移轉至 Microsoft Entra 雲端同步以取得現有同步 AD 樹系
本教學課程會逐步解說如何將已使用 Microsoft Entra Connect Sync 進行同步之測試的 Active Directory 樹系移轉至雲端同步。
注意
本文提供基本的移轉資訊,您應先檢閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。
考量
嘗試進行本教學課程之前,請考量下列事項:
確定您熟悉雲端同步的基本概念。
確定您執行的是 Microsoft Entra Connect Sync 的 1.4.32.0 版或更新版本,並已依照文件指示設定同步處理規則。
試驗時,您將會從 Microsoft Entra Connect Sync 範圍中移除測試 OU 或群組。 若將物件移出範圍外,會導致這些物件從 Microsoft Entra ID 中刪除。
- 使用者物件,Microsoft Entra ID 中的物件會被虛刪除,且可以還原。
- 群組物件,Microsoft Entra ID 中的物件會被實刪除,且無法還原。
Microsoft Entra Connect Sync 中已引進新的連結類型,可在試驗案例中防止刪除。
請確定試驗範圍中的物件已填入 ms-ds-consistencyGUID,使雲端同步可確實比對物件。
注意
根據預設,Microsoft Entra Connect Sync 不會為群組物件填入 ms-ds-consistencyGUID。
- 此設定適用於進階案例。 請確實遵循本教學課程中記載的步驟。
必要條件
下列是完成此教學課程的必要條件
- 具有 Microsoft Entra Connect Sync 1.4.32.0 版或更新版本的測試環境
- 在同步範圍內、並且可用於試驗的 OU 或群組。 建議您先從一小組物件開始。
- 執行 Windows Server 2016 或更新版本、且將裝載佈建代理程式的伺服器。
- Microsoft Entra Connect Sync 的來源錨點應該是 objectGuid 或 ms-ds-consistencyGUID
更新 Microsoft Entra Connect
您至少應有 Microsoft Entra Connect 1.4.32.0。 若要更新 Microsoft Entra Connect Sync,請完成 Microsoft Entra Connect:升級至最新版本中的步驟。
備份您的 Microsoft Entra Connect 設定
進行任何變更之前,請先備份您的 Microsoft Entra Connect 設定。 如此一來才可復原到先前的設定。 如需詳細資訊,請參閱匯入和匯出 Microsoft Entra Connect 組態設定。
停止排程器
Microsoft Entra Connect Sync 會使用排程器來同步處理您內部部署目錄中發生的變更。 若要修改和新增自訂規則,您可以停用排程器,如此,在您進行作業時就不會執行同步處理而造成變更。 若要停止排程器,請使用下列步驟:
- 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理權限開啟 PowerShell。
- 執行
Stop-ADSyncSyncCycle
。 按 Enter 鍵。 - 執行
Set-ADSyncScheduler -SyncCycleEnabled $false
。
注意
若要為 Microsoft Entra Connect Sync 執行自己的自訂排程器,請停用排程器。
建立自訂使用者輸入規則
您需要在 Microsoft Entra Connect 同步規則編輯器中建立輸入同步規則,篩選出您先前已在 OU 中識別的使用者。 輸入同步規則是具有 cloudNoFlow 目標屬性的聯結規則。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。
從桌面的應用程式功能表中啟動同步化編輯器,如下所示:
在下拉式清單中,針對 [方向] 選取 [輸入],然後選取 [新增規則]。
在 [描述] 頁面上輸入下列項目,然後選取 [下一步]:
- 名稱:為規則指定有意義的名稱
- 描述:新增有意義的描述
- 連線系統:選擇您要為其撰寫自訂同步規則的 AD 連接器
- 連接的系統物件類型:使用者
- Metaverse 物件類型:人員
- 連結類型:聯結
- 優先順序︰提供在系統中是唯一的值
- 標籤︰將此選項保留空白
