Миграция в Microsoft Entra Cloud Sync для существующего синхронизированного леса AD
В этом руководстве описано, как выполнить миграцию в облачную синхронизацию для тестового леса Active Directory, который уже синхронизирован с помощью Microsoft Entra Подключение Sync.
Примечание.
В этой статье содержатся сведения о базовой миграции и перед попыткой миграции рабочей среды ознакомьтесь с документацией по миграции в облако .
Рекомендации
Прежде чем начать работу с этим руководством, примите во внимание следующее:
Вы должны быть знакомы с основами синхронизации облачных сред.
Убедитесь, что вы используете Microsoft Entra Подключение Sync версии 1.4.32.0 или более поздней и настроили правила синхронизации как документированные.
При пилотном тестировании вы удалив тестовую подразделение или группу из Microsoft Entra Подключение Sync область. Перемещение объектов из область приводит к удалению этих объектов в идентификаторе Microsoft Entra.
- Пользовательские объекты, объекты в идентификаторе Microsoft Entra удаляются обратимо и могут быть восстановлены.
- Объекты группы, объекты в идентификаторе Microsoft Entra жестко удалены и не могут быть восстановлены.
В Microsoft Entra Подключение Sync появился новый тип ссылки, который предотвратит удаление в сценарии пилотного развертывания.
Убедитесь, что для объектов в области пилотного развертывания заполнен параметр ms-ds-consistencyGUID, чтобы при синхронизации облачных служб выполнялось строгое сопоставление этих объектов.
Примечание.
Microsoft Entra Подключение Sync не заполняет ms-ds-consistencyGUID по умолчанию для объектов групп.
- Эта конфигурация предназначена для расширенных сценариев. Следите за тем, чтобы в точности выполнять действия, описанные в этом учебнике.
Необходимые компоненты
Для работы с этим учебником требуется следующее:
- Тестовая среда с Microsoft Entra Подключение Sync версии 1.4.32.0 или более поздней
- Подразделение или группа, которые находятся в области синхронизации и могут использоваться в пилотной среде. Мы советуем начинать с небольшого набора объектов.
- Сервер под управлением Windows Server 2016 или более поздней версии, на котором будет размещен агент подготовки.
- Привязка источника для Microsoft Entra Подключение Sync должна быть objectGuid или ms-ds-consistencyGUID
Обновление Подключение Microsoft Entra
Как минимум, у вас должна быть microsoft Entra Подключение 1.4.32.0. Чтобы обновить Microsoft Entra Подключение Sync, выполните действия, описанные в microsoft Entra Подключение: обновление до последней версии.
Резервное копирование конфигурации Microsoft Entra Подключение
Перед внесением изменений необходимо создать резервную копию конфигурации Microsoft Entra Подключение. Таким образом можно выполнить откат к предыдущей конфигурации. Дополнительные сведения см. в разделе "Импорт и экспорт параметров конфигурации Microsoft Entra Подключение".
Остановка планировщика
Microsoft Entra Подключение Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Чтобы изменить и добавить настраиваемые правила, необходимо отключить планировщик, чтобы синхронизации не выполнялись во время выполнения изменений. Чтобы остановить планировщик, выполните следующие действия.
- На сервере, на котором запущена синхронизация Microsoft Entra Подключение, откройте PowerShell с Администратор устойчивыми привилегиями.
- Запустите
Stop-ADSyncSyncCycle
. Нажмите клавишу ВВОД. - Запустите
Set-ADSyncScheduler -SyncCycleEnabled $false
.
Примечание.
Если вы используете собственный настраиваемый планировщик для Microsoft Entra Подключение Sync, отключите планировщик.
Создание пользовательского правила для входящего трафика пользователя
В редакторе правил синхронизации Microsoft Entra Подключение необходимо создать правило входящего синхронизации, которое фильтрует пользователей в подразделении, которое вы определили ранее. Правило входящего синхронизации — это правило соединения с целевым атрибутом cloudNoFlow. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.
Запустите редактор синхронизации из меню приложений на рабочем столе, как показано ниже:
Выберите входящий трафик из раскрывающегося списка для направления и выберите "Добавить новое правило".
На странице "Описание" введите следующее и нажмите кнопку "Далее".
- Имя: присвойте правилу понятное имя
- Описание. Добавление понятного описания
- Подключение система: Выберите соединитель AD, для который вы пишете настраиваемое правило синхронизации.
- Подключение тип системного объекта: Пользователя
- Тип объекта Metaverse: Person
- Тип ссылки: присоединение
- Приоритет: укажите значение, уникальное в системе
- Тег: оставьте это пустым
На странице Scoping filter (Фильтр области) введите имя подразделения или группы безопасности, на которых должен быть основан пилотный проект. Чтобы отфильтровать по подразделению, добавьте часть, которая отвечает за название подразделения, в различающемся имени. Это правило будет применяться ко всем пользователям, которые относятся к этому подразделению. Таким образом, если различающееся имя завершается строкой "OU=CPUsers,DC=contoso,DC=com", вы добавите такой фильтр. Затем выберите Далее.
Правило Атрибут Оператор Значение Подразделение для определения области DN ENDSWITH Различающееся имя подразделения. Группа для определения области ISMEMBEROF Различающееся имя группы безопасности. На странице правил присоединения нажмите кнопку "Далее".
На странице Преобразования добавьте преобразование константы, чтобы значение True передавалось в атрибут cloudNoFlow. Выберите Добавить.
Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов). Повторите шаги для каждого настроенного соединителя AD или каждого леса AD.
