Share via

Migrera till Microsoft Entra Cloud Sync för en befintlig synkroniserad AD-skog

  • Artikel

Den här självstudien beskriver hur du migrerar till molnsynkronisering för en test-Active Directory-skog som redan har synkroniserats med Microsoft Entra Anslut Sync.

Kommentar

Den här artikeln innehåller information om en grundläggande migrering och du bör läsa dokumentationen migrera till molnsynkronisering innan du försöker migrera produktionsmiljön.

Diagram som visar Microsoft Entra Cloud Sync-flödet.

Att tänka på

Innan du provar den här självstudien bör du tänka på följande:

  1. Se till att du är bekant med grunderna i molnsynkronisering.

  2. Kontrollera att du kör Microsoft Entra Anslut Sync version 1.4.32.0 eller senare och har konfigurerat synkroniseringsreglerna som dokumenterade.

  3. När du pilottestar tar du bort en testenhet eller grupp från Microsoft Entra Anslut Sync-omfång. Att flytta objekt utanför omfånget leder till borttagning av dessa objekt i Microsoft Entra-ID.

    • Användarobjekt, objekten i Microsoft Entra-ID är mjukt borttagna och kan återställas.
    • Gruppobjekt, objekten i Microsoft Entra-ID är hårt borttagna och kan inte återställas.

    En ny länktyp har introducerats i Microsoft Entra Anslut Sync, vilket förhindrar borttagning i ett pilotscenario.

  4. Se till att objekten i pilotomfånget har ms-ds-consistencyGUID ifyllt så att molnsynkronisering matchar objekten.

Kommentar

Microsoft Entra Anslut Sync fyller inte i ms-ds-consistencyGUID som standard för gruppobjekt.

  1. Den här konfigurationen är avsedd för avancerade scenarier. Se till att du följer de steg som beskrivs i den här självstudien exakt.

Förutsättningar

Följande är förutsättningar som krävs för den här självstudien

  • En testmiljö med Microsoft Entra Anslut Sync version 1.4.32.0 eller senare
  • En organisationsenhet eller grupp som är synkroniserad och kan användas som pilot. Vi rekommenderar att du börjar med en liten uppsättning objekt.
  • En server som kör Windows Server 2016 eller senare som ska vara värd för etableringsagenten.
  • Källankare för Microsoft Entra Anslut Sync ska vara antingen objectGuid eller ms-ds-consistencyGUID

Uppdatera Microsoft Entra-Anslut

Du bör minst ha Microsoft Entra Anslut 1.4.32.0. Om du vill uppdatera Microsoft Entra Anslut Sync slutför du stegen i Microsoft Entra Anslut: Uppgradera till den senaste versionen.

Säkerhetskopiera din Microsoft Entra Anslut-konfiguration

Innan du gör några ändringar bör du säkerhetskopiera din Microsoft Entra-Anslut konfiguration. På så sätt kan du återställa till din tidigare konfiguration. Mer information finns i Importera och exportera Microsoft Entra Anslut konfigurationsinställningar.

Stoppa schemaläggaren

Microsoft Entra Anslut Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Om du vill ändra och lägga till anpassade regler vill du inaktivera schemaläggaren så att synkroniseringar inte körs när du arbetar med att göra ändringarna. Om du vill stoppa schemaläggaren använder du följande steg:

  1. På servern som kör Microsoft Entra Anslut Sync öppnar du PowerShell med administratörsbehörighet.
  2. Kör Stop-ADSyncSyncCycle. Tryck på Retur.
  3. Kör Set-ADSyncScheduler -SyncCycleEnabled $false.

Kommentar

Om du kör en egen anpassad schemaläggare för Microsoft Entra Anslut Sync inaktiverar du schemaläggaren.

Skapa en regel för inkommande användare

I redigeraren Microsoft Entra Anslut Synchronization Rules måste du skapa en regel för inkommande synkronisering som filtrerar bort användare i den organisationsenhet som du identifierade tidigare. Regeln för inkommande synkronisering är en kopplingsregel med ett målattribut för cloudNoFlow. Den här regeln instruerar Microsoft Entra Anslut att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.

