Condividi tramite

Eseguire la migrazione a Microsoft Entra Cloud Sync per una foresta di AD sincronizzata esistente

  • Articolo

Questa esercitazione illustra come eseguire la migrazione alla sincronizzazione cloud per una foresta di Active Directory di test già sincronizzata con Microsoft Entra Connect Sync.

Nota

Questo articolo fornisce informazioni per una migrazione di base ed è necessario esaminare la documentazione Migrazione alla sincronizzazione cloud prima di tentare di eseguire la migrazione dell'ambiente di produzione.

Diagramma che mostra il flusso di Sincronizzazione cloud di Microsoft Entra.

Considerazioni

Prima di provare questa esercitazione, considerare quanto segue:

  1. Assicurarsi di avere familiarità con le nozioni di base della sincronizzazione cloud.

  2. Verificare che sia in esecuzione la versione 1.4.32.0 o successiva del servizio di sincronizzazione di Microsoft Entra Connect Sync e di aver configurato le regole di sincronizzazione come documentato.

  3. Quando si crea il progetto pilota, si rimuoverà un'unità organizzativa o un gruppo di test dall'ambito di Microsoft Entra Connect Sync. Gli oggetti spostati dall'ambito verranno eliminati da Microsoft Entra ID.

    • Oggetti utente, l'eliminazione da Microsoft Entra ID sarà temporanea e sarà possibile ripristinarli.
    • Oggetti gruppo, l'eliminazione da Microsoft Entra ID sarà definitiva e non sarà possibile ripristinarli.

    Nel servizio di sincronizzazione di Microsoft Entra Connect Sync è stato introdotto un tipo di collegamento che impedisce l'eliminazione in scenari pilota.

  4. Verificare che gli oggetti nell'ambito del progetto pilota abbiano il valore ms-ds-consistencyGUID popolato, in modo che corrispondano a livello hardware con la sincronizzazione cloud.

Nota

Microsoft Entra Connect Sync non popola ms-ds-consistencyGUID per impostazione predefinita.

  1. Questa configurazione è destinata agli scenari avanzati. Assicurarsi di seguire esattamente i passaggi descritti in questa esercitazione.

Prerequisiti

Per completare questa esercitazione sono necessari i requisiti seguenti

  • Un ambiente di test con Microsoft Entra Connect Sync versione 1.4.32.0 o successiva
  • Un'unità organizzativa o un gruppo incluso nell'ambito di sincronizzazione e che è possibile usare nel progetto pilota. È consigliabile iniziare con un piccolo set di oggetti.
  • Un server che esegue Windows Server 2016 o versione successiva che ospiterà l'agente di provisioning.
  • L'ancoraggio di origine per Microsoft Entra Connect Sync deve essere objectGuid o ms-ds-consistencyGUID

Aggiorna Microsoft Entra Connect

Come minimo, è necessario avere Microsoft Entra Connect 1.4.32.0. Per aggiornare Microsoft Entra Connect Sync, completare i passaggi descritti in Microsoft Entra Connect: eseguire l'aggiornamento alla versione più recente.

Eseguire il backup della configurazione di Microsoft Entra Connect

Prima di apportare modifiche, è necessario eseguire il backup della configurazione di Microsoft Entra Connect. In questo modo, è possibile eseguire il rollback alla configurazione precedente. Vedere Importazione ed esportazione delle impostazioni di configurazione di Microsoft Entra Connect per ulteriori informazioni.

Arrestare l'utilità di pianificazione

Il servizio di sincronizzazione Microsoft Entra Connect sincronizza le modifiche rilevate nella directory locale usando un'utilità di pianificazione. Per modificare e aggiungere regole personalizzate, si vuole disabilitare l'utilità di pianificazione in modo che le sincronizzazioni non vengano eseguite mentre si stanno apportando le modifiche. Per arrestare l'utilità di pianificazione, seguire questa procedura:

  1. Nel server che esegue Microsoft Entra Connect Sync aprire PowerShell con privilegi di amministratore
  2. Eseguire Stop-ADSyncSyncCycle. Premere INVIO.
  3. Eseguire Set-ADSyncScheduler -SyncCycleEnabled $false.

Nota

Se si esegue l'utilità di pianificazione personalizzata per Microsoft Entra Connect Sync, disabilitarla.

