Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dalam tutorial ini, pelajari cara memigrasikan provisi pengguna dari Okta ke MICROSOFT Entra ID dan memigrasikan Sinkronisasi Pengguna atau Sinkronisasi Universal ke Microsoft Entra Connect. Kemampuan ini memungkinkan penyediaan ke Microsoft Entra ID dan Office 365.
Catatan
Saat memigrasikan platform sinkronisasi, validasi langkah-langkah dalam artikel ini terhadap lingkungan Anda sebelum Anda menghapus Microsoft Entra Connect dari mode penahapan atau mengaktifkan agen provisi cloud Microsoft Entra.
Prasyarat
Saat Anda beralih dari provisi Okta ke ID Microsoft Entra, ada dua pilihan. Gunakan server Microsoft Entra Connect atau provisi cloud Microsoft Entra.
Pelajari selengkapnya: Perbandingan antara Microsoft Entra Connect dan sinkronisasi cloud.
Provisi cloud Microsoft Entra adalah jalur migrasi yang paling akrab bagi pelanggan Okta yang menggunakan Universal Sync atau Sinkronisasi Pengguna. Agen provisi cloud ringan. Anda dapat menginstalnya pada, atau dekat, pengontrol domain seperti agen sinkronisasi direktori Okta. Jangan memasangnya di server yang sama.
Saat Anda menyinkronkan pengguna, gunakan server Microsoft Entra Connect jika organisasi Anda memerlukan salah satu teknologi berikut:
- Sinkronisasi perangkat: Penggabungan hibrid Microsoft Entra atau Hello for Business
- Autentikasi Penerusan
- Dukungan untuk lebih dari 150.000 objek
- Dukungan untuk fitur tulis balik
Untuk menggunakan Microsoft Entra Connect, Anda perlu masuk dengan peran Administrator Identitas Hibrid.
Catatan
Pertimbangkan semua prasyarat saat Anda menginstal provisi cloud Microsoft Entra Connect atau Microsoft Entra. Sebelum Melanjutkan penginstalan, lihat Prasyarat untuk Microsoft Entra Connect.
Konfirmasi atribut ImmutableID yang disinkronkan oleh Okta
Atribut ImmutableID mengikat objek yang disinkronkan ke rekan lokal mereka. Okta mengambil objectGUID Active Directory dari objek di lokal dan mengonversinya menjadi string yang dikodekan Base-64. Secara default, kemudian memberi stempel string tersebut ke bidang ImmutableID di ID Microsoft Entra.
Anda dapat menyambungkan ke Microsoft Graph PowerShell dan memeriksa nilai ImmutableID saat ini. Jika Anda belum menggunakan modul Microsoft Graph PowerShell, jalankan:
Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force di dalam sesi administratif sebelum Anda menjalankan perintah berikut:
Connect-MgGraph
Jika Anda memiliki modul, peringatan untuk memperbarui ke versi terbaru mungkin muncul.
Impor modul yang diinstal.
Di jendela autentikasi, masuklah sebagai Administrator Identitas Hibrid setidaknya.
Sambungkan ke penyewa.
Verifikasi pengaturan nilai ImmutableID. Contoh berikut adalah default mengonversi objectGUID menjadi ImmutableID.
Konfirmasi konversi secara manual dari objectGUID ke Base64 lokal. Untuk menguji nilai individual, gunakan perintah ini:
Get-MgUser onpremupn | fl objectguid $objectguid = 'your-guid-here-1010' [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
Metode validasi massal ObjectGUID
Sebelum Anda pindah ke Microsoft Entra Connect, penting untuk memvalidasi bahwa nilai ImmutableID di MICROSOFT Entra ID cocok dengan nilai lokalnya.
Perintah berikut mendapatkan pengguna Microsoft Entra di lokasi dan mengekspor daftar nilai objectGUID serta nilai ImmutableID yang sudah dihitung ke file CSV.
