A Microsoft Entra Csatlakozás konfigurációs beállításainak importálása és exportálása

  • Cikk

A Microsoft Entra Csatlakozás üzemelő példányai egyetlen erdő expressz módú telepítésétől az olyan összetett üzemelő példányokig terjednek, amelyek egyéni szinkronizálási szabályokkal szinkronizálódnak több erdő között. A számos konfigurációs lehetőség és mechanizmus miatt elengedhetetlen annak megértése, hogy milyen beállítások vannak érvényben, és hogy gyorsan üzembe lehessen helyezni egy azonos konfigurációval rendelkező kiszolgálót. Ez a funkció lehetővé teszi egy adott szinkronizálási kiszolgáló konfigurációjának katalógusát, és a beállítások importálását egy új üzembe helyezésbe. A különböző szinkronizálási beállítások pillanatképei összehasonlíthatók a két kiszolgáló vagy ugyanazon kiszolgáló közötti különbségek időbeli megjelenítéséhez.

Minden alkalommal, amikor a konfiguráció a Microsoft Entra Csatlakozás varázslóról módosul, a rendszer automatikusan exportál egy új időbélyegzett JSON-beállításfájlt a következő helyre: %ProgramData%\AAD Csatlakozás. A beállításfájl neve az Applied-SynchronizationPolicy-*űrlapon található. JSON, ahol a fájlnév utolsó része egy időbélyeg.

Fontos

Csak a Microsoft Entra Csatlakozás által végrehajtott módosítások lesznek automatikusan exportálva. A PowerShell, a Szinkronizálási szolgáltatáskezelő vagy a Szinkronizálási szabályok szerkesztője által végzett módosításokat igény szerint kell exportálni a naprakész példányok megőrzéséhez. Igény szerinti exportálással a beállítások másolatát is biztonságos helyre helyezheti vészhelyreállítás céljából.

Feljegyzés

Ez a funkció nem használható, ha a Microsoft Entra Csatlakozás telepítése úgy lett módosítva, hogy tartalmazza a G-SQL-összekötőt vagy a G-LDAP-összekötőt.

Feljegyzés

Ez a funkció nem kombinálható meglévő ADSync-adatbázissal. Az importálási/exportálási konfiguráció és a meglévő adatbázis használata kölcsönösen kizárja egymást.

A Microsoft Entra Csatlakozás beállításainak exportálása

A konfigurációs beállítások összegzésének megtekintéséhez nyissa meg a Microsoft Entra Csatlakozás eszközt, és válassza ki a Nézet vagy az Aktuális konfiguráció exportálása nevű további feladatot. Megjelenik a beállítások gyors összefoglalása, valamint a kiszolgáló teljes konfigurációjának exportálása.

Alapértelmezés szerint a rendszer exportálja a beállításokat a következőbe: %ProgramData%\AAD Csatlakozás. Dönthet úgy is, hogy a beállításokat védett helyre menti, így biztosítva a rendelkezésre állást vészhelyzet esetén. Gépház JSON-fájlformátummal exportálják, és nem szabad kézzel létrehozni vagy szerkeszteni a logikai konzisztencia biztosítása érdekében. A kézzel létrehozott vagy szerkesztett fájlok importálása nem támogatott, és váratlan eredményekhez vezethet.

A Microsoft Entra Csatlakozás beállításainak importálása

Korábban exportált beállítások importálása:

  1. Telepítse a Microsoft Entra Csatlakozás egy új kiszolgálón.

  2. Válassza a Testreszabás lehetőséget az üdvözlőlap után.

  3. Válassza az Importálás szinkronizálási beállítások lehetőséget. Keresse meg a korábban exportált JSON-beállításfájlt.

  4. Válassza a Telepítés lehetőséget.

    Képernyőkép a Szükséges összetevők telepítése képernyőről

Feljegyzés

Felülbírálhatja az ezen a lapon található beállításokat, például az SQL Server használatát a LocalDB helyett, vagy egy meglévő szolgáltatásfiók használatát az alapértelmezett VSA helyett. Ezeket a beállításokat a rendszer nem importálja a konfigurációs beállítások fájljából. Információ és összehasonlítás céljából vannak itt.

Feljegyzés

Nem támogatott az exportált JSON-fájl módosítása a konfiguráció módosításához

Telepítési élmény importálása

Az importálás telepítési felülete szándékosan egyszerű, a felhasználó minimális bemeneteivel, hogy könnyen reprodukálható legyen egy meglévő kiszolgáló.