Creare una regola utente in ingresso personalizzata

Nell'editor delle regole di sincronizzazione di Microsoft Entra Connect è necessario creare una regola di sincronizzazione in ingresso che filtri gli utenti nell'unità organizzativa identificata in precedenza. La regola di sincronizzazione in ingresso è una regola di join con un attributo di destinazione cloudNoFlow. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi utenti. Per altre informazioni, vedere la documentazione relativa alla migrazione alla sincronizzazione cloud prima di tentare di eseguire la migrazione dell'ambiente di produzione.

  1. Avviare l'editor di sincronizzazione dal menu dell'applicazione sul desktop, come illustrato di seguito:

    Screenshot del menu dell'editor delle regole di sincronizzazione.

  2. Selezionare In ingresso nell'elenco a discesa Direzione e fare clic su Aggiungi nuova regola.

    Screenshot che mostra la finestra per la visualizzazione e la gestione delle regole di sincronizzazione, con l'opzione

  3. Nella pagina Descrizione, immettere quanto segue e fare clic su Avanti:

    • Nome: assegnare un nome significativo alla regola
    • Descrizione: aggiungere una descrizione significativa
    • Sistema connesso: scegliere il connettore AD per cui si sta scrivendo la regola di sincronizzazione personalizzata
    • Tipo di oggetto di sistema connesso: utente
    • Tipo di oggetto metaverse: persona
    • Tipo di collegamento: join
    • Precedenza: specificare un valore univoco nel sistema
    • Tag: lasciare vuoto questo campo

    Screenshot che mostra la pagina relativa alla descrizione nella finestra per la creazione di una regola di sincronizzazione in ingresso, con i valori specificati.

  4. Nella pagina Scoping filter (Filtro di ambito) immettere l'unità organizzativa o il gruppo di sicurezza in base a cui creare il progetto pilota. Per filtrare in base a unità organizzativa, aggiungere la parte OU del nome distinto. Questa regola verrà applicata a tutti gli utenti inclusi in tale unità organizzativa. Quindi, se il nome distinto termina con "OU=CPUsers,DC=contoso,DC=com, aggiungere questo filtro. Quindi seleziona Avanti.

    Regola Attributo Operatore Valore
    Scoping OU DN ENDSWITH Nome distinto dell'unità organizzativa.
    Scoping group ISMEMBEROF Nome distinto del gruppo di sicurezza.

    Screenshot che mostra la pagina relativa al filtro dell'ambito nella finestra per la creazione di una regola di sincronizzazione in ingresso, con un valore di filtro dell'ambito specificato.

  5. Nella pagina di regole di Join, fare clic su Avanti.

  6. Nella pagina Transformations (Trasformazioni) aggiungere una trasformazione costante: impostare su True l'attributo cloudNoFlow. Selezionare Aggiungi.

    Screenshot che mostra la pagina relativa alle trasformazioni nella finestra per la creazione di una regola di sincronizzazione in ingresso, con un flusso di trasformazione costante aggiunto.

È necessario seguire la stessa procedura per tutti i tipi di oggetto (utente, gruppo e contatto). Ripetere i passaggi per ogni connettore AD e per ogni foresta AD.

Creare una regola utente in uscita personalizzata

È necessaria anche una regola di sincronizzazione in uscita con un tipo di collegamento JoinNoFlow e il filtro di ambito con l'attributo cloudNoFlow impostato su Vero. Questa regola indica a Microsoft Entra Connect di non sincronizzare gli attributi per questi utenti. Per altre informazioni, vedere la documentazione relativa alla migrazione alla sincronizzazione cloud prima di tentare di eseguire la migrazione dell'ambiente di produzione.

  1. Selezionare In uscita nell'elenco a discesa Direzione e fare clic su Aggiungi regola.

    Screenshot che mostra la direzione

  2. Nella pagina Descrizione, immettere quanto segue e fare clic su Avanti:

    • Nome: assegnare un nome significativo alla regola
    • Descrizione: aggiungere una descrizione significativa
    • Sistema connesso: scegliere il connettore Microsoft Entra per cui si sta scrivendo la regola di sincronizzazione personalizzata
    • Tipo di oggetto di sistema connesso: utente
    • Tipo di oggetto metaverse: persona
    • Tipo di collegamento: JoinNoFlow
    • Precedenza: specificare un valore univoco nel sistema
    • Tag: lasciare vuoto questo campo

    Screenshot che mostra la pagina relativa alla descrizione con le proprietà specificate.

  3. Nella pagina Scoping filter (Filtro di ambito) scegliere cloudNoFlow uguale True. Quindi seleziona Avanti.

    Screenshot che mostra una regola personalizzata.