  1. Starta synkroniseringsredigeraren från programmenyn på skrivbordet enligt nedan:

    Skärmbild av menyn för synkroniseringsregelredigeraren.

  2. Välj Inkommande i listrutan för Riktning och välj Lägg till ny regel.

    Skärmbild som visar fönstret

  3. På sidan Beskrivning anger du följande och väljer Nästa:

    • Namn: Ge regeln ett beskrivande namn
    • Beskrivning: Lägg till en beskrivande beskrivning
    • Anslut system: Välj den AD-anslutningsapp som du skriver den anpassade synkroniseringsregeln för
    • Anslut systemobjekttyp: Användaren
    • Metaversumobjekttyp: Person
    • Länktyp: Anslut
    • Prioritet: Ange ett värde som är unikt i systemet
    • Tagg: Lämna det här tomt

    Skärmbild som visar sidan

  4. På sidan Omfångsfilter anger du den organisationsenhet eller säkerhetsgrupp som du vill att piloten ska vara baserad på. Om du vill filtrera på organisationsenhet lägger du till OU-delen av det unika namnet. Den här regeln tillämpas på alla användare som finns i den organisationsenheten. Om DN slutar med "OU=CPUsers,DC=contoso,DC=com, lägger du till det här filtret. Välj sedan Nästa.

    Regel Attribut Operator Värde
    Omfångs-OU DN ENDSWITH Unikt namn på organisationsenheten.
    Omfångsgrupp ISMEMBEROF Unikt namn på säkerhetsgruppen.

    Skärmbild som visar sidan Skapa inkommande synkroniseringsregel – Omfångsfilter med ett omfångsfiltervärde angivet.

  5. På sidan Kopplingsregler väljer du Nästa.

  6. På sidan Transformationer lägger du till en Konstant transformering: flöde Sant till cloudNoFlow-attribut. Markera Lägga till.

    Skärmbild som visar sidan Skapa inkommande synkroniseringsregel – Transformeringar med ett konstant transformeringsflöde tillagt.

Samma steg måste följas för alla objekttyper (användare, grupp och kontakt). Upprepa steg per konfigurerad AD-Anslut eller/per AD-skog.

Skapa utgående regel för anpassad användare

Du behöver också en regel för utgående synkronisering med länktypen JoinNoFlow och omfångsfiltret som har attributet cloudNoFlow inställt på Sant. Den här regeln instruerar Microsoft Entra Anslut att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.

  1. Välj Utgående från listrutan för Riktning och välj Lägg till regel.

    Skärmbild som visar den valda utgående riktningen och knappen Lägg till ny regel markerad.

  2. På sidan Beskrivning anger du följande och väljer Nästa:

    • Namn: Ge regeln ett beskrivande namn
    • Beskrivning: Lägg till en beskrivande beskrivning
    • Anslut system: Välj den Microsoft Entra-anslutning som du skriver den anpassade synkroniseringsregeln för
    • Anslut systemobjekttyp: Användaren
    • Metaversumobjekttyp: Person
    • Länktyp: JoinNoFlow
    • Prioritet: Ange ett värde som är unikt i systemet
    • Tagg: Lämna det här tomt

    Skärmbild som visar sidan Beskrivning med angivna egenskaper.

  3. På sidan Omfångsfilter väljer du cloudNoFlow lika med Sant. Välj sedan Nästa.

    Skärmbild som visar en anpassad regel.

  4. På sidan Kopplingsregler väljer du Nästa.

  5. På sidan Transformeringar väljer du Lägg till.

Samma steg måste följas för alla objekttyper (användare, grupp och kontakt).

Installera Microsoft Entra-etableringsagenten

Om du använder självstudien Grundläggande AD och Azure-miljö skulle det vara CP1. Följ dessa steg för att installera agenten:

  1. I Azure-portalen väljer du Microsoft Entra-ID.
  2. Välj Microsoft Entra Anslut till vänster.
  3. Till vänster väljer du Molnsynkronisering.

