Migrowanie do usługi Microsoft Entra Cloud Sync dla istniejącego zsynchronizowanego lasu usługi AD

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces migracji do synchronizacji w chmurze na potrzeby testowego lasu usługi Active Directory, który jest już synchronizowany przy użyciu usługi Microsoft Entra Połączenie Sync.

Uwaga

Ten artykuł zawiera informacje dotyczące podstawowej migracji. Przed podjęciem próby migracji środowiska produkcyjnego należy zapoznać się z dokumentacją Migrowanie do synchronizacji z chmurą.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Kwestie wymagające rozważenia

Przed wypróbowaniem tego samouczka rozważ następujące elementy:

  1. Upewnij się, że znasz podstawy synchronizacji z chmurą.

  2. Upewnij się, że korzystasz z programu Microsoft Entra Połączenie Sync w wersji 1.4.32.0 lub nowszej i skonfigurowano reguły synchronizacji zgodnie z dokumentacją.

  3. Podczas pilotowania usuniesz testową jednostki organizacyjnej lub grupę z zakresu microsoft Entra Połączenie Sync. Przeniesienie obiektów poza zakres prowadzi do usunięcia tych obiektów w identyfikatorze Entra firmy Microsoft.

    • Obiekty użytkownika, obiekty w identyfikatorze Entra firmy Microsoft są usuwane nietrwale i można je przywrócić.
    • Obiekty grupowania, obiekty w identyfikatorze Entra firmy Microsoft są trwale usuwane i nie można ich przywrócić.

    Wprowadzono nowy typ linku w usłudze Microsoft Entra Połączenie Sync, co uniemożliwi usunięcie w scenariuszu pilotażowym.

  4. Upewnij się, że obiekty w zakresie pilotażowym mają wypełniony identyfikator ms-ds-consistencyGUID, dzięki czemu synchronizacja w chmurze jest twarda do obiektów.

Uwaga

Program Microsoft Entra Połączenie Sync domyślnie nie wypełnia identyfikatora ms-ds-consistencyGUID dla obiektów grupy.

  1. Ta konfiguracja jest przeznaczony dla zaawansowanych scenariuszy. Upewnij się, że dokładnie wykonasz kroki opisane w tym samouczku.

Wymagania wstępne

Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka

  • Środowisko testowe z programem Microsoft Entra Połączenie Sync w wersji 1.4.32.0 lub nowszej
  • Jednostka organizacyjna lub grupa, która jest w zakresie synchronizacji i może być używana pilotaż. Zalecamy rozpoczęcie od małego zestawu obiektów.
  • Serwer z systemem Windows Server 2016 lub nowszym, który będzie hostować agenta aprowizacji.
  • Kotwica źródłowa dla usługi Microsoft Entra Połączenie Sync powinna mieć wartość objectGuid lub ms-ds-consistencyGUID

Aktualizowanie Połączenie firmy Microsoft

Co najmniej należy mieć microsoft Entra Połączenie 1.4.32.0. Aby zaktualizować usługę Microsoft Entra Połączenie Sync, wykonaj kroki opisane w temacie Microsoft Entra Połączenie: Upgrade to the latest version (Uaktualnianie do najnowszej wersji).

Tworzenie kopii zapasowej konfiguracji Połączenie firmy Microsoft

Przed wprowadzeniem jakichkolwiek zmian należy utworzyć kopię zapasową konfiguracji usługi Microsoft Entra Połączenie. W ten sposób można przywrócić poprzednią konfigurację. Aby uzyskać więcej informacji, zobacz Importowanie i eksportowanie ustawień konfiguracji usługi Microsoft Entra Połączenie.

Zatrzymywanie harmonogramu

Usługa Microsoft Entra Połączenie Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Aby zmodyfikować i dodać reguły niestandardowe, chcesz wyłączyć harmonogram, aby synchronizacje nie działały podczas pracy nad wprowadzaniem zmian. Aby zatrzymać harmonogram, wykonaj następujące czynności:

  1. Na serwerze z uruchomionym programem Microsoft Entra Połączenie Sync otwórz program PowerShell z uprawnieniami Administracja istracyjnymi.
  2. Uruchom program Stop-ADSyncSyncCycle. Naciśnij klawisz Enter.
  3. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $false.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla usługi Microsoft Entra Połączenie Sync, wyłącz harmonogram.