在 [範圍篩選] 頁面上,輸入要作為試驗基礎的 OU 或安全性群組。 若要篩選 OU,請新增辨別名稱的 OU 部分。 此規則會套用到位於該 OU 中的所有使用者。 因此,如果 DN 的結尾為 "OU=CPUsers,DC=contoso,DC=com,您就會新增此篩選。 然後選取下一步。
規則 屬性 運算子 值 設定 OU 的範圍 DN ENDSWITH OU 的辨別名稱。 設定群組的範圍 ISMEMBEROF 安全性群組的辨別名稱。 在 [加入規則] 頁面上,選取 [下一步]。
在 [轉換] 頁面上,將常數 transformation: flow True 新增至 cloudNoFlow 屬性。 選取 [新增]。
所有物件類型 (使用者、群組和連絡人) 都必須遵循相同的步驟。 針對每個設定的 AD Connector / AD 樹系重複步驟。
建立自訂使用者輸出規則
您也需要具有 JoinNoFlow 連結類型的輸出同步規則,以及將 cloudNoFlow 屬性設定為 True 的範圍篩選器。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。
在下拉式清單中,針對 [方向] 選取 [輸出],然後選取 [新增規則]。
在 [描述] 頁面上輸入下列項目,然後選取 [下一步]:
- 名稱:為規則指定有意義的名稱
- 描述:新增有意義的描述
- 連線系統:選擇您要為其撰寫自訂同步規則的 Microsoft Entra 連接器
- 連接的系統物件類型:使用者
- Metaverse 物件類型:人員
- 連結類型:JoinNoFlow
- 優先順序︰提供在系統中是唯一的值
- 標籤︰將此選項保留空白
在 [範圍篩選] 頁面上,選擇 [cloudNoFlow] 等於 [True]。 然後選取下一步。
在 [加入規則] 頁面上,選取 [下一步]。
在 [轉換] 頁面上,選取 [新增]。
所有物件類型 (使用者、群組和連絡人) 都必須遵循相同的步驟。
安裝 Microsoft Entra Connect 佈建代理程式
如果您正在使用基本 AD 和 Azure 環境教學課程,則其為 CP1。 若要安裝代理程式,請遵循下列步驟:
- 在 Azure 入口網站中,選取 [Microsoft Entra ID]。
- 選取左側的 [Microsoft Entra Connect]。
- 選取左側的 [雲端同步]。
- 選取左側的 [代理程式]。
- 選取 [下載內部部署代理程式],並選取 [接受條款並下載]。
- 下載 Microsoft Entra Connect 佈建代理程式套件之後,請從您的下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。
注意
安裝美國政府雲端時,請使用:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊,請參閱在美國政府雲端安裝代理程式。
- 在啟動顯示畫面上,選取 [我同意授權條款和條件],並選取 [安裝]。
- 安裝作業完成後,就會啟動設定精靈。 選取 [下一步] 開始進行設定。
- 在 [選取延伸模組] 畫面上,選取 [HR 驅動佈建 (Workday 和 SuccessFactors) / Microsoft Entra Connect 雲端同步],然後選取 [下一步]。
注意
若要安裝佈建代理程式以搭配內部部署應用程式佈建使用,請選取 [內部部署應用程式佈建 (Microsoft Entra ID 至應用程式)]。
- 以不低於 [混合式身分識別管理員] 角色登入帳戶。 若已啟用 Internet Explorer 增強式安全性,系統會封鎖登入。 若是如此,請關閉安裝,停用 Internet Explorer 增強式安全性,並重新啟動 Microsoft Entra Connect 佈建代理程式套件安裝。
- 在 [設定服務帳戶] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受管理的服務帳戶已由另一個代理程式在您的網域中完成設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA],因為系統會偵測到現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的權限。 系統提示時,請選擇下列其中一項:
- [建立 gMSA],讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 系統將在主機伺服器加入的相同 Active Directory 網域中建立群組受控服務帳戶 (例如 CONTOSO\provAgentgMSA$)。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證 (建議使用)。