  4. Nella pagina di regole di Join, fare clic su Avanti.

  5. Nella pagina Trasformazioni, selezionare Aggiungi.

È necessario seguire la stessa procedura per tutti i tipi di oggetto (utente, gruppo e contatto).

Installare l'agente di provisioning di Microsoft Entra

Se si usa l'esercitazione di Basic AD e ambiente Azure, sarà CP1. Per installare l'agente, seguire questa procedura:

  1. Nel portale di Azure selezionare Microsoft Entra ID.
  2. A sinistra, selezionare Microsoft Entra Connect.
  3. A sinistra, selezionare Sincronizzazione cloud.

Screenshot del nuovo schermo esperienza utente.

  1. A sinistra, selezionare Agent.
  2. Selezionare Scarica agente locale e selezionare Accetta termini e scarica.

Screenshot dell'agente di download.

  1. Dopo aver scaricato il Pacchetto dell'agente di provisioning di Microsoft Entra Connect, eseguire il file di installazione AADConnectProvisioningAgentSetup.exe dalla cartella di download.

Nota

Quando si esegue l'installazione per il cloud del governo degli Stati Uniti, usare:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Per altre informazioni, vedere "Installare un agente nel cloud del governo degli Stati Uniti".

  1. Nella schermata iniziale selezionare Accetto la licenza e le condizioni, quindi selezionare Installa.

Screenshot che mostra la schermata iniziale del pacchetto Agente di provisioning Microsoft Entra Connect.

  1. Al termine dell'operazione di installazione, viene avviata la configurazione guidata. Selezionare Avanti per avviare la configurazione. Screenshot della schermata iniziale.
  2. Nella schermata Seleziona estensione, selezionare provisioning basato su risorse umane (Workday e SuccessFactors) / Sincronizzazione cloud Microsoft Entra Connect e selezionare Avanti. Screenshot della schermata di selezione delle estensioni.

Nota

Se si installa l'agente di provisioning per l'uso con provisioning delle app locali quindi selezionare Provisioning di applicazioni locali (da Microsoft Entra ID all'applicazione).

  1. Accedere con un account con almeno il ruolo di amministratore dell'identità ibrida. Se è abilitata la sicurezza avanzata di Internet Explorer, blocca l'accesso. In tal caso, chiudere l'installazione, disabilitare la sicurezza avanzata di Internet Explorere riavviare l'installazione del pacchetto dell’Agente di provisioning Microsoft Entra Connect.

Screenshot della schermata Connetti Microsoft Entra ID.

  1. Nella schermata Configura account del servizio, selezionare un account del servizio gestito del gruppo. Questo account viene usato per eseguire il servizio agente. Se un account del servizio gestito è già configurato nel dominio da un altro agente e si sta installando un secondo agente, selezionare Crea account del servizio gestito del gruppo perché il sistema rileva l'account esistente e aggiunge le autorizzazioni necessarie per il nuovo agente per l'uso dell'account del servizio gestito del gruppo. Quando richiesto, scegliere una delle seguenti opzioni:
  • Crea gMSA che consente all'agente di creare automaticamente l'account del servizio gestito provAgentgMSA$. L'account del servizio gestito del gruppo, ad esempio CONTOSO\provAgentgMSA$, verrà creato nello stesso dominio di Active Directory in cui il server host è stato aggiunto. Per usare questa opzione, immettere le credenziali di amministratore di dominio di Active Directory (scelta consigliata).
  • Usare un account del servizio gestito del gruppo personalizzato e specificare il nome dell'account del servizio gestito creato manualmente per questa attività.

Per continuare, selezionare Avanti.

Screenshot della schermata Configura account del servizio.

  1. Nella schermata Connetti active Directory, se il nome di dominio viene visualizzato in Domini configurati, passare al passaggio successivo. In caso contrario, digitare il nome di dominio di Active Directory e selezionare Aggiungi directory.

  2. Accedere con l'account amministratore di dominio di Active Directory. L'account amministratore di dominio non deve avere una password scaduta. Se la password è scaduta o cambia durante l'installazione dell'agente, è necessario riconfigurare l'agente con le nuove credenziali. Questa operazione aggiungerà la directory locale. Selezionare OK, quindi selezionare Avanti per continuare.

Screenshot che mostra come immettere le credenziali di amministratore del dominio.

  1. Lo screenshot seguente mostra un esempio di dominio configurato contoso.com. Selezionare Avanti per continuare.

Screenshot della schermata per la connessione di Active Directory.

