移轉至現有同步 AD 樹系的 Microsoft Entra Cloud Sync

發行項
04/26/2024

本教學課程將逐步引導您如何移轉至已使用 Microsoft Entra 連線 Sync 同步的測試 Active Directory 樹系進行雲端同步處理。

注意

本文提供基本移轉的資訊，您應該先檢閱移轉至雲端同步處理檔，再嘗試移轉您的生產環境。

顯示 Microsoft Entra Cloud Sync 流程的圖表。

考量

嘗試本教學課程之前，請考慮下列專案：

請確定您已熟悉雲端同步的基本概念。
請確定您執行的是 Microsoft Entra 連線 Sync 1.4.32.0 版或更新版本，並已將同步處理規則設定為記載。
試驗時，您會從 Microsoft Entra 連線 Sync 範圍中移除測試 OU 或群組。將物件移出範圍會導致刪除 Microsoft Entra ID 中的這些物件。
- 用戶物件、Microsoft Entra 識別碼中的物件會虛刪除，而且可以還原。
- 群組物件、Microsoft Entra 識別符中的對象會進行硬式刪除，且無法還原。
Microsoft Entra 連線 Sync 中引進了新的鏈接類型，這可防止在試驗案例中刪除。
請確定試驗範圍中的物件已填入 ms-ds-consistencyGUID，讓雲端同步處理與對象進行硬式比對。

注意

Microsoft Entra 連線 Sync 預設不會針對群組物件填入 ms-ds-consistencyGUID。

此設定適用於進階案例。請確定您遵循本教學課程中所述的步驟。

必要條件

以下是完成本教學課程的必要條件

具有 Microsoft Entra 連線 Sync 1.4.32.0 版或更新版本的測試環境
在同步範圍內且可以使用試驗的 OU 或群組。我們建議從一組小型對象開始。
執行 Windows Server 2016 或更新版本的伺服器，將裝載布建代理程式。
Microsoft Entra 連線 Sync 的來源錨點應該是 objectGuid 或 ms-ds-consistencyGUID

更新 Microsoft Entra 連線

您至少應該有 Microsoft Entra 連線 1.4.32.0。若要更新 Microsoft Entra 連線 Sync，請完成 Microsoft Entra 連線：升級至最新版本中的步驟。

備份 Microsoft Entra 連線組態

進行任何變更之前，您應該先備份 Microsoft Entra 連線組態。如此一來，您就可以回復到先前的設定。如需詳細資訊，請參閱匯入和導出 Microsoft Entra 連線組態設定。

停止排程器

Microsoft Entra 連線 Sync 會使用排程器來同步處理內部部署目錄中發生的變更。若要修改和新增自定義規則，您想要停用排程器，以便在進行變更時不會執行同步處理。若要停止排程器，請使用下列步驟：

在執行 Microsoft Entra 連線 Sync 的伺服器上，開啟具有管理員許可權的 PowerShell。
執行 Stop-ADSyncSyncCycle。按 Enter 鍵。
執行 Set-ADSyncScheduler -SyncCycleEnabled $false。

注意

如果您要針對 Microsoft Entra 連線 Sync 執行自己的自定義排程器，請停用排程器。

建立自定義使用者輸入規則

在 Microsoft Entra 連線同步處理規則編輯器中，您需要建立輸入同步處理規則，以篩選出您先前識別 OU 中的使用者。輸入同步處理規則是具有 cloudNoFlow 目標屬性的聯結規則。此規則會告知 Microsoft Entra 連線不要同步處理這些用戶的屬性。如需詳細資訊，請參閱移轉至雲端同步處理檔，再嘗試移轉您的生產環境。

從桌面的應用程式功能啟動同步處理編輯器，如下所示：
從 [方向] 下拉式清單中選取 [ 輸入 ]，然後選取 [ 新增規則]。
在 [ 描述] 頁面上，輸入下列專案，然後選取 [ 下一步]：
- 名稱： 為規則指定有意義的名稱
- 描述： 新增有意義的描述
- 連線系統：選擇您要撰寫自訂同步處理規則的 AD 連接器
- 連線系統物件類型：使用者
- Metaverse 物件類型： 人員
- 連結類型： 聯結
- 優先順序： 提供系統中唯一的值
- 標籤： 將此保留空白
在 [ 範圍篩選 ] 頁面上，輸入您想要根據試驗的 OU 或安全組。若要篩選 OU，請新增辨別名稱的 OU 部分。此規則將會套用至該 OU 中的所有使用者。因此，如果 DN 結尾為 “OU=CPUUsers，DC=contoso，DC=com，您會新增此篩選。然後選取下一步。

