教學課程：將 Okta 同步佈建遷移至 Microsoft Entra Connect 同步處理

在本教學課程中，瞭解如何將使用者佈建從 Okta 遷移至 Microsoft Entra ID，並將使用者同步或通用同步遷移至 Microsoft Entra Connect。 這項功能可讓您佈建到 Microsoft Entra ID 和 Office 365。

注意

遷移同步處理平台時，請先針對您的環境驗證本文中的步驟，再從預備模式移除 Microsoft Entra Connect，或啟用 Microsoft Entra 雲端佈建代理程式。

必要條件

當您從 Okta 佈建切換至 Microsoft Entra ID 時，有兩個選項。 使用 Microsoft Entra Connect 伺服器或 Microsoft Entra 雲端佈建。

深入瞭解：Microsoft Entra Connect 與雲端同步之間的比較。

Microsoft Entra 雲端佈建是使用通用同步或使用者同步的 Okta 客戶最熟悉的遷移路徑。雲端佈建代理程式是輕量型的。 您可以將它們安裝在 Okta 目錄同步代理程式等域控制器上或附近。 請不要將它們安裝在同一伺服器上。

當您同步處理使用者時，如果您的組織需要下列任何技術，請使用 Microsoft Entra Connect 伺服器：

• 裝置同步處理：Microsoft Entra 混合式聯結或 Hello 企業版
• 傳遞驗證
• 支援超過 150,000 個物件
• 支援回寫

若要使用 Microsoft Entra Connect，您必須使用混合式身分識別系統管理員角色登入。

注意

當您安裝 Microsoft Entra Connect 或 Microsoft Entra 雲端佈建時，請將所有必要條件納入考慮。 繼續安裝之前，請參閱 Entra Connect Microsoft 的必要條件。

確認 Okta 同步的 ImmutableID 屬性

ImmutableID 屬性會將同步處理的物件繫結至其內部部署對應項目。 Okta 會取得內部部署物件的 Active Directory objectGUID，並將它轉換成 Base64 編碼的字串。 根據預設，它會將該字串戳記至 Entra ID Microsoft 的 ImmutableID 欄位。

您可以連線到 Microsoft Graph PowerShell，並檢查目前的 ImmutableID 值。 如果您尚未使用 Microsoft Graph PowerShell 模組，請在執行命令之前，先在系統管理工作階段中執行：

如果您有模組，可能會顯示更新為最新版本的警告。

1. 匯入已安裝的模組。

2. 在驗證視窗中，以至少 混合式身分識別系統管理員 的身分登入。

3. 連線到租用戶。

4. 確認 ImmutableID 值設定。 下列範例是將 objectGUID 轉換成 ImmutableID 的預設值。

5. 手動確認從 objectGUID 轉換到 Base64 內部部署。 若要測試個別值，請使用下列命令：

   Get-MgUser onpremupn | fl objectguid
   $objectguid = 'your-guid-here-1010'
   [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
   

ObjectGUID 大量驗證方法

移至 Microsoft Entra Connect 之前，請務必驗證 Microsoft Entra ID 中的 ImmutableID 值是否與其內部部署值相符。

下列命令會取得內部部署 Microsoft Entra 使用者，並將其 objectGUID 值和 ImmutableID 值的清單匯出至 CSV 檔案。

1. 在內部部署域控制器上的 Microsoft Graph PowerShell 中執行下列命令：

   Get-MgUser -Filter * -Properties objectGUID | Select-Object
   UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
   Expression = {
   [system.convert]::ToBase64String((GUID).tobytearray())
   } } | export-csv C:\Temp\OnPremIDs.csv
   

2. 在 Microsoft Graph PowerShell 工作階段中執行命令，以列出同步處理的值。

3. 兩者均匯出後，確認使用者 ImmutableID 的值相符。

   重要

   如果雲端中的 ImmutableID 值與 objectGUID 值不符，則您已修改 Okta 同步的預設值。您可能已選擇另一個屬性來判斷 ImmutableID 值。 在下一節之前，請先識別哪個來源屬性會填入 ImmutableID 值。 停用 Okta 同步處理之前，請更新 Okta 正在同步處理的屬性。

在預備模式下安裝 Microsoft Entra Connect

準備好來源和目的地目標清單之後，請安裝 Microsoft Entra Connect 伺服器。 如果您使用 Microsoft Entra Connect 雲端佈建，請略過本節。

1. 在伺服器上下載並安裝 Microsoft Entra Connect。 請參閱 Microsoft Entra Connect 的自訂安裝。

2. 在左側面板中，選取 [識別使用者]。

3. 在 [唯一識別您的使用者] 頁面上，在 [選取使用者應如何使用 Microsoft Entra ID 來識別]，選取 [選擇特定屬性]。

4. 如果您未修改 Okta 預設值，請選取 [mS-DS-ConsistencyGUID]。

   警告

   此步驟至關重要。 請確定您為來源錨點選取的屬性會填入您的 Microsoft Entra 使用者。 如果您選取錯誤的屬性，請卸載並重新安裝 Microsoft Entra Connect 以重新選取此選項。