  1. Nella schermata Configurazione completata selezionare Conferma. Questa operazione registra e riavvia l'agente.

  2. Al termine dell'operazione, si dovrebbe ricevere una notifica che La configurazione dell'agente è stata verificata correttamente. È possibile selezionare Esci.

Screenshot che mostra la schermata di fine.

  1. Se si ottiene ancora la schermata iniziale, selezionare Chiudi.

Verificare l'installazione dell'agente

La verifica dell'agente si esegue nel portale di Azure e nel server locale che esegue l'agente.

Verifica dell'agente nel portale di Azure

Per verificare che l'agente sia registrato da Microsoft Entra ID, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Selezionare Microsoft Entra ID.
  3. Selezionare Microsoft Entra Connect e poi selezionare sincronizzare Cloud. Screenshot del nuovo schermo esperienza utente.
  4. Nella pagina di sincronizzazione cloud verranno visualizzati gli agenti installati. Verificare che l'agente sia visualizzato e che lo stato sia integro.

Nel server locale

Per verificare se l'agente è in esecuzione, seguire questa procedura:

  1. Accedere al server con un account amministratore.
  2. Aprire Servizi spostandosi all'opzione relativa oppure selezionando Start/Run/Services.msc.
  3. In Servizi assicurarsi che siano presenti i servizi Microsoft Entra Connect Agent Updater e Microsoft Entra Connect Provisioning Agent e che il relativo stato sia In esecuzione. Screenshot che mostra i servizi di Windows.

Verificare la versione dell'agente di provisioning

Per verificare che la versione dell'agente sia in esecuzione, seguire questa procedura:

  1. Spostarsi a 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent'
  2. Fare clic con il pulsante destro del mouse su "AADConnectProvisioningAgent.exe" e selezionare proprietà.
  3. Fare clic sulla scheda dei dettagli e il numero di versione verrà visualizzato accanto a Versione prodotto.

Configurare Microsoft Entra Cloud Sync

Per configurare il provisioning, seguire questa procedura:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Sincronizzazione cloud. Screenshot della home page di sincronizzazione cloud.
  1. Selezionare Nuova configurazione. Screenshot che mostra l’aggiunta di una configurazione.
  2. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.

Screenshot di una nuova configurazione.

  1. Verrà visualizzata la schermata Attività iniziali.

  2. Nella schermata Attività iniziali, fare clic su Aggiungi filtri di ambito accanto all’icona Aggiungi filtri di ambito oppure fare clic su Filtri di ambito a sinistra in Gestisci.

Screenshot dei filtri di ambito.

  1. Selezionare il filtro di ambito. Per questa esercitazione selezionare:
    • Unità organizzative selezionate: definisce l'ambito della configurazione da applicare a unità organizzative specifiche.
  2. Nella casella, immettere "OU=CPUsers,DC=contoso,DC=com".

Screenshot del filtro di ambito.

  1. Fare clic su Aggiungi. Fare clic su Salva.

Avviare l'utilità di pianificazione

Il servizio di sincronizzazione Microsoft Entra Connect sincronizza le modifiche rilevate nella directory locale usando un'utilità di pianificazione. Ora che sono state modificate le regole, è possibile riavviare l'utilità di pianificazione. Eseguire la procedura descritta di seguito:

  1. Nel server che esegue Microsoft Entra Connect Sync aprire PowerShell con privilegi di amministratore
  2. Eseguire Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Eseguire Start-ADSyncSyncCycle, quindi premere Invio.

Nota

Se si esegue l'utilità di pianificazione personalizzata per Microsoft Entra Connect Sync, abilitarla.

Una volta abilitata l'utilità di pianificazione, Microsoft Entra Connect arresterà l'esportazione di eventuali modifiche negli oggetti con cloudNoFlow=true nel metaverse, a meno che non vi siano attributi di riferimento (ad esempio manager) che vengono aggiornati. Nel caso in cui sia presente un aggiornamento dell'attributo di riferimento per l'oggetto, Microsoft Entra Connect ignorerà il segnale di cloudNoFlow ed esporterà tutti gli aggiornamenti nell'oggetto.

Si è verificato un errore

Nel caso il progetto pilota non funzioni come previsto, è possibile tornare nella configurazione di Microsoft Entra Connect Sync seguendo questa procedura:

  1. Disabilitare la configurazione del provisioning nel portale.
  2. Disabilitare tutte le regole di sincronizzazione personalizzate create per il provisioning cloud usando l'editor delle regole di sincronizzazione. La disabilitazione genera una sincronizzazione completa in tutti i connettori.

Passaggi successivi