Jalankan perintah berikut di Microsoft Graph PowerShell pada pengontrol domain lokal:
Get-ADUser -Filter * -Properties objectGUID | Select-Object UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID'; Expression = { [system.convert]::ToBase64String((GUID).tobytearray()) } } | export-csv C:\Temp\OnPremIDs.csvJalankan perintah berikut dalam sesi Microsoft Graph PowerShell untuk mencantumkan nilai yang disinkronkan:
Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID'; Expression = { [GUID][System.Convert]::FromBase64String($_.ImmutableID) } }, ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csvSetelah kedua ekspor dilakukan, pastikan nilai ImmutableID pengguna sesuai.
Penting
Jika nilai ImmutableID Anda di cloud tidak cocok dengan nilai obJECTGUID, Anda telah mengubah default untuk sinkronisasi Okta. Anda mungkin telah memilih atribut lain untuk menentukan nilai ImmutableID. Sebelum pergi ke bagian berikutnya, identifikasi atribut sumber mana yang mengisi nilai ImmutableID. Sebelum Anda menonaktifkan sinkronisasi Okta, perbarui atribut yang sedang disinkronkan oleh Okta.
Pasang Microsoft Entra Connect dalam mode penahapan
Setelah Anda menyiapkan daftar target sumber dan tujuan, instal server Microsoft Entra Connect. Jika Anda menggunakan provisi cloud Microsoft Entra Connect, lewati bagian ini.
Unduh dan instal Microsoft Entra Connect di server. Untuk informasi lebih lanjut, lihatlah Penginstalan kustom Microsoft Entra Connect.
Di panel kiri, pilih Mengidentifikasi pengguna.
Pada halaman Mengidentifikasi pengguna Anda secara unik, di bawah Pilih bagaimana pengguna harus diidentifikasi dengan ID Microsoft Entra, pilih Pilih atribut tertentu.
Jika Anda tidak mengubah default Okta, pilih mS-DS-ConsistencyGUID.
Peringatan
Langkah ini sangat penting. Pastikan atribut yang Anda pilih untuk penanda sumber mengisi pengguna Microsoft Entra Anda. Jika Anda memilih atribut yang salah, hapus instalan dan instal ulang Microsoft Entra Connect untuk memilih kembali opsi ini.
Pilih Selanjutnya.
Di panel sebelah kiri, pilih Konfigurasikan.
Pada halaman Siap dikonfigurasi, pilih Aktifkan mode penahapan.
Pilih Instal.
Verifikasi kecocokan nilai ImmutableID.
Setelah konfigurasi selesai, pilih Keluar.
Buka Layanan Sinkronisasi sebagai admin.
Temukan Sinkronisasi Penuh ke ruang konektor domain.onmicrosoft.com.
Pastikan terdapat pengguna di bawah tab Konektor dengan Pembaruan Flow.
Pastikan tidak terdapat penghapusan yang tertunda dalam ekspor.
Pilih tab Konektor .
Sorot ruang konektor domain.onmicrosoft.com.
Pilih Cari Ruang Konektor.
Dalam dialog Ruang Konektor Pencarian, di bawah Cakupan, pilih Ekspor Tertunda.
Pilih Hapus.
Pilih Cari. Jika semua objek cocok, tidak ada rekaman yang cocok yang muncul untuk Hapus.
Merekam objek yang tertunda penghapusan dan nilai lokalnya.
Hapus.
Pilih Tambahkan.
Pilih Modifikasi.
Pilih Cari.
Fungsi pembaruan muncul untuk pengguna yang disinkronkan ke ID Microsoft Entra melalui Okta. Tambahkan objek baru yang Okta belum sinkronkan, yang berada dalam struktur unit organisasi (OU) yang dipilih selama penginstalan Microsoft Entra Connect.
Untuk melihat komunikasi Microsoft Entra Connect dengan Microsoft Entra ID, klik dua kali pada pembaruan.
Catatan
Jika ada fungsi tambahan untuk pengguna di ID Microsoft Entra, akun lokal mereka tidak cocok dengan akun cloud. Entra Connect membuat objek baru dan merekam penambahan baru dan tak terduga.
