Poradnik: migrowanie procesu aprowizacji synchronizacyjnej Okta do synchronizacji za pomocą Microsoft Entra Connect

Z tego samouczka dowiesz się, jak przeprowadzić migrację aprowizacji użytkowników z usługi Okta do identyfikatora Entra firmy Microsoft i przeprowadzić migrację funkcji User Sync lub Universal Sync do usługi Microsoft Entra Connect. Ta funkcja umożliwia konfigurowanie w Microsoft Entra ID i Office 365.

Uwaga

Podczas migrowania platform synchronizacji zweryfikuj kroki opisane w tym artykule przed usunięciem programu Microsoft Entra Connect z trybu przejściowego lub włączeniem agenta aprowizacji w chmurze firmy Microsoft Entra.

Wymagania wstępne

Po przejściu z aprowizacji usługi Okta do identyfikatora Entra firmy Microsoft dostępne są dwie opcje. Użyj serwera Microsoft Entra Connect lub aprowizacji w chmurze firmy Microsoft Entra.

Dowiedz się więcej: Porównanie między programem Microsoft Entra Connect i synchronizacją w chmurze.

Uslugi w chmurze Microsoft Entra to najbardziej znana ścieżka migracji dla klientów Okta korzystających z usługi Universal Sync lub User Sync. Agenci aprowizacyjni w chmurze są lekkie. Można je zainstalować na kontrolerach domeny lub w ich pobliżu, takich jak agenci synchronizacji katalogów Okta. Nie instaluj ich na tym samym serwerze.

Podczas synchronizowania użytkowników należy użyć serwera Microsoft Entra Connect, jeśli twoja organizacja potrzebuje dowolnej z następujących technologii:

• Synchronizacja urządzeń: hybrydowe łączenie Microsoft Entra lub Hello for Business
• Uwierzytelnianie przepustowe
• Obsługa ponad 150 000 obiektów
• Obsługa zapisywania zwrotnego

Aby użyć programu Microsoft Entra Connect, musisz zalogować się przy użyciu roli administratora tożsamości hybrydowej.

Uwaga

Podczas instalowania programu Microsoft Entra Connect lub aprowizacji w chmurze firmy Microsoft Entra należy wziąć pod uwagę wszystkie wymagania wstępne. Przed kontynuowaniem instalacji zobacz Wymagania wstępne dotyczące programu Microsoft Entra Connect.

Potwierdź atrybut ImmutableID zsynchronizowany przez Okta

Atrybut ImmutableID łączy zsynchronizowane obiekty z ich lokalnymi odpowiednikami. Okta pobiera identyfikator objectGUID z Active Directory obiektu lokalnego i konwertuje go na ciąg zakodowany w formacie Base-64. Domyślnie przypisuje ten ciąg w polu ImmutableID w Microsoft Entra ID.

Możesz nawiązać połączenie z programem Microsoft Graph PowerShell i sprawdzić bieżącą wartość ImmutableID. Jeśli nie użyto modułu Microsoft Graph PowerShell, uruchom polecenie:

Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force w sesji administracyjnej przed uruchomieniem następujących poleceń:

Connect-MgGraph

Jeśli masz moduł, może pojawić się ostrzeżenie o aktualizacji do najnowszej wersji.

1. Zaimportuj zainstalowany moduł.

2. W oknie uwierzytelniania zaloguj się jako co najmniej administrator tożsamości hybrydowej.

3. Połącz się z najemcą.

4. Sprawdź ustawienia wartości ImmutableID. Poniższy przykład jest przykładem domyślnym konwersji identyfikatora objectGUID na identyfikator ImmutableID.

5. Ręcznie potwierdź konwersję z objectGUID do Base64 w środowisku lokalnym. Aby przetestować pojedynczą wartość, użyj następujących poleceń:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

Metody masowej weryfikacji ObjectGUID

Przed przejściem do programu Microsoft Entra Connect ważne jest sprawdzenie, czy wartości ImmutableID w identyfikatorze Entra firmy Microsoft są zgodne z ich wartościami lokalnymi.

Następujące polecenie pobiera lokalnych użytkowników Microsoft Entra i eksportuje listę ich wartości objectGUID oraz wcześniej obliczonych wartości ImmutableID do pliku CSV.

