Миграция в Microsoft Entra Cloud Sync для существующего синхронизированного леса AD
В этом руководстве описано, как перенестися в облачную синхронизацию для тестового леса Active Directory, который уже синхронизирован с помощью microsoft Entra Connect Sync.
Примечание.
В этой статье содержатся сведения о базовой миграции и перед попыткой миграции рабочей среды ознакомьтесь с документацией по миграции в облако .
Рекомендации
Прежде чем начать работу с этим руководством, примите во внимание следующее:
Вы должны быть знакомы с основами синхронизации облачных сред.
Убедитесь, что вы используете microsoft Entra Connect Sync версии 1.4.32.0 или более поздней версии и настроили правила синхронизации как документированные.
При пилотном тестировании вы удалив тестовую подразделение или группу из области синхронизации Microsoft Entra Connect. Перемещение объектов из области приводит к удалению этих объектов в идентификаторе Microsoft Entra.
- Пользовательские объекты, объекты в идентификаторе Microsoft Entra удаляются обратимо и могут быть восстановлены.
- Объекты группы, объекты в идентификаторе Microsoft Entra жестко удалены и не могут быть восстановлены.
В Microsoft Entra Connect Sync появился новый тип ссылки, который предотвратит удаление в сценарии пилотного развертывания.
Убедитесь, что для объектов в области пилотного развертывания заполнен параметр ms-ds-consistencyGUID, чтобы при синхронизации облачных служб выполнялось строгое сопоставление этих объектов.
Примечание.
Синхронизация Microsoft Entra Connect не заполняет ms-ds-consistencyGUID по умолчанию для объектов группы.
- Эта конфигурация предназначена для расширенных сценариев. Следите за тем, чтобы в точности выполнять действия, описанные в этом учебнике.
Необходимые компоненты
Для работы с этим учебником требуется следующее:
- Тестовая среда с microsoft Entra Connect Sync версии 1.4.32.0 или более поздней
- Подразделение или группа, которые находятся в области синхронизации и могут использоваться в пилотной среде. Мы советуем начинать с небольшого набора объектов.
- Сервер под управлением Windows Server 2016 или более поздней версии, на котором будет размещен агент подготовки.
- Источник привязки для синхронизации Microsoft Entra Connect должен быть objectGuid или ms-ds-consistencyGUID
Обновление Microsoft Entra Connect
Как минимум, у вас должна быть Microsoft Entra Connect 1.4.32.0. Чтобы обновить синхронизацию Microsoft Entra Connect, выполните действия, описанные в Microsoft Entra Connect: обновление до последней версии.
Резервное копирование конфигурации Microsoft Entra Connect
Перед внесением изменений необходимо создать резервную копию конфигурации Microsoft Entra Connect. Таким образом можно выполнить откат к предыдущей конфигурации. Дополнительные сведения см. в разделе "Импорт и экспорт параметров конфигурации Microsoft Entra Connect".
Остановка планировщика
Microsoft Entra Connect Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Чтобы изменить и добавить настраиваемые правила, необходимо отключить планировщик, чтобы синхронизации не выполнялись во время выполнения изменений. Чтобы остановить планировщик, выполните следующие действия.
- На сервере, на котором запущена синхронизация Microsoft Entra Connect, откройте PowerShell с правами администратора.
- Запустите
Stop-ADSyncSyncCycle
. Нажмите клавишу ВВОД. - Запустите
Set-ADSyncScheduler -SyncCycleEnabled $false
.
Примечание.
Если вы используете собственный настраиваемый планировщик для синхронизации Microsoft Entra Connect, отключите планировщик.
Создание пользовательского правила для входящего трафика пользователя
В редакторе правил синхронизации Microsoft Entra Connect необходимо создать правило синхронизации для входящего трафика, которое фильтрует пользователей в подразделении, которое вы определили ранее. Правило входящего синхронизации — это правило соединения с целевым атрибутом cloudNoFlow. Это правило сообщает Microsoft Entra Connect не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.
Запустите редактор синхронизации из меню приложений на рабочем столе, как показано ниже:
Выберите входящий трафик из раскрывающегося списка для направления и выберите "Добавить новое правило".
На странице "Описание" введите следующее и нажмите кнопку "Далее".
- Имя: присвойте правилу понятное имя
- Описание. Добавление понятного описания
- Подключенная система: выберите соединитель AD, для который вы записываете настраиваемое правило синхронизации.
- Тип подключенного системного объекта: пользователь
- Тип объекта Metaverse: Person
- Тип ссылки: присоединение
- Приоритет: укажите значение, уникальное в системе
- Тег: оставьте это пустым
На странице Scoping filter (Фильтр области) введите имя подразделения или группы безопасности, на которых должен быть основан пилотный проект. Чтобы отфильтровать по подразделению, добавьте часть, которая отвечает за название подразделения, в различающемся имени. Это правило будет применяться ко всем пользователям, которые относятся к этому подразделению. Таким образом, если различающееся имя завершается строкой "OU=CPUsers,DC=contoso,DC=com", вы добавите такой фильтр. Затем выберите Далее.
Правило Атрибут Оператор Значение Подразделение для определения области DN ENDSWITH Различающееся имя подразделения. Группа для определения области ISMEMBEROF Различающееся имя группы безопасности. На странице правил присоединения нажмите кнопку "Далее".
