Importare ed esportare le impostazioni di configurazione di Microsoft Entra Connessione

Le distribuzioni di Microsoft Entra Connessione variano da un'installazione in modalità Express singola foresta a distribuzioni complesse che si sincronizzano tra più foreste usando regole di sincronizzazione personalizzate. A causa del numero elevato di opzioni e meccanismi di configurazione, è essenziale comprendere quali impostazioni sono effettive e poter distribuire rapidamente un server con una configurazione identica. Questa funzionalità introduce la possibilità di catalogare la configurazione di un determinato server di sincronizzazione e importare le impostazioni in una nuova distribuzione. È possibile confrontare snapshot delle impostazioni di sincronizzazione diversi per visualizzare facilmente le differenze tra due server o lo stesso server nel tempo.

Ogni volta che la configurazione viene modificata dalla procedura guidata microsoft Entra Connessione, un nuovo file di impostazioni JSON con timestamp viene esportato automaticamente in %ProgramData%\AAD Connessione. Il nome del file di impostazioni è nel formato Applied-SynchronizationPolicy-*. JSON, dove l'ultima parte del nome file è un timestamp.

Importante

Vengono esportate automaticamente solo le modifiche apportate da Microsoft Entra Connessione. Tutte le modifiche apportate tramite PowerShell, Synchronization Service Manager o l'Editor regole di sincronizzazione devono essere esportate su richiesta in base alle esigenze per mantenere una copia aggiornata. L'esportazione su richiesta può essere usata anche per inserire una copia delle impostazioni in una posizione sicura a scopo di ripristino di emergenza.

Nota

Questa funzionalità non può essere usata se l'installazione di Microsoft Entra Connessione è stata modificata per includere il connettore G-SQL o il connettore G-LDAP.

Nota

Questa funzionalità non può essere combinata con l'uso di un database ADSync esistente. L'uso della configurazione di importazione/esportazione e dell'uso del database esistente si escludono a vicenda.

Esportare le impostazioni di Microsoft Entra Connessione

Per visualizzare un riepilogo delle impostazioni di configurazione, aprire lo strumento Microsoft Entra Connessione e selezionare l'attività aggiuntiva denominata Visualizza o Esporta configurazione corrente. Viene visualizzato un breve riepilogo delle impostazioni insieme alla possibilità di esportare la configurazione completa del server.

Per impostazione predefinita, le impostazioni vengono esportate in %ProgramData%\AAD Connessione. È anche possibile scegliere di salvare le impostazioni in una posizione protetta per garantire la disponibilità in caso di emergenza. Impostazioni vengono esportati usando il formato di file JSON e non devono essere creati a mano o modificati per garantire la coerenza logica. L'importazione di un file creato o modificato a mano non è supportata e potrebbe causare risultati imprevisti.

Importare le impostazioni di Microsoft Entra Connessione

Per importare le impostazioni esportate in precedenza:

  1. Installare Microsoft Entra Connessione in un nuovo server.

  2. Selezionare l'opzione Personalizza dopo la pagina iniziale .

  3. Selezionare Importa impostazioni di sincronizzazione. Cercare il file di impostazioni JSON esportato in precedenza.

  4. Selezionare Installa.

    Screenshot che mostra la schermata Installa componenti necessari

Nota

Eseguire l'override delle impostazioni in questa pagina, ad esempio l'uso di SQL Server invece di Local DB o l'uso di un account del servizio esistente anziché di un vsa predefinito. Queste impostazioni non vengono importate dal file di impostazioni di configurazione. Sono disponibili a scopo informativo e di confronto.

Nota

Non è supportato modificare il file JSON esportato per modificare la configurazione

Importare l'esperienza di installazione

L'esperienza di installazione dell'importazione è intenzionalmente mantenuta semplice con input minimi dell'utente per fornire facilmente riproducibilità di un server esistente.

Ecco le uniche modifiche che possono essere apportate durante l'esperienza di installazione. Tutte le altre modifiche possono essere apportate dopo l'installazione dalla procedura guidata di Microsoft Entra Connessione:

  • Credenziali di Microsoft Entra: il nome dell'account per l'istanza globale di Azure Amministrazione istrator usato per configurare il server originale è consigliato per impostazione predefinita. È necessario modificarla se si desidera sincronizzare le informazioni in una nuova directory.
  • Accesso utente: le opzioni di accesso configurate per il server originale vengono selezionate per impostazione predefinita e richiedono automaticamente le credenziali o altre informazioni necessarie durante la configurazione. In rari casi, potrebbe essere necessario configurare un server con opzioni diverse per evitare di modificare il comportamento del server attivo. In caso contrario, selezionare Avanti per usare le stesse impostazioni.
  • Credenziali della directory locale: per ogni directory locale inclusa nelle impostazioni di sincronizzazione, è necessario specificare le credenziali per creare un account di sincronizzazione o specificare un account di sincronizzazione personalizzato creato in modo preliminare. Questa procedura è identica all'esperienza di installazione pulita con l'eccezione che non è possibile aggiungere o rimuovere directory.
  • Opzioni di configurazione: come con un'installazione pulita, è possibile scegliere di configurare le impostazioni iniziali per l'avvio della sincronizzazione automatica o l'abilitazione della modalità di gestione temporanea. La differenza principale è che la modalità di gestione temporanea è abilitata intenzionalmente per impostazione predefinita per consentire il confronto dei risultati di configurazione e sincronizzazione prima di esportare attivamente i risultati in Azure.

