Självstudie: Migrera Okta-synkroniseringsetablering till Microsoft Entra Connect-synkronisering

I den här handledningen lär du dig att migrera användarprovisionering från Okta till Microsoft Entra ID och migrera användarsynkronisering eller universell synkronisering till Microsoft Entra Connect. Den här funktionen möjliggör etablering i Microsoft Entra-ID och Office 365.

Kommentar

När du migrerar synkroniseringsplattformar validerar du stegen i den här artikeln mot din miljö innan du tar bort Microsoft Entra Connect från mellanlagringsläget eller aktiverar Microsoft Entra-molnetableringsagenten.

Förutsättningar

När du växlar från Okta-etablering till Microsoft Entra-ID finns det två alternativ. Använd en Microsoft Entra Connect-server eller Microsoft Entra-molnetablering.

Läs mer: Jämförelse mellan Microsoft Entra Connect och molnsynkronisering.

Microsoft Entra-molnetablering är den mest välbekanta migreringsvägen för Okta-kunder som använder Universal Sync eller Användarsynkronisering. Molnetableringsagenterna är enkla. Du kan installera dem på eller nära domänkontrollanter som Okta-katalogsynkroniseringsagenter. Installera dem inte på samma server.

När du synkroniserar användare använder du en Microsoft Entra Connect-server om din organisation behöver någon av följande tekniker:

• Enhetssynkronisering: Microsoft Entra-hybridanslutning eller Hello för företag
• Direktautentisering
• Stöd för fler än 150 000 objekt
• Stöd för tillbakaskrivning

Om du vill använda Microsoft Entra Connect måste du logga in med rollen Hybrididentitetsadministratör.

Kommentar

Ta hänsyn till alla krav när du installerar Microsoft Entra Connect eller Microsoft Entra-molnetablering. Innan du fortsätter med installationen kan du läsa Krav för Microsoft Entra Connect.

Bekräfta attributet ImmutableID som synkroniserats av Okta

Attributet ImmutableID kopplar synkroniserade objekt till deras lokala motsvarigheter. Okta tar Active Directory objectGUID för ett lokalt objekt och konverterar det till en Base-64-kodad sträng. Som standardinställning stämplar den sedan strängen till fältet ImmutableID i Microsoft Entra ID.

Du kan ansluta till Microsoft Graph PowerShell och undersöka det aktuella ImmutableID-värdet. Om du inte har använt Microsoft Graph PowerShell-modulen kör du:

Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force i en administrativ session innan du kör följande kommandon:

Connect-MgGraph

Om du har modulen kan en varning visas som uppmanar dig att uppdatera till den senaste versionen.

1. Importera den installerade modulen.

2. I autentiseringsfönstret loggar du in som minst en hybrididentitetsadministratör.

3. Anslut till klientorganisationen.

4. Kontrollera värdeinställningarna för ImmutableID. Följande exempel är standardvärdet för att konvertera objectGUID till ImmutableID.

5. Bekräfta konverteringen manuellt från objectGUID till Base64 lokalt. Om du vill testa ett enskilt värde använder du följande kommandon:

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

Massvalideringsmetoder för ObjectGUID

Innan du flyttar till Microsoft Entra Connect är det viktigt att verifiera att ImmutableID-värdena i Microsoft Entra-ID:t matchar deras lokala värden.

Följande kommando hämtar lokala Microsoft Entra-användare och exporterar en lista över deras objectGUID-värden och ImmutableID-värden som redan har beräknats till en CSV-fil.

1. Kör följande kommando i Microsoft Graph PowerShell på en lokal domänkontrollant:

   Get-ADUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. Kör följande kommando i en Microsoft Graph PowerShell-session för att visa en lista över synkroniserade värden:

   Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
   "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
   Expression = {
   [GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
   ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv
   

3. Efter båda exporterna bekräftar du att användarens ImmutableID-värden matchar.

   Viktigt!

   Om dina ImmutableID-värden i molnet inte matchar objectGUID-värden har du ändrat standardvärdena för Okta-synkronisering. Du har förmodligen valt ett annat attribut för att fastställa ImmutableID-värden. Innan du går till nästa avsnitt ska du identifiera vilket källattribut som fyller i ImmutableID-värden. Innan du inaktiverar Okta-synkronisering uppdaterar du attributet som Okta synkroniserar.

Installera Microsoft Entra Connect i mellanlagringsläge

När du har förberett listan över käll- och målmål installerar du en Microsoft Entra Connect-server. Om du använder Microsoft Entra Connect-molnetablering hoppar du över det här avsnittet.

1. Ladda ned och installera Microsoft Entra Connect på en server. Se: Anpassad installation av Microsoft Entra Connect.

2. I den vänstra panelen väljer du Identifiera användare.

3. På sidan Unikt identifiera dina användare går du till Välj hur användare ska identifieras med Microsoft Entra-ID och väljer Välj ett specifikt attribut.

4. Om du inte har modifierat Okta-standardvärdet väljer du mS-DS-ConsistencyGUID.

   Varning

   Det här steget är kritiskt. Se till att det attribut du väljer för en källankare tilldelar dina Microsoft Entra-användare. Om du väljer fel attribut avinstallerar och installerar du om Microsoft Entra Connect för att markera det här alternativet igen.

5. Välj Nästa.

6. Välj Konfigurera i den vänstra panelen.

7. På sidan Redo att konfigurera väljer du Aktivera mellanlagringsläge.

8. Välj Installera.

9. Kontrollera att ImmutableID-värdena matchar.

10. När konfigurationen är klar väljer du Avsluta.

11. Öppna Synkroniseringstjänsten som administratör.