A telepítési folyamat során csak az alábbi módosítások végezhetők el. A Microsoft Entra Csatlakozás varázsló telepítését követően minden egyéb módosítást elvégezhet:

  • Microsoft Entra hitelesítő adatok: Az eredeti kiszolgáló konfigurálásához használt Azure Global Rendszergazda istrator fiókneve alapértelmezés szerint javasolt. Ha új könyvtárba szeretné szinkronizálni az adatokat, módosítani kell .
  • Felhasználói bejelentkezés: Az eredeti kiszolgálóhoz konfigurált bejelentkezési beállítások alapértelmezés szerint ki vannak választva, és automatikusan kérik a konfiguráció során szükséges hitelesítő adatokat vagy egyéb információkat. Ritkán előfordulhat, hogy különböző beállítási lehetőségekkel rendelkező kiszolgálót kell beállítani, hogy ne változtasd meg az aktív kiszolgáló viselkedését. Ellenkező esetben a Tovább gombra kattintva ugyanazokat a beállításokat használhatja.
  • Helyszíni címtár hitelesítő adatai: A szinkronizálási beállításokban szereplő minden helyszíni címtárhoz meg kell adnia a szinkronizálási fiók létrehozásához vagy egy előre létrehozott egyéni szinkronizálási fiók megadásához szükséges hitelesítő adatokat. Ez az eljárás megegyezik a tiszta telepítési felülettel, azzal a kivétellel, hogy nem vehet fel és nem távolíthat el könyvtárakat.
  • Konfigurációs beállítások: A tiszta telepítéshez hasonlóan a kezdeti beállításokat is beállíthatja, hogy elindítsa-e az automatikus szinkronizálást, vagy engedélyezze az előkészítési módot. A fő különbség az, hogy az átmeneti mód alapértelmezés szerint szándékosan engedélyezve van, hogy lehetővé tegye a konfigurációs és szinkronizálási eredmények összehasonlítását, mielőtt aktívan exportálja az eredményeket az Azure-ba.

Képernyőkép a könyvtárak Csatlakozás képernyőről

Feljegyzés

Csak egy szinkronizálási kiszolgáló lehet az elsődleges szerepkör, és aktívan exportálhatja a konfigurációs módosításokat az Azure-ba. Minden más kiszolgálót átmeneti módban kell elhelyezni.

Beállítások áttelepítése meglévő kiszolgálóról

Ha egy meglévő kiszolgáló nem támogatja a beállítások kezelését, dönthet úgy, hogy helyben frissíti a kiszolgálót, vagy migrálja az új átmeneti kiszolgálón való használatra vonatkozó beállításokat.

A migráláshoz olyan PowerShell-szkriptet kell futtatni, amely kinyeri az új telepítésben való használathoz szükséges meglévő beállításokat. Ezzel a módszerrel katalogizálhatja a meglévő kiszolgáló beállításait, majd alkalmazhatja őket egy újonnan telepített átmeneti kiszolgálóra. Ha összehasonlítja az eredeti kiszolgáló beállításait egy újonnan létrehozott kiszolgálóval, gyorsan megjelenítheti a kiszolgálók közötti változásokat. Mint mindig, kövesse a szervezet minősítési folyamatát, és győződjön meg arról, hogy nincs szükség további konfigurációra.

Migrálási folyamat

A beállítások áttelepítése:

  1. Indítsa el az AzureAD-t Csatlakozás.msi az új átmeneti kiszolgálón, és állítsa le a Microsoft Entra Csatlakozás üdvözlőoldalát.

  2. Másolja a Migrate Gépház.ps1 fájlt a Microsoft Entra Csatlakozás\Tools könyvtárból a meglévő kiszolgáló egyik helyére. Ilyen például a C:\setup, ahol a telepítő egy könyvtár, amelyet a meglévő kiszolgálón hoztak létre.
    Képernyőkép a Microsoft Entra Csatlakozás címtárakról.

    Feljegyzés

    Ha a következő üzenet jelenik meg: "Nem található olyan pozícióparaméter, amely elfogadja az Igaz argumentumot", az alábbiak szerint:

    Képernyőkép a hibárólEzután szerkessze a Migrate Gépház.ps1 fájlt, távolítsa el $true és futtassa a szkriptet:Képernyőkép a konfiguráció szerkesztéséhez

  3. Futtassa a szkriptet az itt látható módon, és mentse a teljes alacsonyabb szintű kiszolgáló konfigurációs könyvtárát. Másolja ezt a könyvtárat az új átmeneti kiszolgálóra. A teljes Exported-ServerConfiguration-* mappát át kell másolnia az új kiszolgálóra. Képernyőkép a PowerShell-szkriptről.Az Exported-ServerConfiguration-* mappa másolását bemutató képernyőkép.