Создание пользовательского правила для исходящего трафика пользователя
Кроме того, вам потребуется правило для исходящей синхронизации с типом ссылки JoinNoFlow и фильтром области с атрибутом cloudNoFlow, заданным значением True. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.
Выберите исходящий трафик из раскрывающегося списка для направления и нажмите кнопку "Добавить правило".
На странице "Описание" введите следующее и нажмите кнопку "Далее".
- Имя: присвойте правилу понятное имя
- Описание. Добавление понятного описания
- Подключение система: Выберите соединитель Microsoft Entra, который вы пишете настраиваемое правило синхронизации для
- Подключение тип системного объекта: Пользователя
- Тип объекта Metaverse: Person
- Тип ссылки: JoinNoFlow
- Приоритет: укажите значение, уникальное в системе
- Тег: оставьте это пустым
На странице Фильтр области выберите "cloudNoFlow равно true". Затем выберите Далее.
На странице правил присоединения нажмите кнопку "Далее".
На странице "Преобразования" нажмите кнопку "Добавить".
Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов).
Установка агента подготовки Microsoft Entra
Если вы используете учебник по базовой среде AD и Azure , это будет CP1. Чтобы установить агент, выполните следующие действия.
- В портал Azure выберите идентификатор Microsoft Entra.
- Слева выберите Microsoft Entra Подключение.
- Слева выберите "Облачная синхронизация".
- Слева выберите агент.
- Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".
- После скачивания пакета агента подготовки Microsoft Entra Подключение запустите файл установки AAD Подключение ProvisioningAgentSetup.exe из папки загрузки.
Примечание.
При установке для использования облака для государственных организаций США:
AAD Подключение ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".
- На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".
- После завершения операции установки мастер конфигурации запускается. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию.
- На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) / Microsoft Entra Подключение облачную синхронизацию и нажмите кнопку "Далее".
Примечание.
Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).
- Войдите с помощью учетной записи по крайней мере роль гибридного удостоверения Администратор istrator. Если у вас есть интернет-Обозреватель включена расширенная безопасность, он блокирует вход. Если это так, закройте установку, отключите интернет-Обозреватель расширенную безопасность и перезапустите установку пакета агента подготовки Microsoft Entra Подключение.
- На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA ", так как система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из следующих вариантов:
- Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
- Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.
Чтобы продолжить работу, щелкните Далее.
На экране Подключение Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".
Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".
- На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.
На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.
После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".
- Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".
Проверка установки агента
Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.
Проверка агента на портале Azure
Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:
- Войдите на портал Azure.
- Выберите Microsoft Entra ID.
- Выберите microsoft Entra Подключение, а затем выберите "Облачная синхронизация".
- На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.
На локальном сервере
Чтобы убедиться, что агент выполняется, сделайте следующее.
- Войдите на сервер, используя учетную запись администратора.
- Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
- В разделе "Службы" убедитесь, что Microsoft Entra Подключение Agent Updater и Microsoft Entra Подключение Provisioning Agent присутствуют, а состояние выполняется.
Проверка версии агента подготовки
Чтобы убедиться, что версия агента запущена, выполните следующие действия.
- Перейдите к разделу "C:\Program Files\Microsoft Azure AD Подключение агент подготовки"
- Щелкните правой кнопкой мыши элемент AAD Подключение ProvisioningAgent.exe и выберите свойства.
- Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.
Настройка Microsoft Entra Cloud Sync
Чтобы настроить процесс подготовки, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный Администратор istrator.
- Перейдите к синхронизации Microsoft Entra для гибридного управления удостоверениями>>Подключение> Cloud.
- Выберите Новая конфигурация.
- На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.
Откроется экран "Начало работы ".
На экране "Начало работы" щелкните значок "Добавить фильтры области" рядом с значком "Добавить фильтры области" или щелкните фильтры области слева в разделе "Управление".
- Выберите фильтр области. В этом руководстве выберите следующее:
- Выбранные подразделения: область конфигурации, применяемая к определенным подразделениям.
- В поле введите "OU=CPUsers,DC=contoso,DC=com".
- Нажмите кнопку Добавить. Нажмите кнопку Сохранить.
Запуск планировщика
Microsoft Entra Подключение Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Теперь, когда вы изменили правила, можно перезапустить планировщик. Выполните указанные ниже действия.
- На сервере, на котором запущена синхронизация Microsoft Entra Подключение, откройте PowerShell с правами Администратор istrative
- Запустите
Set-ADSyncScheduler -SyncCycleEnabled $true
. - Выполните
Start-ADSyncSyncCycle
, а затем нажмите клавишу ВВОД.
Примечание.
Если вы используете собственный настраиваемый планировщик для Microsoft Entra Подключение Sync, включите планировщик.
После включения планировщика Microsoft Entra Подключение перестанет экспортировать изменения объектов с cloudNoFlow=true
метавселенной, если не обновляется любой ссылочный атрибут (напримерmanager
, ). Если в объекте есть любое обновление ссылочного атрибута, Microsoft Entra Подключение будет игнорировать cloudNoFlow
сигнал и экспортировать все обновления в объект.
Возникла проблема
Если пилотный проект не работает должным образом, вы можете вернуться к настройке синхронизации Microsoft Entra Подключение, выполнив следующие действия.
- Отключите конфигурацию подготовки на портале.
- С помощью редактора правил синхронизации отключите все настраиваемые правила синхронизации, созданные для подготовки облака. При таком отключении должна запуститься полная синхронизация для всех соединителей.
Следующие шаги
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по