Skärmbild av den nya UX-skärmen.

  1. Till vänster väljer du Agent.
  2. Välj Ladda ned lokal agent och välj Acceptera villkor och ladda ned.

Skärmbild av nedladdningsagenten.

  1. När Microsoft Entra Anslut Provisioning Agent Package har laddats ned kör du installationsfilen AAD Anslut ProvisioningAgentSetup.exe från mappen för nedladdningar.

Kommentar

När du installerar för US Government Cloud-användning:
AAD Anslut ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Mer information finns i "Installera en agent i det amerikanska myndighetsmolnet".

  1. På välkomstskärmen väljer du Jag godkänner licensen och villkoren och väljer sedan Installera.

Skärmbild som visar välkomstskärmen för Microsoft Entra Anslut Provisioning Agent Package.

  1. När installationen är klar startas konfigurationsguiden. Välj Nästa för att starta konfigurationen. Skärmbild av välkomstskärmen.
  2. På skärmen Välj tillägg väljer du HR-driven etablering (Workday och SuccessFactors)/Microsoft Entra Anslut molnsynkronisering och väljer Nästa. Skärmbild av skärmen välj tillägg.

Kommentar

Om du installerar etableringsagenten för användning med lokal appetablering väljer du Lokal programetablering (Microsoft Entra-ID till program).

  1. Logga in med ett konto med minst rollen Hybrididentitetsadministratör . Om du har utökad säkerhet i Internet Explorer blockeras inloggningen. I så fall stänger du installationen, inaktiverar Förbättrad säkerhet i Internet Explorer och startar om installationen av Microsoft Entra Anslut Provisioning Agent Package.

Skärmbild av skärmen Anslut Microsoft Entra-ID.

  1. På skärmen Konfigurera tjänstkonto väljer du ett grupphanterat tjänstkonto (gMSA). Det här kontot används för att köra agenttjänsten. Om ett hanterat tjänstkonto redan har konfigurerats i domänen av en annan agent och du installerar en andra agent väljer du Skapa gMSA eftersom systemet identifierar det befintliga kontot och lägger till de behörigheter som krävs för att den nya agenten ska kunna använda gMSA-kontot. När du uppmanas till det väljer du något av följande:
  • Skapa gMSA som gör att agenten kan skapa det hanterade tjänstkontot provAgentgMSA$ åt dig. Det grupphanterade tjänstkontot (till exempel CONTOSO\provAgentgMSA$) skapas i samma Active Directory-domän där värdservern har anslutits. Om du vill använda det här alternativet anger du autentiseringsuppgifterna för Active Directory-domänadministratören (rekommenderas).
  • Använd anpassad gMSA och ange namnet på det hanterade tjänstkonto som du har skapat manuellt för den här uppgiften.

Välj Nästa för att fortsätta.

Skärmbild av skärmen Konfigurera tjänstkonto.

  1. På skärmen Anslut Active Directory går du vidare till nästa steg om domännamnet visas under Konfigurerade domäner. Annars skriver du ditt Active Directory-domännamn och väljer Lägg till katalog.

  2. Logga in med ditt Active Directory-domänadministratörskonto. Domänadministratörskontot bör inte ha ett lösenord som har upphört att gälla. Om lösenordet har upphört att gälla eller ändras under agentinstallationen måste du konfigurera om agenten med de nya autentiseringsuppgifterna. Den här åtgärden lägger till din lokala katalog. Välj OK och sedan Nästa för att fortsätta.

Skärmbild som visar hur du anger autentiseringsuppgifterna för domänadministratören.

  1. Följande skärmbild visar ett exempel på contoso.com konfigurerad domän. Klicka på Nästa när du vill fortsätta.

Skärmbild av skärmen Anslut Active Directory.

  1. På skärmen Konfigurationen är klar väljer du Bekräfta. Den här åtgärden registrerar och startar om agenten.

  2. När den här åtgärden har slutförts bör du få ett meddelande om att agentkonfigurationen har verifierats. Du kan välja Avsluta.

Skärmbild som visar slutskärmen.

