Importera och exportera Konfigurationsinställningar för Microsoft Entra Anslut

  • Artikel

Microsoft Entra-Anslut distributioner varierar från en expresslägesinstallation i en skog till komplexa distributioner som synkroniseras mellan flera skogar med hjälp av anpassade synkroniseringsregler. På grund av det stora antalet konfigurationsalternativ och mekanismer är det viktigt att förstå vilka inställningar som gäller och snabbt kunna distribuera en server med en identisk konfiguration. Den här funktionen introducerar möjligheten att katalogisera konfigurationen av en viss synkroniseringsserver och importera inställningarna till en ny distribution. Olika ögonblicksbilder av synkroniseringsinställningar kan jämföras för att enkelt visualisera skillnaderna mellan två servrar eller samma server över tid.

Varje gång konfigurationen ändras från guiden Microsoft Entra Anslut exporteras automatiskt en ny tidsstämplad JSON-inställningsfil till %ProgramData%\AAD Anslut. Filnamnet för inställningarna är av formatet Applied-SynchronizationPolicy-*. JSON, där den sista delen av filnamnet är en tidsstämpel.

Viktigt!

Endast ändringar som görs av Microsoft Entra Anslut exporteras automatiskt. Alla ändringar som görs med hjälp av PowerShell, Service Manager för synkronisering eller Redigeraren för synkroniseringsregler måste exporteras på begäran efter behov för att upprätthålla en uppdaterad kopia. Export på begäran kan också användas för att placera en kopia av inställningarna på en säker plats i haveriberedskapssyfte.

Kommentar

Det går inte att använda den här funktionen om Installationen av Microsoft Entra Anslut har ändrats för att inkludera G-SQL-anslutningsappen eller G-LDAP-anslutningsappen.

Kommentar

Den här funktionen kan inte kombineras med en befintlig ADSync-databas. Användningen av import-/exportkonfiguration och användning av befintlig databas är ömsesidigt uteslutande.

Exportera Microsoft Entra Anslut-inställningar

Om du vill visa en sammanfattning av konfigurationsinställningarna öppnar du verktyget Microsoft Entra Anslut och väljer den ytterligare uppgiften med namnet Visa eller Exportera aktuell konfiguration. En snabb sammanfattning av inställningarna visas tillsammans med möjligheten att exportera serverns fullständiga konfiguration.

Som standard exporteras inställningarna till %ProgramData%\AAD Anslut. Du kan också välja att spara inställningarna på en skyddad plats för att säkerställa tillgänglighet om en katastrof inträffar. Inställningar exporteras med hjälp av JSON-filformatet och bör inte skapas för hand eller redigeras för att säkerställa logisk konsekvens. Import av en handskapad eller redigerad fil stöds inte och kan leda till oväntade resultat.

Importera Inställningar för Microsoft Entra Anslut

Så här importerar du tidigare exporterade inställningar:

  1. Installera Microsoft Entra Anslut på en ny server.

  2. Välj alternativet Anpassa efter sidan Välkommen.

  3. Välj Importera synkroniseringsinställningar. Bläddra efter den tidigare exporterade JSON-inställningsfilen.

  4. Välj Installera.

    Skärmbild som visar skärmen Installera nödvändiga komponenter

Kommentar

Åsidosätt inställningar på den här sidan som användning av SQL Server i stället för LocalDB eller användning av ett befintligt tjänstkonto i stället för en standard-VSA. De här inställningarna importeras inte från konfigurationsinställningsfilen. De finns där i informations- och jämförelsesyfte.

Kommentar

Det går inte att ändra den exporterade JSON-filen för att ändra konfigurationen

Importera installationsupplevelse

Importinstallationsupplevelsen hålls avsiktligt enkel med minimala indata från användaren för att enkelt tillhandahålla reproducerbarhet för en befintlig server.

Här är de enda ändringar som kan göras under installationen. Alla andra ändringar kan göras efter installationen från guiden Microsoft Entra Anslut:

  • Microsoft Entra-autentiseringsuppgifter: Kontonamnet för den globala Azure-administratören som används för att konfigurera den ursprungliga servern föreslås som standard. Den måste ändras om du vill synkronisera information till en ny katalog.
  • Användarinloggning: Inloggningsalternativen som konfigurerats för den ursprungliga servern väljs som standard och uppmanas automatiskt att ange autentiseringsuppgifter eller annan information som behövs under konfigurationen. I sällsynta fall kan det finnas ett behov av att konfigurera en server med olika alternativ för att undvika att ändra beteendet för den aktiva servern. Annars väljer du Nästa för att använda samma inställningar.
  • Autentiseringsuppgifter för lokal katalog: För varje lokal katalog som ingår i synkroniseringsinställningarna måste du ange autentiseringsuppgifter för att skapa ett synkroniseringskonto eller ange ett fördefinierad anpassat synkroniseringskonto. Den här proceduren är identisk med den rena installationsupplevelsen med undantaget att du inte kan lägga till eller ta bort kataloger.
  • Konfigurationsalternativ: Precis som med en ren installation kan du välja att konfigurera de första inställningarna för om du vill starta automatisk synkronisering eller aktivera mellanlagringsläge. Den största skillnaden är att mellanlagringsläget är avsiktligt aktiverat som standard för att tillåta jämförelse av konfigurations- och synkroniseringsresultat innan resultatet aktivt exporteras till Azure.

Skärmbild som visar skärmen Anslut dina kataloger

Kommentar

Endast en synkroniseringsserver kan vara i den primära rollen och aktivt exportera konfigurationsändringar till Azure. Alla andra servrar måste placeras i mellanlagringsläge.