1. Uruchom następujące polecenie w programie Microsoft Graph PowerShell na lokalnym kontrolerze domeny:

   Get-ADUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Uruchom następujące polecenie w sesji programu Microsoft Graph PowerShell, aby wyświetlić listę zsynchronizowanych wartości:

   Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
   "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
   Expression = {
   [GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
   ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv
   

3. Po obu eksportach upewnij się, że wartości immutableID użytkownika są zgodne.

   Ważne

   Jeśli wartości ImmutableID w chmurze nie są zgodne z wartościami objectGUID, zmodyfikowano wartości domyślne synchronizacji usługi Okta. Prawdopodobnie wybrano inny atrybut, aby określić wartości ImmutableID. Przed przejściem do następnej sekcji zidentyfikuj, który atrybut źródłowy wypełnia wartości ImmutableID. Przed wyłączeniem synchronizacji Okta, zaktualizuj atrybut, który Okta synchronizuje.

Instalowanie programu Microsoft Entra Connect w trybie przejściowym

Po przygotowaniu listy miejsc docelowych i źródłowych zainstaluj serwer Microsoft Entra Connect. Jeśli używasz aprowizacji w chmurze microsoft Entra Connect, pomiń tę sekcję.

1. Pobierz i zainstaluj program Microsoft Entra Connect na serwerze. Zobacz Niestandardowa instalacja programu Microsoft Entra Connect.

2. W panelu po lewej stronie wybierz pozycję Identyfikowanie użytkowników.

3. Na stronie Unikatowe identyfikowanie użytkowników w obszarze Wybierz sposób identyfikacji użytkowników z identyfikatorem Entra firmy Microsoft wybierz pozycję Wybierz określony atrybut.

4. Jeśli ustawienie domyślne Okta nie zostało zmodyfikowane, wybierz pozycję mS-DS-ConsistencyGUID.

   Ostrzeżenie

   Ten krok jest krytyczny. Upewnij się, że atrybut wybrany dla kotwicy źródłowej uzupełnia informacje o użytkownikach Microsoft Entra. Jeśli wybierzesz niewłaściwy atrybut, odinstaluj i ponownie zainstaluj program Microsoft Entra Connect, aby ponownie wybrać tę opcję.

5. Wybierz pozycję Dalej.

6. W panelu po lewej stronie wybierz pozycję Konfiguruj.

7. Na stronie Gotowe do skonfigurowania wybierz pozycję Włącz tryb przejściowy.

8. Wybierz pozycję Zainstaluj.

9. Sprawdź, czy wartości ImmutableID są zgodne.

10. Po zakończeniu konfiguracji wybierz pozycję Zakończ.

11. Otwórz usługę synchronizacji jako administrator.

12. Znajdź pełną synchronizację z obszarem łącznika domain.onmicrosoft.com.

13. Upewnij się, że na karcie Connectors with Flow Updates znajdują się użytkownicy.

14. Sprawdź, czy w eksporcie nie ma żadnych oczekujących usunięć.

15. Wybierz kartę Łączniki.

16. Wyróżnij obszar łącznika domain.onmicrosoft.com.

17. Wybierz pozycję Wyszukaj obszar łącznika.

18. W oknie dialogowym Przestrzeń łącznika wyszukiwania w obszarze Zakres wybierz pozycję Oczekujące na eksport.

19. Wybierz pozycję Usuń.

20. Wybierz Wyszukaj. Jeśli wszystkie obiekty są zgodne, w kategorii Usunięcia nie są wyświetlane żadne zgodne rekordy.

21. Rejestruj obiekty oczekujące na usunięcie i ich wartości na miejscu.

22. Wyczyść Usuń.

23. Wybierz pozycję Dodaj.

24. Wybierz pozycję Modyfikuj.

25. Wybierz Wyszukaj.

26. Funkcje aktualizacji są wyświetlane dla użytkowników synchronizowanych z identyfikatorem Entra firmy Microsoft za pośrednictwem usługi Okta. Nowe obiekty, które Okta nie synchronizuje, znajdują się w strukturze jednostki organizacyjnej wybranej podczas instalacji Microsoft Entra Connect.

27. Aby zobaczyć, co Microsoft Entra Connect komunikuje z Microsoft Entra ID, kliknij dwukrotnie na aktualizację.

Uwaga

Jeśli istnieją funkcje dodawania użytkownika w identyfikatorze Entra firmy Microsoft, jego konto lokalne nie jest zgodne z kontem w chmurze. Program Entra Connect tworzy nowy obiekt i rejestruje nowe i nieoczekiwane dodanie.

28. Przed opuszczeniem trybu przejściowego popraw wartość ImmutableID w Microsoft Entra ID.

W tym przykładzie, Okta oznaczyła atrybut poczty do konta użytkownika, chociaż wartość z lokalnego systemu nie była dokładna. Gdy program Microsoft Entra Connect przejmuje konto, atrybut poczty zostanie usunięty z obiektu.