Tworzenie niestandardowej reguły ruchu przychodzącego użytkownika

W edytorze reguł synchronizacji usługi Microsoft Entra Połączenie należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje użytkowników w zidentyfikowanych wcześniej jednostkach organizacyjnych. Reguła synchronizacji ruchu przychodzącego to reguła sprzężenia z atrybutem docelowym cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do dokumentacji synchronizacji w chmurze przed podjęciem próby migracji środowiska produkcyjnego.

  1. Uruchom edytor synchronizacji z menu aplikacji na pulpicie, jak pokazano poniżej:

    Zrzut ekranu przedstawiający menu edytora reguł synchronizacji.

  2. Wybierz pozycję Ruch przychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj nową regułę.

    Zrzut ekranu przedstawiający okno

  3. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • Opis: Dodawanie opisów opisowych
    • system Połączenie: Wybierz łącznik usługi AD, dla którego piszesz niestandardową regułę synchronizacji
    • Połączenie typ obiektu systemowego: Użytkownika
    • Typ obiektu Metaverse: Osoba
    • Typ łącza: sprzężenia
    • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
    • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający stronę

  4. Na stronie Filtr określania zakresu wprowadź nazwę jednostki organizacyjnej lub grupę zabezpieczeń, dla której ma być oparty pilotaż. Aby filtrować według jednostki organizacyjnej, dodaj część jednostki organizacyjnej nazwy wyróżniającej. Ta reguła zostanie zastosowana do wszystkich użytkowników, którzy znajdują się w tej jednostki organizacyjnej. Tak więc, jeśli DN kończy się ciągiem "OU=CPUsers,DC=contoso,DC=com, należy dodać ten filtr. Następnie kliknij przycisk Dalej.

    Reguła Atrybut Operator Wartość
    Określanie zakresu jednostki organizacyjnej DN ENDSWITH Nazwa wyróżniająca jednostki organizacyjnej.
    Grupa określania zakresu ISMEMBEROF Nazwa wyróżniająca grupy zabezpieczeń.

    Zrzut ekranu przedstawiający stronę Tworzenie reguły synchronizacji ruchu przychodzącego — filtr określania zakresu z wprowadzoną wartością filtru określającego zakres.

  5. Na stronie Reguły dołączania wybierz pozycję Dalej.

  6. Na stronie Przekształcenia dodaj stałą transformację: przepływ true do atrybutu cloudNoFlow. Wybierz Dodaj.

    Zrzut ekranu przedstawiający stronę Tworzenie reguły synchronizacji ruchu przychodzącego — przekształcenia z dodanym przepływem ciągłej transformacji.

Należy wykonać te same kroki dla wszystkich typów obiektów (użytkownik, grupa i kontakt). Powtórz kroki zgodnie ze skonfigurowanym Połączenie or usługi AD/ na las usługi AD.

Tworzenie niestandardowej reguły ruchu wychodzącego użytkownika

Potrzebna będzie również reguła synchronizacji ruchu wychodzącego z typem linku JoinNoFlow i filtrem określania zakresu zawierającym atrybut cloudNoFlow ustawiony na true. Ta reguła informuje firmę Microsoft Entra Połączenie, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do dokumentacji synchronizacji w chmurze przed podjęciem próby migracji środowiska produkcyjnego.

  1. Wybierz pozycję Wychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj regułę.

    Zrzut ekranu przedstawiający wybraną pozycję Kierunek ruchu wychodzącego i wyróżniony przycisk Dodaj nową regułę.

  2. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • Opis: Dodawanie opisów opisowych
    • system Połączenie: Wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji
    • Połączenie typ obiektu systemowego: Użytkownika
    • Typ obiektu Metaverse: Osoba
    • Typ łącza: JoinNoFlow
    • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
    • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający stronę Opis z wprowadzonymi właściwościami.