規則屬性運算子值

範圍 OU DN ENDSWITH OU 的辨別名稱。

範圍群組 ISMEMBEROF 安全組的辨別名稱。
在 [ 聯結規則] 頁面上，選取 [ 下一步]。
在 [ 轉換] 頁面上，將 [常數轉換：flow True] 新增至 cloudNoFlow 屬性。選取 [新增]。

規則	屬性	運算子	值
範圍 OU	DN	ENDSWITH	OU 的辨別名稱。
範圍群組		ISMEMBEROF	安全組的辨別名稱。

所有物件類型（使用者、群組和聯繫人）都需要遵循相同的步驟。針對每個設定的 AD 連線 or/每個 AD 樹系重複步驟。

建立自定義使用者輸出規則

您也需要具有 JoinNoFlow 連結類型的輸出同步處理規則，以及將 cloudNoFlow 屬性設定為 True 的範圍篩選條件。此規則會告知 Microsoft Entra 連線不要同步處理這些用戶的屬性。如需詳細資訊，請參閱移轉至雲端同步處理檔，再嘗試移轉您的生產環境。

從 [方向] 下拉式清單中選取 [輸出 ]，然後選取 [ 新增規則]。
在 [ 描述] 頁面上，輸入下列專案，然後選取 [ 下一步]：
- 名稱： 為規則指定有意義的名稱
- 描述： 新增有意義的描述
- 連線系統：選擇您要撰寫自訂同步規則的 Microsoft Entra 連接器
- 連線系統物件類型：使用者
- Metaverse 物件類型： 人員
- 連結類型： JoinNoFlow
- 優先順序： 提供系統中唯一的值
- 標籤： 將此保留空白
在 [ 範圍篩選 ] 頁面上，選擇 [cloudNoFlow 等於 True]。然後選取下一步。
在 [ 聯結規則] 頁面上，選取 [ 下一步]。
在 [ 轉換] 頁面上，選取 [ 新增]。

所有物件類型（使用者、群組和聯繫人）都需要遵循相同的步驟。

安裝 Microsoft Entra 布建代理程式

如果您使用基本 AD 和 Azure 環境教學課程，則為 CP1。若要安裝代理程式，請遵循下列步驟：

在 Azure 入口網站中，選取 [Microsoft Entra ID]。
在左側，選取 [Microsoft Entra 連線]。
在左側，選取 [ 雲端同步]。

在左側，選取 [ 代理程式]。
選取 [ 下載內部部署代理程式]，然後選取 [ 接受條款及下載]。

下載 Microsoft Entra 連線布建代理程式套件之後，請從下載資料夾執行 AAD 連線 ProvisioningAgentSetup.exe 安裝檔案。

注意

安裝美國政府雲端時，請使用：
AAD 連線 ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊，請參閱<在美國政府雲端安裝代理程式>。

在啟動顯示畫面上，選取 [我同意授權和條件]，然後選取 [ 安裝]。

安裝作業完成後，組態精靈就會啟動。選取 [下一步 ] 以啟動設定。
在 [選取擴充功能] 畫面上，選取 HR 驅動布建（Workday 和 SuccessFactors） / Microsoft Entra 連線雲端同步，然後選取 [下一步]。

注意

如果您要安裝布建代理程式以搭配內部部署應用程式佈建使用，請選取 [內部部署應用程式佈建] （Microsoft Entra ID to application）。

使用至少具有混合式身分識別管理員 istrator 角色的帳戶登入。如果您已啟用 Internet Explorer 增強式安全性，則會封鎖登入。若是如此，請關閉安裝、停用 Internet Explorer 增強的安全性，然後重新啟動 Microsoft Entra 連線布建代理程式套件安裝。

在 [ 設定服務帳戶 ] 畫面上，選取群組受控服務帳戶（gMSA）。此帳戶用來執行代理程序服務。如果受控服務帳戶已由另一個代理程式在您的網域中設定，而且您正在安裝第二個代理程式，請選取 [建立 gMSA]，因為系統偵測到現有的帳戶，並新增新代理程式使用 gMSA 帳戶所需的許可權。出現提示時，請選擇下列其中一項：

建立 gMSA ，讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。群組受控服務帳戶（例如 CONTOSO\provAgentgMSA$）將會建立在主機伺服器已加入的相同 Active Directory 網域中。若要使用此選項，請輸入 Active Directory 網域系統管理員認證（建議使用）。
使用自定義 gMSA ，並提供您為此工作手動建立的受控服務帳戶名稱。