- 使用自訂 gMSA,並提供您為此工作手動建立的受管理的服務帳戶名稱。
若要繼續,請選取 [下一步]。
在 [連線 Active Directory] 畫面上,如果您的網域名稱出現在 [設定的網域] 下,請跳至下一個步驟。 否則,請鍵入您的 Active Directory 網域名稱,並選取 [新增目錄]。
使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝過程中過期或遭變更,您必須使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定],並選取 [下一步] 繼續。
- 下面螢幕擷取畫面顯示已設定網域 contoso.com 的範例。 選取下一步以繼續。
在 [設定完成] 畫面上,選取 [確認]。 此操作會註冊並重新啟動代理程式。
作業完成之後,您應該會收到通知,指出 [已成功驗證您的代理程式設定]。您可以選取 [結束]。
- 如果您仍看到初始啟動顯示畫面,請選取 [關閉]。
驗證代理程式安裝
代理程式驗證可在 Azure 入口網站中以及執行代理程式的本機伺服器上進行。
Azure 入口網站代理程式驗證
若要確認 Microsoft Entra ID 正在註冊此代理程式,請遵循下列步驟:
- 登入 Azure 入口網站。
- 選取 [Microsoft Entra ID]。
- 選取 [Microsoft Entra Connect],然後選取 [雲端同步]。
- 在 [雲端同步] 頁面上,您會看到已安裝的代理程式。 確認代理程式已顯示,且狀態良好。
在本機伺服器上
若要確認代理程式正在執行,請遵循下列步驟:
- 使用管理員帳戶登入伺服器。
- 瀏覽至 [服務],或前往 [開始/執行/Services.msc],以開啟 [服務]。
- 在 [服務] 底下,確定存在 [Microsoft Entra Connect 代理程式更新程式] 和 [Microsoft Entra Connect 佈建代理程式],且狀態為 [執行中]。
確認佈建代理程式版本
若要驗證執行的代理程式版本,請遵循下列步驟:
- 瀏覽至 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent'
- 以滑鼠右鍵按一下 [AADConnectProvisioningAgent.exe],然後選取屬性。
- 按一下 [詳細資料] 索引標籤,[產品版本] 旁會顯示版本號碼。
設定 Microsoft Entra 雲端同步
使用下列步驟來設定佈建:
- 至少以混合式系統管理員的身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]。
[開始] 畫面會隨即開啟。
在 [開始] 畫面上,按一下 [新增範圍篩選條件] 圖示旁的 [新增範圍篩選條件] 或按一下 [管理] 下方左側的 [範圍篩選條件]。
- 選取範圍篩選條件。 在本教學課程中,請選取:
- 選取的組織單位:設定範圍以套用至特定 OU。
- 在方塊中,輸入「OU=CPUsers,DC=contoso,DC=com」。
- 按一下 [新增] 。 按一下 [檔案] 。
啟動排程器
Microsoft Entra Connect Sync 會使用排程器來同步處理您內部部署目錄中發生的變更。 現在您已修改規則,可以重新啟動排程器。 使用下列步驟:
- 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理權限開啟 PowerShell
- 執行
Set-ADSyncScheduler -SyncCycleEnabled $true
。 - 執行
Start-ADSyncSyncCycle
,然後按 Enter。
注意
若要為 Microsoft Entra Connect Sync 執行自己的自訂排程器,請啟用排程器。
啟用排程器後,Microsoft Entra Connect 將會停止匯出在 Metaverse 中使用 cloudNoFlow=true
對物件進行的所有變更,除非正在更新的是參考屬性 (例如 manager
)。 如果物件上有任何參考屬性更新,Microsoft Entra Connect 將會忽略 cloudNoFlow
訊號,並匯出物件上的所有更新。
發生問題
如果試驗未如預期運作,您可以遵循以下步驟返回 Microsoft Entra Connect Sync 設定:
- 在入口網站中停用佈建設定。
- 使用「同步處理規則編輯器」工具,停用為「雲端佈建」建立的所有自訂同步處理規則。 停用應該會導致所有連接器上的完整同步處理。