5. 選取 [下一步]。

6. 在左窗格中，選取 [設定]。

7. 在 [準備設定] 頁面上，選取 [啟用預備模式]。

8. 選取 [安裝]。

9. 確認 ImmutableID 的值相符。

10. 設定完成時，請選擇 [結束]。

11. 以管理員身分開啟同步服務。

12. 尋找 domain.onmicrosoft.com 連接器空間的完整同步處理。

13. 確認 [具有流程更新的連接器] 索引標籤下有使用者。

14. 確認匯出中沒有擱置的刪除。

15. 選取 [連接器] 索引標籤。

16. 反白顯示 domain.onmicrosoft.com 連接器空間。

17. 選取 [搜尋連接器空間] 。

18. 在 [搜尋連接器空間] 對話方塊的 [範圍] 下，選取 [擱置匯出]。

19. 選取 [刪除]。

20. 選取搜尋。 如果所有物件都相符，Deletes 就不會顯示相符的記錄。

21. 記錄擱置刪除的物件及其內部部署值。

22. 清除 [刪除]。

23. 選取 [新增]。

24. 選取 [修改]。

25. 選取搜尋。

26. 更新函式會出現，讓使用者透過 Okta 同步處理至 Microsoft Entra ID。 新增 Okta 不會同步處理的新物件，這在Microsoft Entra Connect 安裝期間選取的組織單位 (OU) 結構中。

27. 若要查看 Microsoft Entra Connect 與 Microsoft Entra ID 通訊的內容，請在更新項目上按兩下。

注意

如果 Microsoft Entra ID 中有針對使用者的 add 函數，則其內部部署帳戶與雲端帳戶不符。 Entra Connect 會建立新的物件，並記錄新的和未預期的新增作業。

28. 結束預備模式之前，請更正 Entra ID Microsoft 中 ImmutableID 的值。

在此範例中，Okta 會將 mail 屬性戳記至使用者帳戶，雖然內部部署的值並不準確。 當 Microsoft Entra Connect 接管帳戶時，會從物件中刪除 mail 屬性。

29. 確認更新包含 Microsoft Entra ID 中預期的屬性。 如果刪除多個屬性，您可以在移除預備模式之前填入內部部署 AD 值。

注意

繼續之前，請確定使用者屬性正在同步處理，並出現在 [擱置匯出] 索引標籤上。如果已刪除，請確定 ImmutableID 值相符，且使用者位於選取要進行同步處理的 OU 中。

安裝 Microsoft Entra Connect 雲端同步代理程式

準備來源和目的地目標清單之後，請安裝及設定 Microsoft Entra Connect 雲端同步代理程式。 請參閱 教學課程：將單一樹系與單一Microsoft Entra 租用戶整合。

注意

如果您使用 Microsoft Entra Connect 伺服器，請略過本節。

停用 Okta 佈建至 Microsoft Entra ID

確認 Microsoft Entra Connect 安裝之後，請停用 Okta 佈建至 Microsoft Entra ID。

1. 移至 Okta 入口網站

2. 選取應用程式。

3. 選取將使用者佈建至 Microsoft Entra ID 的 Okta 應用程式。

4. 選取 [佈建] 索引標籤。

5. 選取 [整合] 區段。

   

6. 選取編輯。

7. 清除 [啟用 API 整合] 選項。

8. 選取 [儲存]。

   

   注意

   如果您有多個處理佈建至 Microsoft Entra ID 的 Office 365 應用程式，請確定這些應用程式已關閉。

在 Microsoft Entra Connect 中停用預備模式

停用 Okta 佈建之後，Microsoft Entra Connect 伺服器可以同步處理物件。

注意

如果您使用 Microsoft Entra Connect 雲端同步代理程式，請略過本節。

1. 從桌面執行來自桌面的安裝精靈。
2. 選取設定。
3. 選取 [設定預備模式]
4. 選取 [下一步]。
5. 輸入您環境的混合式身分識別系統管理員帳戶認證。
6. 清除 [啟用預備模式]。
7. 選取 [下一步]。
8. 選取設定。
9. 設定之後，以系統管理員身分開啟 同步處理服務。
10. 在 domain.onmicrosoft.com 連接器上，檢視 匯出。
11. 確認新增、更新和刪除。
12. 遷移已完成。 重新執行安裝精靈以更新並展開 Microsoft Entra Connect 功能。

啟用雲端同步代理程式

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

停用 Okta 佈建之後，Microsoft Entra Connect 雲端同步代理程式可以同步處理物件。

1. 以至少 混合式身分識別系統管理員 的身分登入 Microsoft Entra 系統管理中心。
2. 瀏覽至 [身分識別]>[混合式管理]>[Microsoft Entra Connect]>[Connect 同步處理]。
3. 選取 [組態] 設定檔。
4. 選取啟用。
5. 返回佈建功能表並選取 [記錄]。
6. 確認佈建連接器已就地更新物件。 雲端同步代理程式是非破壞性的。 如果找不到相符項目，更新就會失敗。
7. 如果使用者不相符，請進行更新以繫結 ImmutableID 值。
8. 重新啟動雲端佈建同步處理。

下一步

• 教學課程：將應用程式從 Okta 遷移至 Microsoft Entra ID
• 教學課程：將 Okta 同盟遷移至 Microsoft Entra ID 受控驗證
• 教學課程：將 Okta 登入原則遷移至條件式存取