poznámka:

Pokud používáte Microsoft Entra Připojení agenty synchronizace cloudu, přeskočte tuto část.

1. Na ploše spusťte průvodce instalací z plochy.
2. Vyberte Konfigurovat.
3. Výběr možnosti Konfigurovat pracovní režim
4. Vyberte Další.
5. Zadejte přihlašovací údaje účtu hybridní identity Správa istrator pro vaše prostředí.
6. Zrušte zaškrtnutí políčka Povolit pracovní režim.
7. Vyberte Další.
8. Vyberte Konfigurovat.
9. Po konfiguraci otevřete synchronizační službu jako správce.
10. Na konektoru domain.onmicrosoft.com zobrazte export.
11. Ověřte přidání, aktualizace a odstranění.
12. Migrace je dokončená. Znovu spusťte průvodce instalací a aktualizujte a rozbalte funkce Microsoft Entra Připojení.

Povolení agentů synchronizace cloudu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Po zakázání zřizování Okta může agent Synchronizace cloudu microsoft Entra Připojení synchronizovat objekty.

1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator.
2. Přejděte do služby Identity>Hybrid Management>microsoft Entra Připojení> Připojení Sync.
3. Vyberte Konfigurační profil.
4. Vyberte Povolit.
5. Vraťte se do nabídky zřizování a vyberte Protokoly.
6. Potvrďte, že konektor zřizování aktualizoval místní objekty. Agenti synchronizace cloudu jsou nedestruktivní. Aktualizace selhání, pokud se nenajde shoda.
7. Pokud se uživatel neshoduje, proveďte aktualizace pro vytvoření vazby hodnot ImmutableID.
8. Restartujte synchronizaci zřizování cloudu.

Další kroky

• Kurz: Migrace aplikací z Okty do Microsoft Entra ID
• Kurz: Migrace federace Okta na spravované ověřování Microsoft Entra ID
• Kurz: Migrace zásad přihlašování Okta do podmíněného přístupu