Migrera inställningar från en befintlig server

Om en befintlig server inte stöder inställningshantering kan du antingen välja att uppgradera servern på plats eller migrera inställningarna för användning på en ny mellanlagringsserver.

Migrering kräver att du kör ett PowerShell-skript som extraherar de befintliga inställningarna för användning i en ny installation. Använd den här metoden för att katalogisera inställningarna för din befintliga server och sedan tillämpa dem på en nyligen installerad mellanlagringsserver. Om du jämför inställningarna för den ursprungliga servern med en nyligen skapad server visualiseras snabbt ändringarna mellan servrarna. Följ som alltid organisationens certifieringsprocess för att säkerställa att ingen ytterligare konfiguration krävs.

Migreringsprocessen

Så här migrerar du inställningarna:

  1. Starta AzureAD Anslut.msi på den nya mellanlagringsservern och stanna vid välkomstsidan i Microsoft Entra Anslut.

  2. Kopiera Migrate Inställningar.ps1 från katalogen Microsoft Entra Anslut\Tools till en plats på den befintliga servern. Ett exempel är C:\setup, där installationen är en katalog som skapades på den befintliga servern.
    Skärmbild som visar Microsoft Entra Anslut kataloger.

    Kommentar

    Om du ser ett meddelande: "Det går inte att hitta en positionsparameter som accepterar argumentet True.", enligt nedan:

    Skärmbild av felRedigera sedan filen Migrate Inställningar.ps1 och ta bort $true och kör skriptet:Skärmbild för att redigera konfiguration

  3. Kör skriptet som visas här och spara hela serverkonfigurationskatalogen på nednivå. Kopiera den här katalogen till den nya mellanlagringsservern. Du måste kopiera hela mappen Exported-ServerConfiguration-* till den nya servern. Skärmbild som visar skript i PowerShell.Skärmbild som visar kopiering av mappen Exported-ServerConfiguration-*.

  4. Starta Microsoft Entra Anslut genom att dubbelklicka på ikonen på skrivbordet. Godkänn Licensvillkoren för Microsoft-programvara och välj Anpassa på nästa sida.

  5. Markera kryssrutan Importera synkroniseringsinställningar . Välj Bläddra för att bläddra i mappen kopierad över exporterad serverkonfiguration*. Välj MigratedPolicy.json för att importera de migrerade inställningarna.

    Skärmbild som visar alternativet Importera synkroniseringsinställningar.

Verifiering efter installationen

Att jämföra den ursprungligen importerade inställningsfilen med den exporterade inställningsfilen för den nyligen distribuerade servern är ett viktigt steg för att förstå eventuella skillnader mellan den avsedda och den resulterande distributionen. Om du använder ditt favoritprogram för textjämförelse sida vid sida får du en omedelbar visualisering som snabbt markerar önskade eller oavsiktliga ändringar.

Även om många tidigare manuella konfigurationssteg nu har eliminerats bör du fortfarande följa organisationens certifieringsprocess för att säkerställa att ingen ytterligare konfiguration krävs. Den här konfigurationen kan inträffa om du använder avancerade inställningar, som för närvarande inte samlas in i den här versionen av inställningshantering.

Här är kända begränsningar:

  • Synkroniseringsregler: Prioriteten för en anpassad regel måste ligga i det reserverade intervallet 0 till 99 för att undvika konflikter med Microsofts standardregler. Om du placerar en anpassad regel utanför det reserverade intervallet kan det leda till att din anpassade regel flyttas runt när standardregler läggs till i konfigurationen. Ett liknande problem uppstår om konfigurationen innehåller ändrade standardregler. Det rekommenderas inte att ändra en standardregel och regelplaceringen är sannolikt felaktig.
  • Tillbakaskrivning av enhet: De här inställningarna är katalogiserade. De tillämpas för närvarande inte under konfigurationen. Om tillbakaskrivning av enhet har aktiverats för den ursprungliga servern måste du manuellt konfigurera funktionen på den nyligen distribuerade servern.
  • Synkroniserade objekttyper: Även om det är möjligt att begränsa listan över synkroniserade objekttyper (till exempel användare, kontakter och grupper) med hjälp av Synkroniseringstjänsthanteraren stöds inte den här funktionen för närvarande via synkroniseringsinställningar. När du har slutfört installationen måste du manuellt använda den avancerade konfigurationen igen.
  • Anpassade körningsprofiler: Även om det är möjligt att ändra standarduppsättningen för körningsprofiler med hjälp av Service Manager för synkronisering stöds inte den här funktionen för närvarande via synkroniseringsinställningar. När du har slutfört installationen måste du manuellt använda den avancerade konfigurationen igen.
  • Konfigurera etableringshierarkin: Den här avancerade funktionen i Synkroniseringstjänsthanteraren stöds inte via synkroniseringsinställningar. Den måste konfigureras om manuellt när du har slutfört den första distributionen.
  • Active Directory Federation Services (AD FS) (AD FS) och PingFederate-autentisering: Inloggningsmetoderna som är associerade med dessa autentiseringsfunktioner är automatiskt förvalda. Du måste interaktivt ange alla andra nödvändiga konfigurationsparametrar.
  • En inaktiverad anpassad synkroniseringsregel importeras som aktiverad: En inaktiverad anpassad synkroniseringsregel importeras som aktiverad. Se till att inaktivera den på den nya servern också.

Nästa steg