  1. Om du fortfarande får den första välkomstskärmen väljer du Stäng.

Verifiera agentinstallation

Agentverifiering sker i Azure-portalen och på den lokala server som kör agenten.

Verifiering av Azure-portalagent

Så här kontrollerar du att agenten registreras av Microsoft Entra-ID:

  1. Logga in på Azure-portalen.
  2. Välj Microsoft Entra ID.
  3. Välj Microsoft Entra Anslut och välj sedan Molnsynkronisering.Skärmbild av den nya UX-skärmen.
  4. På sidan för molnsynkronisering visas de agenter som du har installerat. Kontrollera att agenten visas och att statusen är felfri.

På den lokala servern

Följ dessa steg för att kontrollera att agenten körs:

  1. Logga in på servern med ett administratörskonto.
  2. Öppna tjänster antingen genom att navigera till den eller genom att gå till Start/Run/Services.msc.
  3. Under Tjänster kontrollerar du att Microsoft Entra Anslut Agent Updater och Microsoft Entra Anslut Provisioning Agent finns och att statusen körs. Skärmbild som visar Windows-tjänsterna.

Verifiera etableringsagentversionen

Följ dessa steg för att kontrollera att den version av agenten som körs:

  1. Gå till "C:\Program Files\Microsoft Azure AD Anslut Provisioning Agent"
  2. Högerklicka på AAD Anslut ProvisioningAgent.exe och välj egenskaper.
  3. Klicka på informationsfliken så visas versionsnumret bredvid Produktversion.

Konfigurera Microsoft Entra Cloud Sync

Använd följande steg för att konfigurera etablering:

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybridadministratör.
  2. Bläddra till Identity>Hybrid Management>Microsoft Entra Anslut> Cloud-synkronisering.Skärmbild av startsidan för molnsynkronisering.
  1. Välj Ny konfiguration. Skärmbild av att lägga till en konfiguration.
  2. På konfigurationsskärmen väljer du din domän och om du vill aktivera synkronisering av lösenordshash. Klicka på Skapa.

Skärmbild av en ny konfiguration.

  1. Skärmen Kom igång öppnas.

  2. På skärmen Kom igång klickar du antingen på Lägg till omfångsfilter bredvid ikonen Lägg till omfångsfilter eller klickar på Omfångsfilter till vänster under Hantera.

Skärmbild av omfångsfilter.

  1. Välj omfångsfiltret. I den här självstudien väljer du:
    • Valda organisationsenheter: Omfång för konfigurationen som ska tillämpas på specifika organisationsenheter.
  2. I rutan anger du "OU=CPUsers,DC=contoso,DC=com".

Skärmbild av omfångsfiltret.

  1. Klicka på Lägg till. Klicka på Spara.

Starta schemaläggaren

Microsoft Entra Anslut Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Nu när du har ändrat reglerna kan du starta om schemaläggaren. Gör så här:

  1. På servern som kör Microsoft Entra Anslut Sync öppnar du PowerShell med administratörsbehörighet
  2. Kör Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Kör Start-ADSyncSyncCycleoch tryck sedan på Retur.

Kommentar

Om du kör en egen anpassad schemaläggare för Microsoft Entra Anslut Sync aktiverar du schemaläggaren.

När schemaläggaren är aktiverad slutar Microsoft Entra Anslut exportera ändringar på objekt med cloudNoFlow=true i metaversum, såvida inte något referensattribut (till exempel manager) uppdateras. Om det finns någon uppdatering av referensattributet på objektet ignorerar Microsoft Entra Anslut signalen cloudNoFlow och exporterar alla uppdateringar på objektet.

Något gick fel

Om piloten inte fungerar som förväntat kan du gå tillbaka till Microsoft Entra Anslut Sync-konfigurationen genom att följa stegen nedan:

  1. Inaktivera etableringskonfigurationen i portalen.
  2. Inaktivera alla anpassade synkroniseringsregler som skapats för molnetablering med verktyget Redigeraren för synkroniseringsregel. Inaktivering bör orsaka fullständig synkronisering av alla anslutningsappar.

Nästa steg