若要繼續，請選取 [下一步]。

在 [連線 Active Directory] 畫面上，如果您的域名出現在 [已設定的網域] 底下，請跳至下一個步驟。否則，請輸入您的 Active Directory 功能變數名稱，然後選取 [ 新增目錄]。
使用您的 Active Directory 網域系統管理員帳戶登入。網域系統管理員帳戶不應該有過期的密碼。如果密碼在代理程式安裝期間過期或變更，您必須使用新的認證重新設定代理程式。這項作業會新增您的內部部署目錄。選取 [ 確定]，然後選取 [ 下一步 ] 繼續。

下列螢幕快照顯示 contoso.com 已設定網域的範例。選取下一步以繼續。

在 [ 組態完成] 畫面上 ，選取 [ 確認]。這項作業會註冊並重新啟動代理程式。
此作業完成後，您應該會收到代理程式設定已成功驗證的通知。您可以選取 [ 結束]。

如果您仍然收到初始啟動顯示畫面，請選取 [ 關閉]。

確認代理程式安裝

代理程式驗證發生在 Azure 入口網站和執行代理程式的本地伺服器上。

Azure 入口網站代理程序驗證

若要確認代理程式正由 Microsoft Entra ID 註冊，請遵循下列步驟：

登入 Azure 入口網站。
選取 [Microsoft Entra ID]。
選取 [Microsoft Entra 連線]，然後選取 [雲端同步]。
在雲端同步頁面上，您會看到已安裝的代理程式。確認代理程式已顯示且狀態良好。

在本機伺服器上

若要確認代理程式正在執行，請遵循下列步驟：

使用系統管理員帳戶登入伺服器。
流覽至服務，或移至 Start/Run/Services.msc 來開啟服務。
在 [服務] 底下，確定 Microsoft Entra 連線 Agent Updater 和 Microsoft Entra 連線布建代理程式存在，且狀態為 [正在執行]。

確認布建代理程式版本

若要確認代理程式版本正在執行，請遵循下列步驟：

流覽至 'C：\Program Files\Microsoft Azure AD 連線布建代理程式'
以滑鼠右鍵按兩下 [AAD 連線 ProvisioningAgent.exe]，然後選取 [屬性]。
按兩下 [詳細數據] 索引標籤，[產品版本] 旁會顯示版本號碼。

設定 Microsoft Entra Cloud Sync

使用下列步驟來設定布建：

以至少混合式管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至身分>識別混合式管理>Microsoft Entra 連線> Cloud 同步處理。

選取 [ 新增設定]。
在組態畫面上，選取您的網域，以及是否啟用密碼哈希同步處理。按兩下 [ 建立]。

[ 開始使用] 畫面隨即開啟。
在 [開始使用] 畫面上，按兩下 [新增範圍篩選] 圖示旁的 [新增範圍篩選] 或按兩下 [管理] 下方左側的 [範圍篩選]。

選取範圍篩選條件。在本教學課程中，請選取：
- 選取的組織單位：設定範圍以套用至特定 OU。
在方塊中，輸入 “OU=CPUErs，DC=contoso，DC=com”。

按一下 [新增] 。按一下 [檔案] 。

啟動排程器

Microsoft Entra 連線 Sync 會使用排程器同步處理內部部署目錄中發生的變更。現在您已修改規則，您可以重新啟動排程器。使用下列步驟：

在執行 Microsoft Entra 連線 Sync 的伺服器上，使用管理員許可權開啟 PowerShell
執行 Set-ADSyncScheduler -SyncCycleEnabled $true。
執行 Start-ADSyncSyncCycle，然後按 Enter 鍵。

注意

如果您正在執行 Microsoft Entra 連線 Sync 的自定義排程器，請啟用排程器。

啟用排程器之後，除非有任何參考屬性（例如manager）正在更新，否則 Microsoft Entra 連線會停止匯出 metaverse 中物件cloudNoFlow=true的任何變更。如果物件有任何參考屬性更新，Microsoft Entra 連線將會忽略cloudNoFlow訊號，並導出物件上的所有更新。

發生問題

如果試驗無法如預期般運作，您可以依照下列步驟返回 Microsoft Entra 連線 Sync 設定：

在入口網站中停用布建組態。
使用同步規則編輯器工具停用針對雲端布建建立的所有自定義同步處理規則。停用應該在所有連接器上造成完整同步處理。

Share via