Migreren naar Microsoft Entra Cloud Sync voor een bestaand gesynchroniseerd AD-forest

  • Artikel

In deze zelfstudie wordt uitgelegd hoe u naar cloudsynchronisatie migreert voor een test-Active Directory-forest dat al is gesynchroniseerd met Behulp van Microsoft Entra Verbinding maken Sync.

Notitie

Dit artikel bevat informatie over een basismigratie. Raadpleeg de documentatie migreren naar cloudsynchronisatie voordat u uw productieomgeving migreert.

Diagram met de Microsoft Entra Cloud Sync-stroom.

Overwegingen

Denk aan de volgende punten voordat u deze zelfstudie uitvoert:

  1. Zorg ervoor dat u bekend bent met de basisbeginselen van cloudsynchronisatie.

  2. Zorg ervoor dat u Microsoft Entra Verbinding maken Sync versie 1.4.32.0 of hoger uitvoert en dat u de synchronisatieregels hebt geconfigureerd zoals beschreven.

  3. Tijdens het testen verwijdert u een test-OE of groep uit Microsoft Entra Verbinding maken Synchronisatiebereik. Het verplaatsen van objecten buiten het bereik leidt tot het verwijderen van deze objecten in Microsoft Entra-id.

    • Gebruikersobjecten, de objecten in Microsoft Entra ID worden voorlopig verwijderd en kunnen worden hersteld.
    • Groepsobjecten, de objecten in Microsoft Entra-id zijn definitief verwijderd en kunnen niet worden hersteld.

    Er is een nieuw koppelingstype geïntroduceerd in Microsoft Entra Verbinding maken Sync, waardoor het verwijderen in een testscenario wordt voorkomen.

  4. Zorg ervoor dat de objecten in het testbereik ms-ds-consistencyGUID hebben ingevuld, zodat cloudsynchronisatie hard overeenkomt met de objecten.

Notitie

Microsoft Entra Verbinding maken Sync vult ms-ds-consistencyGUID niet standaard in voor groepsobjecten.

  1. Deze configuratie is bedoeld voor geavanceerde scenario's. Zorg dat u de stappen in deze zelfstudie nauwkeurig volgt.

Vereisten

Dit zijn de vereisten voor het voltooien van deze zelfstudie

  • Een testomgeving met Microsoft Entra Verbinding maken Sync versie 1.4.32.0 of hoger
  • Een OE of groep die is gesynchroniseerd en kan worden gebruikt als pilot. We raden u aan te beginnen met een kleine set objecten.
  • Een server met Windows Server 2016 of hoger die als host fungeert voor de inrichtingsagent.
  • Bronanker voor Microsoft Entra Verbinding maken Sync moet objectGuid of ms-ds-consistencyGUID zijn

Microsoft Entra-Verbinding maken bijwerken

U moet minimaal Microsoft Entra Verbinding maken 1.4.32.0 hebben. Als u Microsoft Entra Verbinding maken Sync wilt bijwerken, voert u de stappen in Microsoft Entra Verbinding maken uit: upgraden naar de nieuwste versie.

Een back-up maken van uw Microsoft Entra Verbinding maken-configuratie

Voordat u wijzigingen aanbrengt, moet u een back-up maken van uw Microsoft Entra Verbinding maken configuratie. Op deze manier kunt u teruggaan naar uw vorige configuratie. Zie Microsoft Entra importeren en exporteren Verbinding maken configuratie-instellingen voor meer informatie.

De planner stoppen

Microsoft Entra Verbinding maken Sync synchroniseert wijzigingen die plaatsvinden in uw on-premises directory met behulp van een scheduler. Als u aangepaste regels wilt wijzigen en toevoegen, wilt u de planner uitschakelen, zodat synchronisaties niet worden uitgevoerd terwijl u de wijzigingen aanbrengt. Gebruik de volgende stappen om de scheduler te stoppen:

  1. Open PowerShell met Beheer bevoegdheden op de server waarop Microsoft Entra Verbinding maken Sync wordt uitgevoerd.
  2. Voer Stop-ADSyncSyncCycle uit. Druk op Enter.
  3. Voer Set-ADSyncScheduler -SyncCycleEnabled $false uit.

Notitie

Als u uw eigen aangepaste planner voor Microsoft Entra Verbinding maken Sync uitvoert, schakelt u de planner uit.

Een aangepaste regel voor binnenkomende verbindingen voor gebruikers maken

In de Editor voor synchronisatieregels van Microsoft Entra Verbinding maken moet u een regel voor binnenkomende synchronisatie maken waarmee gebruikers in de organisatie-eenheid worden gefilterd die u eerder hebt geïdentificeerd. De regel voor binnenkomende synchronisatie is een joinregel met een doelkenmerk van cloudNoFlow. Deze regel vertelt Microsoft Entra Verbinding maken kenmerken voor deze gebruikers niet te synchroniseren. Zie de documentatie over migreren naar cloudsynchronisatie voordat u uw productieomgeving migreert voor meer informatie.