Screenshot che mostra la Connessione schermata delle directory

Nota

Un solo server di sincronizzazione può trovarsi nel ruolo primario ed esportare attivamente le modifiche alla configurazione in Azure. Tutti gli altri server devono essere posizionati in modalità di gestione temporanea.

Eseguire la migrazione delle impostazioni da un server esistente

Se un server esistente non supporta la gestione delle impostazioni, è possibile scegliere di aggiornare il server sul posto o di eseguire la migrazione delle impostazioni da usare in un nuovo server di staging.

La migrazione richiede l'esecuzione di uno script di PowerShell che estrae le impostazioni esistenti da usare in una nuova installazione. Usare questo metodo per catalogare le impostazioni del server esistente e quindi applicarle a un server di gestione temporanea appena installato. Il confronto delle impostazioni per il server originale con un server appena creato visualizzerà rapidamente le modifiche tra i server. Come sempre, seguire il processo di certificazione dell'organizzazione per assicurarsi che non sia necessaria alcuna configurazione aggiuntiva.

Processo di migrazione

Per eseguire la migrazione delle impostazioni:

  1. Avviare AzureAD Connessione.msi nel nuovo server di gestione temporanea e arrestarsi nella pagina iniziale di Microsoft Entra Connessione.

  2. Copiare Migrate Impostazioni.ps1 dalla directory Microsoft Entra Connessione\Tools in un percorso nel server esistente. Un esempio è C:\setup, dove setup è una directory creata nel server esistente.
    Screenshot che mostra le directory di Microsoft Entra Connessione.

    Nota

    Se viene visualizzato un messaggio: "Impossibile trovare un parametro posizionale che accetta l'argomento True", come indicato di seguito:

    Screenshot del problemaModificare quindi il file Migrate Impostazioni.ps1 e rimuovere $true ed eseguire lo script:Screenshot per modificare la configurazione

  3. Eseguire lo script come illustrato di seguito e salvare l'intera directory di configurazione del server di livello inferiore. Copiare questa directory nel nuovo server di gestione temporanea. È necessario copiare l'intera cartella Exported-ServerConfiguration-* nel nuovo server. Screenshot che mostra lo script in PowerShell.Screenshot che mostra la copia della cartella Exported-ServerConfiguration-* .

  4. Avviare Microsoft Entra Connessione facendo doppio clic sull'icona sul desktop. Accettare le Condizioni di licenza software Microsoft e nella pagina successiva selezionare Personalizza.

  5. Selezionare la casella di controllo Importa impostazioni di sincronizzazione. Selezionare Sfoglia per esplorare la cartella exported-serverConfiguration-* copiata. Selezionare il MigratedPolicy.json per importare le impostazioni di cui è stata eseguita la migrazione.

    Screenshot che mostra l'opzione Importa impostazioni di sincronizzazione.

Verifica post-installazione

Il confronto tra il file di impostazioni originariamente importato e il file di impostazioni esportato del server appena distribuito è un passaggio essenziale per comprendere eventuali differenze tra la distribuzione prevista e quella risultante. L'uso dell'applicazione di confronto di testo affiancato preferito genera una visualizzazione immediata che evidenzia rapidamente eventuali modifiche desiderate o accidentali.

Anche se molti passaggi di configurazione manuale in precedenza sono stati eliminati, è comunque necessario seguire il processo di certificazione dell'organizzazione per assicurarsi che non sia necessaria alcuna configurazione aggiuntiva. Questa configurazione può verificarsi se si usano impostazioni avanzate, attualmente non acquisite in questa versione di gestione delle impostazioni.

Ecco le limitazioni note:

  • Regole di sincronizzazione: la precedenza per una regola personalizzata deve essere compreso nell'intervallo riservato compreso tra 0 e 99 per evitare conflitti con le regole standard di Microsoft. L'inserimento di una regola personalizzata all'esterno dell'intervallo riservato potrebbe comportare lo spostamento della regola personalizzata man mano che le regole standard vengono aggiunte alla configurazione. Se la configurazione contiene regole standard modificate, si verificherà un problema simile. La modifica di una regola standard è sconsigliata e è probabile che il posizionamento delle regole non sia corretto.
  • Writeback del dispositivo: queste impostazioni sono catalogate. Non vengono attualmente applicati durante la configurazione. Se il writeback del dispositivo è stato abilitato per il server originale, è necessario configurare manualmente la funzionalità nel server appena distribuito.
  • Tipi di oggetto sincronizzati: sebbene sia possibile vincolare l'elenco dei tipi di oggetto sincronizzati (ad esempio utenti, contatti e gruppi) usando Synchronization Service Manager, questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Dopo aver completato l'installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Profili di esecuzione personalizzati: sebbene sia possibile modificare il set predefinito di profili di esecuzione usando Synchronization Service Manager, questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Dopo aver completato l'installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Configurazione della gerarchia di provisioning: questa funzionalità avanzata di Synchronization Service Manager non è supportata tramite le impostazioni di sincronizzazione. Deve essere riconfigurato manualmente dopo aver completato la distribuzione iniziale.
  • Active Directory Federation Services (AD FS) e Autenticazione PingFederate: i metodi di accesso associati a queste funzionalità di autenticazione vengono selezionati automaticamente. È necessario specificare in modo interattivo tutti gli altri parametri di configurazione necessari.
  • Una regola di sincronizzazione personalizzata disabilitata verrà importata come abilitata: una regola di sincronizzazione personalizzata disabilitata viene importata come abilitata. Assicurarsi di disabilitarlo anche nel nuovo server.

Passaggi successivi