Share via

Importar e exportar definições de configuração do Microsoft Entra Connect

  • Artigo

As implantações do Microsoft Entra Connect variam de uma instalação no modo Express de floresta única a implantações complexas que são sincronizadas em várias florestas usando regras de sincronização personalizadas. Devido ao grande número de opções e mecanismos de configuração, é essencial entender quais configurações estão em vigor e ser capaz de implantar rapidamente um servidor com uma configuração idêntica. Esse recurso introduz a capacidade de catalogar a configuração de um determinado servidor de sincronização e importar as configurações para uma nova implantação. Diferentes instantâneos de configurações de sincronização podem ser comparados para visualizar facilmente as diferenças entre dois servidores ou o mesmo servidor ao longo do tempo.

Cada vez que a configuração é alterada a partir do assistente do Microsoft Entra Connect, um novo arquivo de configurações JSON com carimbo de data/hora é exportado automaticamente para %ProgramData%\AADConnect. O nome do arquivo de configurações é do formato Applied-SynchronizationPolicy-*. JSON, onde a última parte do nome do arquivo é um carimbo de data/hora.

Importante

Somente as alterações feitas pelo Microsoft Entra Connect são exportadas automaticamente. Todas as alterações feitas usando o PowerShell, o Gerenciador de Serviço de Sincronização ou o Editor de Regras de Sincronização devem ser exportadas sob demanda, conforme necessário, para manter uma cópia atualizada. A exportação sob demanda também pode ser usada para colocar uma cópia das configurações em um local seguro para fins de recuperação de desastres.

Nota

Esse recurso não pode ser usado se a instalação do Microsoft Entra Connect foi modificada para incluir o conector G-SQL ou o conector G-LDAP.

Nota

Esse recurso não pode ser combinado com o uso de um banco de dados ADSync existente. O uso da configuração de importação/exportação e o uso do banco de dados existente são mutuamente exclusivos.

Exportar configurações do Microsoft Entra Connect

Para exibir um resumo das definições de configuração, abra a ferramenta Microsoft Entra Connect e selecione a tarefa adicional chamada Exibir ou Exportar Configuração Atual. Um resumo rápido de suas configurações é mostrado, juntamente com a capacidade de exportar a configuração completa do seu servidor.

Por padrão, as configurações são exportadas para %ProgramData%\AADConnect. Você também pode optar por salvar as configurações em um local protegido para garantir a disponibilidade em caso de desastre. As configurações são exportadas usando o formato de arquivo JSON e não devem ser criadas ou editadas manualmente para garantir a consistência lógica. A importação de um arquivo criado ou editado manualmente não é suportada e pode levar a resultados inesperados.

Importar configurações do Microsoft Entra Connect

Para importar configurações exportadas anteriormente:

  1. Instale o Microsoft Entra Connect em um novo servidor.

  2. Selecione a opção Personalizar após a página de boas-vindas .

  3. Selecione Importar configurações de sincronização. Procure o arquivo de configurações JSON exportado anteriormente.

  4. Selecione Instalar.

    Captura de tela que mostra a tela Instalar componentes necessários

Nota

Substitua as configurações nesta página, como o uso do SQL Server em vez do LocalDB ou o uso de uma conta de serviço existente em vez de um VSA padrão. Essas configurações não são importadas do arquivo de definições de configuração. Eles estão lá para fins de informação e comparação.

Nota

Não há suporte para modificar o arquivo JSON exportado para alterar a configuração

Importar experiência de instalação

A experiência de instalação de importação é intencionalmente mantida simples com entradas mínimas do usuário para fornecer facilmente a reprodutibilidade de um servidor existente.

Aqui estão as únicas alterações que podem ser feitas durante a experiência de instalação. Todas as outras alterações podem ser feitas após a instalação a partir do assistente do Microsoft Entra Connect:

  • Credenciais do Microsoft Entra: o nome da conta do Administrador Global do Azure usado para configurar o servidor original é sugerido por padrão. Ele deve ser alterado se você quiser sincronizar informações para um novo diretório.
  • Entrada do usuário: as opções de logon configuradas para o servidor original são selecionadas por padrão e solicitam automaticamente credenciais ou outras informações necessárias durante a configuração. Em casos raros, pode haver a necessidade de configurar um servidor com opções diferentes para evitar alterar o comportamento do servidor ativo. Caso contrário, selecione Avançar para usar as mesmas configurações.
  • Credenciais de diretório local: para cada diretório local incluído em suas configurações de sincronização, você deve fornecer credenciais para criar uma conta de sincronização ou fornecer uma conta de sincronização personalizada pré-criada. Este procedimento é idêntico à experiência de instalação limpa, com a exceção de que não é possível adicionar ou remover diretórios.
  • Opções de configuração: Tal como acontece com uma instalação limpa, pode optar por definir as definições iniciais para iniciar a sincronização automática ou ativar o modo de preparação. A principal diferença é que o modo de preparo é intencionalmente habilitado por padrão para permitir a comparação dos resultados de configuração e sincronização antes de exportar ativamente os resultados para o Azure.