  1. Start de synchronisatie-editor vanuit het toepassingsmenu op het bureaublad, zoals hieronder wordt weergegeven:

    Schermopname van het menu synchronisatieregeleditor.

  2. Selecteer Inkomend in de vervolgkeuzelijst voor Richting en selecteer Nieuwe regel toevoegen.

    Schermafbeelding met het venster 'Uw synchronisatieregels weergeven en beheren' met 'binnenkomend' en de knop nieuwe regel toevoegen geselecteerd.

  3. Voer op de pagina Beschrijving het volgende in en selecteer Volgende:

    • Naam: Geef de regel een betekenisvolle naam
    • Beschrijving: Een zinvolle beschrijving toevoegen
    • Verbinding maken ed System: Kies de AD-connector waarvoor u de aangepaste synchronisatieregel schrijft
    • Verbinding maken ed System Object Type: Gebruiker
    • Metaverse-objecttype: Persoon
    • Koppelingstype: Deelnemen
    • Prioriteit: Geef een waarde op die uniek is in het systeem
    • Tag: Laat dit leeg

    Schermopname met de pagina

  4. Voer op de pagina Bereikfilter de OE of beveiligingsgroep in waarop u de pilot wilt baseren. Als u wilt filteren op OE, voegt u het OE-gedeelte van de DN-naam toe. Deze regel wordt toegepast op alle gebruikers in deze OE. Als DN eindigt op "OU=CPUsers,DC=contoso,DC=com, voegt u dit filter toe. Selecteer Volgende.

    Regel Kenmerk Operator Weergegeven als
    Bereik OE DN ENDSWITH DN-naam van de OE.
    Bereikgroep ISMEMBEROF DN-naam van de beveiligingsgroep.

    Schermopname van de regel voor binnenkomende synchronisatie maken: bereikfilterpagina met een bereikfilterwaarde ingevoerd.

  5. Selecteer Volgende op de pagina Join-regels.

  6. Voeg op de pagina Transformaties een constante transformatie toe: gebruik True voor het kenmerk cloudNoFlow. Selecteer Toevoegen.

    Schermopname van de pagina Binnenkomende synchronisatie maken - Transformaties met een constante transformatiestroom toegevoegd.

Dezelfde stappen moeten worden gevolgd voor alle objecttypen (gebruiker, groep en contactpersoon). Herhaal de stappen per geconfigureerde AD-connector/per AD-forest.

Een aangepaste regel voor uitgaande verbindingen voor gebruikers maken

U hebt ook een uitgaande synchronisatieregel nodig met een koppelingstype JoinNoFlow en het bereikfilter waarvoor het cloudNoFlow-kenmerk is ingesteld op True. Deze regel vertelt Microsoft Entra Verbinding maken kenmerken voor deze gebruikers niet te synchroniseren. Zie de documentatie over migreren naar cloudsynchronisatie voordat u uw productieomgeving migreert voor meer informatie.

  1. Selecteer Uitgaand in de vervolgkeuzelijst voor Richting en selecteer Regel toevoegen.

    Schermopname van de geselecteerde uitgaande richting en de knop Nieuwe regel toevoegen gemarkeerd.

  2. Voer op de pagina Beschrijving het volgende in en selecteer Volgende:

    • Naam: Geef de regel een betekenisvolle naam
    • Beschrijving: Een zinvolle beschrijving toevoegen
    • Verbinding maken ed System: Kies de Microsoft Entra-connector waarvoor u de aangepaste synchronisatieregel schrijft
    • Verbinding maken ed System Object Type: Gebruiker
    • Metaverse-objecttype: Persoon
    • Koppelingstype: JoinNoFlow
    • Prioriteit: Geef een waarde op die uniek is in het systeem
    • Tag: Laat dit leeg

    Schermopname van de pagina Beschrijving met de eigenschappen die zijn ingevoerd.

  3. Kies op de pagina Bereikfilter de optie cloudNoFlow is gelijk aan True. Selecteer Volgende.

    Schermopname van een aangepaste regel.

  4. Selecteer Volgende op de pagina Join-regels.

  5. Selecteer Toevoegen op de pagina Transformaties.

Dezelfde stappen moeten worden gevolgd voor alle objecttypen (gebruiker, groep en contactpersoon).