  3. Na stronie Filtr określania zakresu wybierz pozycję cloudNoFlow równe True. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający regułę niestandardową.

  4. Na stronie Reguły dołączania wybierz pozycję Dalej.

  5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Należy wykonać te same kroki dla wszystkich typów obiektów (użytkownik, grupa i kontakt).

Instalowanie agenta aprowizacji firmy Microsoft

Jeśli używasz samouczka podstawowego usługi AD i środowiska platformy Azure, będzie to CP1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Połączenie.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu microsoft Entra Połączenie Provisioning Agent uruchom plik instalacyjny usługi AAD Połączenie ProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AAD Połączenie ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny Pakietu agenta aprowizacji firmy Microsoft Połączenie.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizowanie oparte na hr (Workday i SuccessFactors) / Microsoft Entra Połączenie synchronizacji w chmurze i wybierz przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta z co najmniej rolą Administracja istrator tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji firmy Microsoft Połączenie.

Zrzut ekranu przedstawiający ekran Połączenie Identyfikator entra firmy Microsoft.

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na Połączenie ekranie usługi Active Directory, jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmiany podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Połączenie Active Directory.

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Połączenie, a następnie wybierz pozycję Synchronizacja w chmurze.Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Połączenie Agent Updater i microsoft Entra Połączenie Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić, czy wersja agenta jest uruchomiona, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AAD Połączenie ProvisioningAgent.exe" i wybierz właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować aprowizację, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz pozycję Nowa konfiguracja. Zrzut ekranu przedstawiający dodawanie konfiguracji.
  2. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Kliknij pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Zostanie otwarty ekran Wprowadzenie .

  2. Na ekranie Wprowadzenie kliknij pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub kliknij pozycję Filtry określania zakresu po lewej stronie w obszarze Zarządzaj.

Zrzut ekranu przedstawiający filtry określania zakresu.

  1. Wybierz filtr określania zakresu. Na potrzeby tego samouczka wybierz następujące opcje:
    • Wybrane jednostki organizacyjne: określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.
  2. W polu wprowadź ciąg "OU=CPUsers,DC=contoso,DC=com".

Zrzut ekranu przedstawiający filtr określania zakresu.

  1. Kliknij przycisk Dodaj. Kliknij przycisk Zapisz.

Uruchamianie harmonogramu

Usługa Microsoft Entra Połączenie Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Po zmodyfikowaniu reguł możesz ponownie uruchomić harmonogram. Wykonaj następujące kroki:

  1. Na serwerze z uruchomionym programem Microsoft Entra Połączenie Sync otwórz program PowerShell z uprawnieniami Administracja istracyjnymi
  2. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Uruchom polecenie Start-ADSyncSyncCycle, a następnie naciśnij klawisz Enter.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla usługi Microsoft Entra Połączenie Sync, włącz harmonogram.

Po włączeniu harmonogramu firma Microsoft Entra Połączenie przestanie eksportować wszelkie zmiany w obiektach cloudNoFlow=true w metaverse, chyba że są aktualizowane żadne atrybuty odwołania (takie jak manager). W przypadku aktualizacji atrybutów referencyjnych w obiekcie firma Microsoft Entra Połączenie zignoruje cloudNoFlow sygnał i wyeksportuje wszystkie aktualizacje obiektu.

Wystąpił błąd

Jeśli pilotaż nie działa zgodnie z oczekiwaniami, możesz wrócić do konfiguracji usługi Microsoft Entra Połączenie Sync, wykonując poniższe kroki:

  1. Wyłącz konfigurację aprowizacji w portalu.
  2. Wyłącz wszystkie niestandardowe reguły synchronizacji utworzone na potrzeby aprowizacji w chmurze przy użyciu narzędzia Edytor reguł synchronizacji. Wyłączenie powinno spowodować pełną synchronizację wszystkich łączników.

Następne kroki