通过

为用户 SOA 准备环境

决定要通过向用户使用权威源来减少本地基础设施使用后,必须根据用户配置准备 Active Directory 环境。 选择如何准备环境取决于许多因素。 若要考虑其他事项,请参阅:转移用户 SOA 的先决条件有关使用授权源(SOA)的指南

准备用户 SOA 的流程如下所示:

权威来源准备步骤的屏幕截图。

本文逐步讲解在切换用户 SOA 之前准备Microsoft Exchange、HR 集成和Microsoft标识管理器环境所需的内容。

确认 AD 对象已准备好更改其 SOA

在传输用户的 SOA 之前,请从 Active Directory 域检索对象,并通过确认以下信息检查它们是否已准备好传输:

  • 确认对象已同步到 Microsoft Entra。 管理对象或从同步中排除的对象无法更改其 SOA。
  • 确认您在这些用户上拥有或计划修改的所有属性正在同步到 Microsoft Entra,并显示为目录属性或 目录架构扩展 在 Microsoft Graph 中。
  • 确认 Active Directory 中,除了用户的经理属性及类似 memberof 的 Active Directory 反向链接外,那些用户对象上均未填充引用值属性。 SOA 传输不支持其他引用值属性。
  • 确认管理器和成员属性的值(如果已设置)必须引用同一 Active Directory 域中的用户,并且它们已同步到 Microsoft Entra。 它们不能引用其他对象类型,也不能引用未从此域同步到 Microsoft Entra 的对象。
  • 确认对象上没有被其他 Microsoft 本地技术(除 Active Directory 域服务 (AD DS) 之外)更新的属性。 例如,不要更改用户的 SOA,其userCertificate维护。

更新 Active Directory

如果计划仅更改某些 Active Directory 用户的 SOA,并且所有用户当前都在单个 OU 中使用不使用 LDAP 的 Kerberos 应用程序,建议为这些对象创建新的 AD DS OU。 将它们放在单独的 OU 中后,可以避免在 SOA 更改后无意间在 Active Directory 中更新它们。 SOA 未更改的用户可以使用 Active Directory 用户和计算机、适用于 PowerShell 的 Active Directory 模块或其他 Active Directory 管理工具进行管理。 创建 OU 后,将对象移动到该 OU。 有关详细信息,请参阅: Move-ADObject

准备设置 Microsoft Exchange

如果在 Microsoft 365 Exchange Online 中设置了 Exchange 混合设置,请在切换用户帐户的 SOA 之前,按照以下指南准备 Exchange Server 和 Exchange Online。 如果运行的是 Exchange 混合配置,请确保将所有邮箱迁移到 Exchange Online,然后再将任何用户的 SOA 切换到云。 所有用户的邮箱迁移后,可以在 Microsoft 365 中管理这些用户,并且可以安全地将用户的 SOA 切换到云。 切换 SOA 后,可以通过完成以下步骤来禁用 Exchange 混合:

  1. 将 MX 和自动发现 DNS 记录指向 Exchange Online 而不是 Exchange Server。

  2. 删除 Exchange 服务器上的服务连接点(SCP)值。 此步骤可确保不返回 SCP,Outlook 客户端使用 DNS 方法进行自动发现。

  3. (可选)若要保护环境,请删除混合配置向导创建的入站和出站连接器,该连接器用于 Exchange Server 和 Exchange Online 之间的邮件流。

  4. (可选)若要保护环境,请删除由 HCW 在 Exchange Server 和 Exchange Online 之间设置的组织关系、Fed Trust 和 oauth 信任。

  5. 停止向本地 Exchange 写入对象,并将对象同步到云端,以确保 EXO 拥有来自本地的最新更改。

有关禁用 Exchange 混合的详细信息,请参阅: 使用管理工具管理 Exchange 混合环境中的收件人

将用户配置从 HR 系统转移

设置 SOA 的下一步是确定 HR 系统的预配策略。 在预 SOA 环境中,HR 系统的用户首先在本地 Active Directory 中预配,然后使用 Microsoft Entra Connect 同步或云同步同步到 Microsoft Entra ID。如果使用 Microsoft Entra 预配服务,则很可能已配置以下应用之一:Workday 到 AD 用户预配、SAP SuccessFactors 到 AD 用户预配或 API 驱动的预配到 AD。 下图描述了此配置中的数据流。

转移授权源之前的 HR 系统的屏幕截图。

若要更新此配置,请先识别 HR 系统中的员工,这些员工可以直接预配到 Microsoft Entra ID 中,并且不再需要在 Active Directory 中。 可以使用 HR 中可用的分组构造(例如:按部门、成本中心或位置转移用户的 SOA)来分阶段确定此类员工。 然后更新Microsoft Entra 预配配置,如以下部分所述:

更新 HR 预配配置

确定员工进行 SOA 转换后,请执行以下步骤:

  1. 停止“HR 到本地 Active Directory”配置任务。

  2. 对于符合 SOA 转换条件的用户,请将用户的 SOA 从本地 Active Directory 切换到 Entra ID。

  3. 创建新的“HR to Microsoft Entra ID”预配应用程序,将用户从 HR 系统预配到 Entra ID。 使用范围筛选器来限制此应用仅处理 SOA 转换的用户。 例如:在第一阶段中,如果仅为“财务”部门的用户转换 SOA,则将范围筛选器设置为部门等于“财务”。 在将来的阶段扩展范围筛选器以包含更多用户。

  4. 启动新的“HR to Microsoft Entra ID”预配作业。

  5. 更新“HR 到本地 Active Directory”预配应用的配置,以避免已转换为 SOA 的用户同步到 Active Directory。 确保在配置作业上设置跳过超出范围删除标识。 继续上面的示例,可以通过设置筛选器条件“部门不等于‘Finance’”来排除“Finance”部门的用户同步到 Active Directory。

  6. 重启“HR 到本地 Active Directory”预配作业。

  7. 更新 Entra Connect Sync/Cloud Sync 应用的配置,以使用类似的范围筛选器将 SOA 转换的用户从同步到 Entra ID 中排除。

下图描绘了新的 SOA 感知预配配置:

转换后 HR 系统授权源的屏幕截图。

准备 MIM 配置

对于使用 Microsoft Identity Manager(MIM)的客户,可以更新 MIM 中的同步规则,以确定哪些对象继续预配到 Active Directory 中,哪些对象预配到 Microsoft Entra ID 中。

为 SOA 设置 MIM 的屏幕截图。

若要为用户 SOA 准备 MIM 设置,请执行以下步骤:

  1. 选择将用作 Active Directory 和 Microsoft Entra 中相同用户的唯一标识符的属性。

  2. 用于 Microsoft Graph 的 Microsoft Identity Manager 连接器 添加到 MIM 同步,配置从此连接器引入的现有 Active Directory 用户的联接。

  3. 检查用户的优先设置。

  4. 使用 Microsoft Graph 连接器从 Microsoft Entra 执行完全导入。

  5. 确认计划进行 SOA 转换的所有用户在 metaverse 和 Microsoft Graph 连接器之间联接。

  6. 更新用户的管理系统(例如 MIM 门户和服务),为将 SOA 更改为 Microsoft Entra ID 的用户对象添加标签。

  7. 更新同步规则,以便不再将这些标记的用户对象从 MIM 同步到 Active Directory,而是同步到 Microsoft Graph 连接器。

  8. 使同步规则保持停用状态,直到 SOA 传输完成。

  9. SOA 传输后,重新同步用户。 确认对于 SOA 已更改的用户,没有待处理的导出到 Azure Active Directory 管理代理(MA),只能导出到 Microsoft Graph 连接器。

  10. 将更改导出运行添加到您的运行配置文件计划中,从 MIM 使用 Microsoft Graph 连接器导出到 Microsoft Entra ID。

  11. 如果不再将任何更改导出到 Active Directory 中的其他用户,请从运行配置文件计划中删除到 AD 运行配置文件的导出。

完成这些步骤后,MIM 同步的混合环境应遵循此图: 已准备好使用用户 SOA 的环境关系图的屏幕截图。

使用 SOA 的步骤序列

为传输用户 SOA 准备环境后,传输 SOA 的顺序如下所示:

  1. 确定要将权限源(SOA)更改为 Microsoft Entra ID 的用户和/或组。 确保当前使用 Microsoft Entra Connect Sync 或 Microsoft Entra Cloud Sync 同步这些用户和组。

    注释

    先切换组的 SOA,再切换用户的 SOA。

  2. 从 App-> AD 预配配置中删除这些用户(例如 Workday 到 AD 或 MIM 到 AD 等),以便他们不再同步到 AD。

  3. 等待同步周期完成并确保对象数据在 AD 和 Microsoft Entra ID 之间相同。

  4. 停止在 AD 中对这些用户和/或组进行任何更改。

  5. 切换用户和/或用户组的服务导向架构 (SOA)。

  6. 按照以下步骤,确认现在可以从云中管理用户和/或组。

    1. 转到 Microsoft Entra 管理中心,找到你切换的 SOA 的用户/组,并查看它们是否是云对象,并且可以编辑(或)
    2. 运行此脚本以检查“DirSync”和“isCloudManaged”属性是否设置为云端。
    3. 检查审核日志中列出的事件,查看 SOA 状态是否已更改。

  7. 继续将用户和/或组保留在 Connect/Cloud Sync 的范围内。如果这些对象引用 AD 中管理的组、设备和联系人,则需要这样做。

  8. 更改停止同步的用户的预配方向,以确保将这些用户更改直接从相应的 HR 系统预配到 Microsoft Entra ID 中。

    1. 创建新的预配配置,以使用预配 API 将用户不再从等效的云应用系统同步到 Microsoft Entra ID。
    2. 将同一用户直接从云系统(例如 HR 或其他应用)配置到 Microsoft Entra。
    3. 此时,SOA 传输已完成,身份已开始从云系统流向 Microsoft Entra ID,而 Microsoft Entra ID 是权威源。

相关内容

  • Last updated on