De Microsoft Entra-inrichtingsagent installeren

Als u de zelfstudie Basic AD en Azure-omgeving gebruikt, is dit CP1. Voer de volgende stappen uit om de agent te installeren:

  1. Selecteer Microsoft Entra-id in de Azure-portal.
  2. Selecteer aan de linkerkant Microsoft Entra Verbinding maken.
  3. Selecteer aan de linkerkant Cloudsynchronisatie.

Schermopname van het nieuwe UX-scherm.

  1. Selecteer agent aan de linkerkant.
  2. Selecteer On-premises agent downloaden en selecteer Voorwaarden accepteren en downloaden.

Schermopname van de downloadagent.

  1. Nadat het Microsoft Entra Verbinding maken Provisioning Agent Package is gedownload, voert u het AAD Verbinding maken ProvisioningAgentSetup.exe-installatiebestand uit vanuit de downloadmap.

Notitie

Wanneer u installeert voor het gebruik van de Cloud voor de Amerikaanse overheid:
AAD Verbinding maken ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Zie 'Een agent installeren in de Cloud van de Amerikaanse overheid' voor meer informatie.

  1. Selecteer in het welkomstscherm de optie Ik ga akkoord met de licentie en voorwaarden en selecteer Vervolgens Installeren.

Schermopname van het welkomstscherm van het Microsoft Entra Verbinding maken Provisioning Agent Package.

  1. Zodra de installatiebewerking is voltooid, wordt de configuratiewizard gestart. Selecteer Volgende om de configuratie te starten. Schermopname van het welkomstscherm.
  2. Selecteer in het scherm Extensie selecteren hr-gestuurde inrichting (Workday en SuccessFactors) / Microsoft Entra Verbinding maken cloudsynchronisatie en selecteer Volgende. Schermopname van het scherm Extensies selecteren.

Notitie

Als u de inrichtingsagent installeert voor gebruik met on-premises app-inrichting, selecteert u On-premises toepassingsinrichting (Microsoft Entra-id voor toepassing).

  1. Meld u aan met een account met ten minste de rol hybride identiteit Beheer istrator. Als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, wordt de aanmelding geblokkeerd. Sluit dan de installatie, schakel verbeterde beveiliging van Internet Explorer uit en start de Installatie van het Microsoft Entra-Verbinding maken-inrichtingsagentpakket opnieuw.

Schermopname van het scherm Verbinding maken Microsoft Entra ID.

  1. Selecteer een beheerd serviceaccount (gMSA) in het scherm Serviceaccount configureren. Dit account wordt gebruikt om de agentservice uit te voeren. Als een beheerd serviceaccount al is geconfigureerd in uw domein door een andere agent en u een tweede agent installeert, selecteert u GMSA maken omdat het systeem het bestaande account detecteert en de vereiste machtigingen voor de nieuwe agent toevoegt om het gMSA-account te gebruiken. Kies een van de volgende opties wanneer u hierom wordt gevraagd:
  • Maak gMSA waarmee de agent het beheerde serviceaccount provAgentgMSA$ voor u kan maken. Het door de groep beheerde serviceaccount (bijvoorbeeld CONTOSO\provAgentgMSA$) wordt gemaakt in hetzelfde Active Directory-domein waaraan de hostserver is toegevoegd. Als u deze optie wilt gebruiken, voert u de referenties van de Active Directory-domeinbeheerder in (aanbevolen).
  • Gebruik aangepaste gMSA en geef de naam op van het beheerde serviceaccount dat u handmatig voor deze taak hebt gemaakt.

Selecteer Volgende om door te gaan.

Schermopname van het scherm Serviceaccount configureren.

  1. Ga in het scherm Verbinding maken Active Directory naar de volgende stap als uw domeinnaam wordt weergegeven onder Geconfigureerde domeinen. Anders typt u uw Active Directory-domeinnaam en selecteert u Directory toevoegen.

  2. Meld u aan met uw Active Directory-domeinbeheerdersaccount. Het domeinbeheerdersaccount mag geen verlopen wachtwoord hebben. Als het wachtwoord is verlopen of tijdens de installatie van de agent wordt gewijzigd, moet u de agent opnieuw configureren met de nieuwe referenties. Met deze bewerking wordt uw on-premises map toegevoegd. Selecteer OK en selecteer vervolgens Volgende om door te gaan.

Schermopname die laat zien hoe u de referenties van de domeinbeheerder invoert.

  1. In de volgende schermopname ziet u een voorbeeld van contoso.com geconfigureerd domein. Selecteer Volgende om door te gaan.

Schermopname van het scherm Verbinding maken Active Directory.

  1. Selecteer Bevestigen in het scherm Configuratie voltooid. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.

  2. Zodra deze bewerking is voltooid, wordt u gewaarschuwd dat de configuratie van uw agent is geverifieerd. U kunt Afsluiten selecteren.