12. Leta reda på den fullständiga synkroniseringen till domain.onmicrosoft.com kopplingsutrymme.

13. Bekräfta att det under fliken Anslutningsappar med flödesuppdateringar finns användare.

14. Kontrollera att det inte finns några väntande borttagningar i exporten.

15. Välj fliken Anslutningsappar .

16. Markera domänen domain.onmicrosoft.com i anslutningsutrymmet.

17. Välj Sökanslutningsutrymme.

18. I dialogrutan Sökanslutningsutrymme går du till Omfång och väljer Väntar på export.

19. Välj Ta bort.

20. Välj Sök. Om alla objekt överensstämmer perfekt visas inga matchande poster för Borttagningar.

21. Registrera objekt som väntar på borttagning och deras lokala värden.

22. RensaTa bort.

23. Markera Lägga till.

24. Välj Ändra.

25. Välj Sök.

26. Uppdateringsfunktioner visas för användare som synkroniseras till Microsoft Entra-ID via Okta. Lägg till nya objekt som Okta inte synkroniserar, vilka finns i den organisationsenhetsstruktur (OU) som valdes under installationen av Microsoft Entra Connect.

27. Om du vill se vad Microsoft Entra Connect kommunicerar med Microsoft Entra-ID dubbelklickar du på en uppdatering.

Kommentar

Om det finns tilläggsfunktioner för en användare i Microsoft Entra-ID matchar inte deras lokala konto molnkontot. Entra Connect skapar ett nytt objekt och registrerar nya och oväntade tillägg.

28. Innan du avslutar staging-läget korrigerar du värdet ImmutableID i Microsoft Entra-ID.

I det här exemplet stämplade Okta e-postattributet till användarens konto, även om det lokala värdet inte var korrekt. När Microsoft Entra Connect tar över kontot tas e-postattributet bort från objektet.

29. Kontrollera att uppdateringar inkluderar attribut som förväntas i Microsoft Entra-ID. Om flera attribut tas bort kan du fylla i lokala AD-värden innan du tar bort mellanlagringsläget.

Kommentar

Innan du fortsätter kontrollerar du att användarattributen synkroniseras och visas på fliken Väntande export . Om de tas bort kontrollerar du att ImmutableID-värdena matchar och att användaren finns i en vald organisationsenhet för synkronisering.

Installera Microsoft Entra Connect-molnsynkroniseringsagenter

När du har förberett din lista över käll- och målmål installerar och konfigurerar du Microsoft Entra Connect-molnsynkroniseringsagenter. Se Självstudie : Integrera en enskild skog med en enda Microsoft Entra-klientorganisation.

Anteckning

Om du använder en Microsoft Entra Connect-server hoppar du över det här avsnittet.

Inaktivera Okta-etablering till Microsoft Entra-ID

När du har verifierat installationen av Microsoft Entra Connect, inaktiverar du Okta-provisionering till Microsoft Entra-ID.

1. Gå till Okta-portalen

2. Välj ansökning.

3. Välj den Okta-app som tilldelar användare till Microsoft Entra-ID.

4. Välj fliken Provisionering.

5. Välj avsnittet Integrering .

   

6. Välj Redigera.

7. Avmarkera alternativet Aktivera API-integrering.

8. Välj Spara.

   

   Kommentar

   Om du har flera Office 365-appar som hanterar etablering till Microsoft Entra-ID kontrollerar du att de är avstängda.

Inaktivera mellanlagringsläge i Microsoft Entra Connect

När du har inaktiverat Okta-etablering kan Microsoft Entra Connect-servern synkronisera objekt.

Kommentar

Om du använder Microsoft Entra Connect-molnsynkroniseringsagenter hoppar du över det här avsnittet.

1. Kör installationsguiden från skrivbordet.
2. Välj Konfigurera.
3. Välj Konfigurera mellanlagringsläge
4. Välj Nästa.
5. Ange autentiseringsuppgifterna för hybrididentitetsadministratörskontot för din miljö.
6. Avmarkera Aktivera mellanlagringsläge.
7. Välj Nästa.
8. Välj Konfigurera.
9. Efter konfigurationen öppnar du synkroniseringstjänsten som administratör.
10. I domain.onmicrosoft.com-anslutningsappen visar du Exportera.
11. Verifiera tillägg, uppdateringar och borttagningar.
12. Migreringen är klar. Kör installationsguiden igen för att uppdatera och expandera Microsoft Entra Connect-funktioner.

Aktivera molnsynkroniseringsagenter

När du har inaktiverat Okta-etablering kan Microsoft Entra Connect-molnsynkroniseringsagenten synkronisera objekt.

1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
2. Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Connect Sync.
3. Välj Konfigurationsprofil .
4. Välj Aktivera.
5. Gå tillbaka till konfigurationsmenyn och välj Loggar.
6. Bekräfta att etableringsanslutningsappen uppdaterade objekt på plats. Molnsynkroniseringsagenterna är icke-förstörande. Uppdateringar misslyckas om en matchning inte hittas.
7. Om en användare inte matchar kan du göra uppdateringar för att binda värdena för ImmutableID.
8. Starta om synkroniseringen av molnförsörjning.

Nästa steg

• Självstudie: Migrera dina program från Okta till Microsoft Entra-ID
• Självstudie: Migrera Okta-federation till Microsoft Entra ID-hanterad autentisering
• Självstudie: Migrera Okta-inloggningsprinciper till villkorsstyrd åtkomst