  4. Indítsa el a Microsoft Entra Csatlakozás az asztalon található ikonra duplán kattintva. Fogadja el a Microsoft szoftverlicenc-feltételeit, és a következő lapon válassza a Testreszabás lehetőséget.

  5. Jelölje be a Szinkronizálási beállítások importálása jelölőnégyzetet. A Tallózás gombra kattintva tallózhat a másolt-átvitt Exportált-ServerConfiguration-* mappában. Válassza ki a MigratedPolicy.json az áttelepített beállítások importálásához.

    Képernyőkép az Importálás szinkronizálási beállítások beállításról.

Telepítés utáni ellenőrzés

Az eredetileg importált beállításfájl és az újonnan üzembe helyezett kiszolgáló exportált beállításfájljának összehasonlítása alapvető lépés a tervezett és az eredményül kapott üzembe helyezés közötti különbségek megértéséhez. A kedvenc, egymás melletti szövegösszehasonlítási alkalmazás használata azonnali vizualizációt eredményez, amely gyorsan kiemeli a kívánt vagy véletlen módosításokat.

Bár számos korábban manuális konfigurációs lépés már nincs megadva, továbbra is követnie kell a szervezet minősítési folyamatát, hogy ne legyen szükség további konfigurációra. Ez a konfiguráció akkor fordulhat elő, ha speciális beállításokat használ, amelyek jelenleg nem szerepelnek a beállítások kezelésének jelen kiadásában.

Az alábbiakban ismert korlátozások találhatók:

  • Szinkronizálási szabályok: Az egyéni szabályok elsőbbsége 0 és 99 közötti fenntartott tartományban kell, hogy legyen, hogy elkerülhető legyen a Microsoft szabványos szabályaival való ütközés. Ha egy egyéni szabályt a fenntartott tartományon kívül helyez el, az azt eredményezheti, hogy az egyéni szabály át lesz helyezve a konfigurációhoz a szokásos szabályok hozzáadásakor. Hasonló probléma akkor fordul elő, ha a konfiguráció módosított standard szabályokat tartalmaz. A szokásos szabály módosítása nem ajánlott, és a szabályelhelyezés valószínűleg helytelen.
  • Eszközvisszaíró: Ezek a beállítások katalogizálva vannak. Jelenleg nincsenek alkalmazva a konfiguráció során. Ha az eszközvisszaírás engedélyezve volt az eredeti kiszolgálón, manuálisan kell konfigurálnia a funkciót az újonnan üzembe helyezett kiszolgálón.
  • Szinkronizált objektumtípusok: Bár a szinkronizált objektumtípusok (például felhasználók, névjegyek és csoportok) listáját a Szinkronizálási szolgáltatáskezelővel korlátozhatja, ez a funkció jelenleg nem támogatott szinkronizálási beállításokkal. A telepítés befejezése után manuálisan újra kell alkalmaznia a speciális konfigurációt.
  • Egyéni futtatási profilok: Bár a Szinkronizálási szolgáltatáskezelővel módosíthatja az alapértelmezett futtatási profilokat, ez a funkció jelenleg nem támogatott a szinkronizálási beállításokon keresztül. A telepítés befejezése után manuálisan újra kell alkalmaznia a speciális konfigurációt.
  • A kiépítési hierarchia konfigurálása: A Szinkronizálási szolgáltatáskezelő ezen speciális funkciója nem támogatott a szinkronizálási beállításokon keresztül. A kezdeti üzembe helyezés befejezése után manuálisan újra kell konfigurálni.
  • Active Directory összevonási szolgáltatások (AD FS) (AD FS) és PingFederate-hitelesítés: A rendszer automatikusan előre kijelöli a hitelesítési funkciókhoz társított bejelentkezési módszereket. Interaktív módon kell megadnia az összes többi szükséges konfigurációs paramétert.
  • A letiltott egyéni szinkronizálási szabály engedélyezve lesz: A letiltott egyéni szinkronizálási szabály engedélyezve van. Az új kiszolgálón is tiltsa le.

Következő lépések