Captura de tela que mostra a tela Conectar seus diretórios

Nota

Apenas um servidor de sincronização pode estar na função principal e exportar ativamente as alterações de configuração para o Azure. Todos os outros servidores devem ser colocados no modo de preparo.

Migrar configurações de um servidor existente

Se um servidor existente não oferecer suporte ao gerenciamento de configurações, você poderá optar por atualizar o servidor in-loco ou migrar as configurações para uso em um novo servidor de preparo.

A migração requer a execução de um script do PowerShell que extrai as configurações existentes para uso em uma nova instalação. Use esse método para catalogar as configurações do servidor existente e, em seguida, aplicá-las a um servidor de preparo recém-instalado. Comparar as configurações do servidor original com um servidor recém-criado visualizará rapidamente as alterações entre os servidores. Como sempre, siga o processo de certificação da sua organização para garantir que nenhuma configuração adicional seja necessária.

Processo de migração

Para migrar as configurações:

  1. Inicie AzureADConnect.msi no novo servidor de preparo e pare na página de boas-vindas do Microsoft Entra Connect.

  2. Copie MigrateSettings.ps1 do diretório Microsoft Entra Connect\Tools para um local no servidor existente. Um exemplo é C:\setup, onde setup é um diretório que foi criado no servidor existente.
    Captura de tela que mostra os diretórios do Microsoft Entra Connect.

    Nota

    Se vir uma mensagem: "Não é possível encontrar um parâmetro posicional que aceite o argumento True.", como abaixo:

    Captura de ecrã do erro Em seguida, edite o arquivo MigrateSettings.ps1 e remova $true e execute o script: Captura de tela para editar a configuração

  3. Execute o script como mostrado aqui e salve todo o diretório de configuração do servidor de nível inferior. Copie este diretório para o novo servidor de preparo. Você deve copiar toda a pasta Exported-ServerConfiguration-* para o novo servidor. Captura de tela que mostra o script no PowerShell.Captura de tela que mostra a cópia da pasta Exported-ServerConfiguration-*.

  4. Inicie o Microsoft Entra Connect clicando duas vezes no ícone na área de trabalho. Aceite os Termos de Licença para Software Microsoft e, na página seguinte, selecione Personalizar.

  5. Marque a caixa de seleção Importar configurações de sincronização. Selecione Procurar para procurar a pasta copiada Exported-ServerConfiguration-*. Selecione o MigratedPolicy.json para importar as configurações migradas.

    Captura de tela que mostra a opção Importar configurações de sincronização.

Verificação pós-instalação

Comparar o arquivo de configurações originalmente importado com o arquivo de configurações exportado do servidor recém-implantado é uma etapa essencial para entender quaisquer diferenças entre a implantação pretendida versus a implantação resultante. Usar seu aplicativo favorito de comparação de texto lado a lado produz uma visualização instantânea que destaca rapidamente quaisquer alterações desejadas ou acidentais.

Embora muitas etapas de configuração anteriormente manuais sejam agora eliminadas, você ainda deve seguir o processo de certificação da sua organização para garantir que nenhuma configuração adicional seja necessária. Essa configuração pode ocorrer se você usar configurações avançadas, que não são capturadas atualmente nesta versão do gerenciamento de configurações.

Aqui estão as limitações conhecidas:

  • Regras de sincronização: a precedência de uma regra personalizada deve estar no intervalo reservado de 0 a 99 para evitar conflitos com as regras padrão da Microsoft. Colocar uma regra personalizada fora do intervalo reservado pode resultar na mudança da regra personalizada à medida que as regras padrão são adicionadas à configuração. Um problema semelhante ocorrerá se a configuração contiver regras padrão modificadas. A modificação de uma regra padrão é desencorajada, e o posicionamento da regra provavelmente será incorreto.
  • Write-back do dispositivo: essas configurações são catalogadas. No momento, eles não são aplicados durante a configuração. Se o write-back do dispositivo foi habilitado para o servidor original, você deve configurar manualmente o recurso no servidor recém-implantado.
  • Tipos de objeto sincronizados: embora seja possível restringir a lista de tipos de objetos sincronizados (como usuários, contatos e grupos) usando o Gerenciador do Serviço de Sincronização, esse recurso não é suportado atualmente por meio das configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
  • Perfis de execução personalizados: embora seja possível modificar o conjunto padrão de perfis de execução usando o Gerenciador do Serviço de Sincronização, esse recurso não é suportado atualmente por meio das configurações de sincronização. Depois de concluir a instalação, você deve reaplicar manualmente a configuração avançada.
  • Configurando a hierarquia de provisionamento: esse recurso avançado do Synchronization Service Manager não é suportado por meio das configurações de sincronização. Ele deve ser reconfigurado manualmente depois de concluir a implantação inicial.
  • Serviços de Federação do Ative Directory (AD FS) e autenticação PingFederate: os métodos de início de sessão associados a estas funcionalidades de autenticação são automaticamente pré-selecionados. Você deve fornecer interativamente todos os outros parâmetros de configuração necessários.
  • Uma regra de sincronização personalizada desabilitada será importada como habilitada: uma regra de sincronização personalizada desabilitada será importada como habilitada. Certifique-se de desativá-lo no novo servidor também.

Próximos passos