На странице Преобразования добавьте преобразование константы, чтобы значение True передавалось в атрибут cloudNoFlow. Выберите Добавить.
Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов). Повторите шаги для каждого настроенного соединителя AD или каждого леса AD.
Создание пользовательского правила для исходящего трафика пользователя
Кроме того, вам потребуется правило для исходящей синхронизации с типом ссылки JoinNoFlow и фильтром области с атрибутом cloudNoFlow, заданным значением True. Это правило сообщает Microsoft Entra Connect не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.
Выберите исходящий трафик из раскрывающегося списка для направления и нажмите кнопку "Добавить правило".
На странице "Описание" введите следующее и нажмите кнопку "Далее".
- Имя: присвойте правилу понятное имя
- Описание. Добавление понятного описания
- Подключенная система: выберите соединитель Microsoft Entra, который вы записываете настраиваемое правило синхронизации для
- Тип подключенного системного объекта: пользователь
- Тип объекта Metaverse: Person
- Тип ссылки: JoinNoFlow
- Приоритет: укажите значение, уникальное в системе
- Тег: оставьте это пустым
На странице Фильтр области выберите "cloudNoFlow равно true". Затем выберите Далее.
На странице правил присоединения нажмите кнопку "Далее".
На странице "Преобразования" нажмите кнопку "Добавить".
Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов).
Установка агента подготовки Microsoft Entra
Если вы используете учебник по базовой среде AD и Azure , это будет CP1. Чтобы установить агент, выполните следующие действия.
- В портал Azure выберите идентификатор Microsoft Entra.
- Слева выберите Microsoft Entra Connect.
- Слева выберите "Облачная синхронизация".
- Слева выберите агент.
- Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".
- После скачивания пакета агента подготовки Microsoft Entra Connect запустите файл установки AADConnectProvisioningAgentSetup.exe из папки загрузки.
Примечание.
При установке для использования облака для государственных организаций США:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".
- На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".
- После завершения операции установки мастер конфигурации запускается. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию.
- На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) или облачную синхронизацию Microsoft Entra Connect и нажмите кнопку "Далее".
Примечание.
Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).
- Войдите с учетной записью по крайней мере роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите расширенную безопасность Internet Explorer и перезапустите установку пакета агента подготовки Microsoft Entra Connect.
- На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA ", так как система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из следующих вариантов:
- Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
- Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.
Чтобы продолжить работу, щелкните Далее.
На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".
Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".
- На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.
На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.
После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".
- Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".
Проверка установки агента
Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.
Проверка агента на портале Azure
Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:
- Войдите на портал Azure.
- Выберите Microsoft Entra ID.
- Выберите Microsoft Entra Connect и выберите "Облачная синхронизация".
- На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.
На локальном сервере
Чтобы убедиться, что агент выполняется, сделайте следующее.
- Войдите на сервер, используя учетную запись администратора.
- Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
- В разделе "Службы" убедитесь, что microsoft Entra Connect Agent Updater и Microsoft Entra Connect Provisioning Agent присутствуют, а состояние выполняется.
Проверка версии агента подготовки
Чтобы проверить версию запущенного агента, выполните следующие действия.
- Перейдите к разделу "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
- Щелкните правой кнопкой мыши "AADConnectProvisioningAgent.exe" и выберите свойства.
- Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.
Настройка Microsoft Entra Cloud Sync
Чтобы настроить процесс подготовки, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
- Выберите Новая конфигурация.
- На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.
Откроется экран "Начало работы ".
На экране "Начало работы" щелкните значок "Добавить фильтры области" рядом с значком "Добавить фильтры области" или щелкните фильтры области слева в разделе "Управление".
- Выберите фильтр области. В этом руководстве выберите следующее:
- Выбранные подразделения: область конфигурации, применяемая к определенным подразделениям.
- В поле введите "OU=CPUsers,DC=contoso,DC=com".
- Нажмите кнопку Добавить. Нажмите кнопку Сохранить.
Запуск планировщика
Microsoft Entra Connect Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Теперь, когда вы изменили правила, можно перезапустить планировщик. Выполните указанные ниже действия.
- На сервере, на котором запущена синхронизация Microsoft Entra Connect, откройте PowerShell с правами администратора
- Запустите
Set-ADSyncScheduler -SyncCycleEnabled $true
. - Выполните
Start-ADSyncSyncCycle
, а затем нажмите клавишу ВВОД.
Примечание.
Если вы используете собственный настраиваемый планировщик для синхронизации Microsoft Entra Connect, включите планировщик.
После включения планировщика Microsoft Entra Connect перестанет экспортировать любые изменения объектов в cloudNoFlow=true
метавселенной, если только не обновляется любой ссылочный атрибут (например manager
, ). Если в объекте есть любое обновление ссылочного атрибута, Microsoft Entra Connect будет игнорировать cloudNoFlow
сигнал и экспортировать все обновления в объекте.
Возникла проблема
Если пилотный проект не работает должным образом, вы можете вернуться к настройке синхронизации Microsoft Entra Connect, выполнив следующие действия.
- Отключите конфигурацию подготовки на портале.
- С помощью редактора правил синхронизации отключите все настраиваемые правила синхронизации, созданные для подготовки облака. При таком отключении должна запуститься полная синхронизация для всех соединителей.