- Sebelum Anda mengakhiri mode penahapan, perbaiki nilai ImmutableID di Microsoft Entra ID.
Dalam contoh ini, Okta memberi stempel atribut email ke akun pengguna, meskipun nilai lokal tidak akurat. Saat Microsoft Entra Connect mengambil alih akun, atribut email dihapus dari objek.
- Verifikasi bahwa pembaruan menyertakan atribut yang diharapkan dalam Microsoft Entra ID. Jika beberapa atribut sedang dihapus, Anda dapat mengisi nilai di Active Directory lokal sebelum Anda menonaktifkan mode penahapan.
Catatan
Sebelum melanjutkan, pastikan atribut pengguna disinkronkan dan muncul di tab Pending Export. Jika dihapus, pastikan nilai ImmutableID cocok dan pengguna berada dalam OU (Organizational Unit) yang dipilih untuk sinkronisasi.
Menginstal agen sinkronisasi cloud Microsoft Entra Connect
Setelah Menyiapkan daftar target sumber dan tujuan, instal dan konfigurasikan agen sinkronisasi cloud Microsoft Entra Connect. Lihat Tutorial: Mengintegrasi satu forest dengan satu tenant Microsoft Entra.
Catatan
Jika Anda menggunakan server Microsoft Entra Connect, lewati bagian ini.
Nonaktifkan penyediaan Okta ke ID Microsoft Entra
Setelah Anda memverifikasi penginstalan Microsoft Entra Connect, nonaktifkan provisi Okta ke ID Microsoft Entra.
Buka portal Okta
Pilih Aplikasi.
Pilih aplikasi Okta yang memprovisikan pengguna ke ID Microsoft Entra.
Pilih tab Provisioning.
Pilih bagian Integrasi .
Pilih Edit.
Hapus centang pada opsi Aktifkan integrasi API.
Pilih Simpan.
Catatan
Jika Anda memiliki beberapa aplikasi Office 365 yang menangani provisi ke ID Microsoft Entra, pastikan aplikasi tersebut dinonaktifkan.
Menonaktifkan mode penahapan di Microsoft Entra Connect
Setelah Anda menonaktifkan provisi Okta, server Microsoft Entra Connect dapat menyinkronkan objek.
Catatan
Jika Anda menggunakan agen sinkronisasi cloud Microsoft Entra Connect, lewati bagian ini.
- Dari desktop, jalankan wizard penginstalan dari desktop.
- Pilih Konfigurasikan.
- Pilih Konfigurasikan mode penahapan
- Pilih Selanjutnya.
- Masukkan kredensial akun Administrator Identitas Hibrid untuk lingkungan Anda.
- Hapus centang pada Aktifkan mode penahapan.
- Pilih Selanjutnya.
- Pilih Konfigurasikan.
- Setelah konfigurasi, buka Layanan Sinkronisasi sebagai administrator.
- Pada konektor domain.onmicrosoft.com, lihat Ekspor.
- Verifikasi penambahan, pembaruan, dan penghapusan.
- Migrasi selesai. Jalankan ulang wizard penginstalan untuk memperbarui dan memperluas fitur Microsoft Entra Connect.
Mengaktifkan agen sinkronisasi cloud
Setelah Anda menonaktifkan provisi Okta, agen sinkronisasi cloud Microsoft Entra Connect dapat menyinkronkan objek.
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
- Telusuri ke Entra ID>Entra Connect>Connect Sync.
- Pilih Profil konfigurasi .
- Klik Aktifkan.
- Kembali ke menu provisi dan pilih Log.
- Konfirmasikan bahwa konektor penyediaan memperbarui objek secara langsung. Agen sinkronisasi cloud tidak merusak. Pembaruan gagal jika kecocokan tidak ditemukan.
- Jika pengguna tidak cocok, buat pembaruan untuk mengikat nilai ImmutableID.
- Mulai ulang sinkronisasi provisi cloud.