Schermopname van het voltooiingsscherm.

  1. Als u nog steeds het eerste welkomstscherm krijgt, selecteert u Sluiten.

Agentinstallatie verifiëren

Verificatie van de agent vindt plaats in de Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.

Verificatie van Azure Portal-agent

Voer de volgende stappen uit om te controleren of de agent wordt geregistreerd door Microsoft Entra ID:

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Microsoft Entra ID.
  3. Selecteer Microsoft Entra Verbinding maken en selecteer vervolgens Cloudsynchronisatie.Schermopname van het nieuwe UX-scherm.
  4. Op de cloudsynchronisatiepagina ziet u de agents die u hebt geïnstalleerd. Controleer of de agent wordt weergegeven en of de status in orde is.

Op de lokale server

Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:

  1. Meld u aan bij de server met een beheerdersaccount.
  2. Open Services door ernaar te navigeren of door naar Start/Run/Services.msc te gaan.
  3. Controleer onder Services of Microsoft Entra Verbinding maken Agent Updater en Microsoft Entra Verbinding maken Provisioning Agent aanwezig zijn en de status Wordt uitgevoerd. Schermopname van de Windows-services.

De versie van de inrichtingsagent controleren

Voer de volgende stappen uit om te controleren of de versie van de agent wordt uitgevoerd:

  1. Navigeer naar C:\Program Files\Microsoft Azure AD Verbinding maken Provisioning Agent
  2. Klik met de rechtermuisknop op AAD Verbinding maken ProvisioningAgent.exe en selecteer eigenschappen.
  3. Klik op het tabblad Details en het versienummer wordt weergegeven naast productversie.

Microsoft Entra Cloud Sync configureren

Voer de volgende stappen uit om de inrichting te configureren:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride Beheer istrator.
  2. Blader naar hybride>identiteitsbeheer>microsoft Entra Verbinding maken> Cloud-synchronisatie.Schermopname van de startpagina voor cloudsynchronisatie.
  1. Selecteer Nieuwe configuratie. Schermopname van het toevoegen van een configuratie.
  2. Selecteer in het configuratiescherm uw domein en geef aan of u wachtwoord-hashsynchronisatie wilt inschakelen. Klik op Maken.

Schermopname van een nieuwe configuratie.

  1. Het scherm Aan de slag wordt geopend.

  2. Klik in het scherm Aan de slag op Bereikfilters toevoegen naast het pictogram Bereikfilters toevoegen of klik op bereikfilters aan de linkerkant onder Beheren.

Schermopname van bereikfilters.

  1. Selecteer het bereikfilter. Voor deze zelfstudie selecteert u:
    • Geselecteerde organisatie-eenheden: hiermee wordt de configuratie bereikt die moet worden toegepast op specifieke organisatie-eenheden.
  2. Voer in het vak 'OU=CPUUsers,DC=contoso,DC=com' in.

Schermopname van het bereikfilter.

  1. Klik op Toevoegen. Klik op Opslaan.

De planner starten

Microsoft Entra Verbinding maken Sync synchroniseert wijzigingen die plaatsvinden in uw on-premises directory met behulp van een scheduler. Nu u de regels hebt gewijzigd, kunt u de planner opnieuw starten. Voer de volgende stappen uit:

  1. Open PowerShell op de server waarop Microsoft Entra Verbinding maken Sync wordt uitgevoerd met Beheer bevoegdheden
  2. Voer Set-ADSyncScheduler -SyncCycleEnabled $true uit.
  3. Voer de opdracht uit Start-ADSyncSyncCycleen druk op Enter.

Notitie

Als u uw eigen aangepaste planner voor Microsoft Entra Verbinding maken Sync uitvoert, schakelt u de planner in.

Zodra de scheduler is ingeschakeld, stopt Microsoft Entra Verbinding maken met het exporteren van wijzigingen in objecten in cloudNoFlow=true de metaverse, tenzij een verwijzingskenmerk (zoals manager) wordt bijgewerkt. Als er een update van het referentiekenmerk voor het object is, negeert Microsoft Entra Verbinding maken het cloudNoFlow signaal en exporteert u alle updates op het object.

Er is iets fout gegaan

Als de testfase niet werkt zoals verwacht, kunt u teruggaan naar de installatie van Microsoft Entra Verbinding maken Sync door de onderstaande stappen uit te voeren:

  1. Inrichtingsconfiguratie uitschakelen in de portal.
  2. Schakel alle aangepaste synchronisatieregels die voor cloudinrichting zijn gemaakt, uit met het hulpprogramma voor de synchronisatieregeleditor. Door de regels uit te schakelen, worden alle connectors volledig gesynchroniseerd.

Volgende stappen