29. Sprawdź, czy aktualizacje zawierają atrybuty oczekiwane w identyfikatorze Entra firmy Microsoft. Jeśli usuwa się wiele atrybutów, możesz wypełnić lokalne wartości usługi AD przed usunięciem trybu przejściowego.

Uwaga

Przed kontynuowaniem upewnij się, że atrybuty użytkownika są synchronizowane i wyświetlane na karcie Oczekujący eksport . Jeśli zostaną usunięte, upewnij się, że wartości ImmutableID są zgodne, a użytkownik znajduje się w wybranej jednostki organizacyjnej na potrzeby synchronizacji.

Instalowanie agentów synchronizacji w chmurze programu Microsoft Entra Connect

Po przygotowaniu listy celów źródłowych i docelowych zainstaluj i skonfiguruj agentów synchronizacji chmury Programu Microsoft Entra Connect. Zobacz Samouczek: integrowanie pojedynczego lasu z jedną dzierżawą firmy Microsoft Entra.

Uwaga

Jeśli używasz serwera Microsoft Entra Connect, pomiń tę sekcję.

Wyłączanie aprowizacji usługi Okta w usłudze Microsoft Entra ID

Po zweryfikowaniu instalacji programu Microsoft Entra Connect wyłącz aprowizację usługi Okta w usłudze Microsoft Entra ID.

1. Przejdź do portalu Okta

2. Wybierz pozycję Aplikacje.

3. Wybierz aplikację Okta, która aprowizuje użytkowników do identyfikatora Entra firmy Microsoft.

4. Wybierz kartę Konfiguracja.

5. Wybierz sekcję Integracja .

   

6. Wybierz pozycję Edytuj.

7. Wyczyść opcję Włącz integrację interfejsu API .

8. Wybierz pozycję Zapisz.

   

   Uwaga

   Jeśli masz wiele aplikacji usługi Office 365, które obsługują aprowizację identyfikatora Entra firmy Microsoft, upewnij się, że zostały wyłączone.

Wyłącz tryb przejściowy w programie Microsoft Entra Connect

Po wyłączeniu aprowizacji usługi Okta serwer Microsoft Entra Connect może synchronizować obiekty.

Uwaga

Jeśli używasz agentów synchronizacji chmury Microsoft Entra Connect, pomiń tę sekcję.

1. Na pulpicie uruchom kreatora instalacji z poziomu pulpitu.
2. Wybierz pozycję Konfiguruj.
3. Wybierz Konfiguruj tryb przejściowy
4. Wybierz pozycję Dalej.
5. Wprowadź poświadczenia konta administratora tożsamości hybrydowej dla twojego środowiska.
6. Odznacz Włącz tryb przejściowy.
7. Wybierz pozycję Dalej.
8. Wybierz pozycję Konfiguruj.
9. Po skonfigurowaniu otwórz usługę synchronizacji jako administrator.
10. W łączniku domain.onmicrosoft.com wyświetl Eksport.
11. Zweryfikuj dodatki, aktualizacje i usunięcia.
12. Migracja została ukończona. Uruchom ponownie kreatora instalacji, aby zaktualizować i rozwinąć funkcje programu Microsoft Entra Connect.

Włączanie agentów synchronizacji w chmurze

Po wyłączeniu aprowizacji usługi Okta agent synchronizacji chmury Microsoft Entra Connect może synchronizować obiekty.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
2. Przejdź do Entra ID>Entra Connect>Connect Sync.
3. Wybierz profil konfiguracji.
4. Wybierz pozycję Włącz.
5. Wróć do menu aprowizacji i wybierz pozycję Dzienniki.
6. Potwierdź, że łącznik aprowizacji zaktualizował obiekty na miejscu. Agenci synchronizacji w chmurze nie są destruktywni. Aktualizacje kończą się niepowodzeniem, jeśli nie znaleziono dopasowania.
7. Jeśli użytkownik jest niezgodny, wprowadź aktualizacje w celu powiązania wartości ImmutableID.
8. Uruchom ponownie synchronizację aprowizacji w chmurze.

Następne kroki

• Samouczek: migrowanie aplikacji z usługi Okta do identyfikatora Entra firmy Microsoft
• Samouczek: Migracja federacji Okta do zarządzanego uwierzytelniania Microsoft Entra ID
• Samouczek: migrowanie zasad logowania usługi Okta do dostępu warunkowego