Sdílet prostřednictvím


Návod: Migrace zřizování synchronizace Okta do synchronizace Microsoft Entra Connect

V tomto kurzu se dozvíte, jak migrovat zřizování uživatelů z Okta do Microsoft Entra ID a migrovat synchronizaci uživatelů nebo univerzální synchronizaci na Microsoft Entra Connect. Tato schopnost umožňuje poskytování přístupu v Microsoft Entra ID a Office 365.

Poznámka:

Při migraci synchronizačních platforem ověřte kroky v tomto článku ve vašem prostředí před odebráním nástroje Microsoft Entra Connect z přípravného režimu nebo povolením agenta zřizování cloudu Microsoft Entra.

Požadavky

Při přechodu ze zřizování v Okta na Microsoft Entra ID máte dvě možnosti. Použijte server Microsoft Entra Connect nebo poskytování cloudu Microsoft Entra.

Další informace: Porovnání mezi Microsoft Entra Connect a cloudovou synchronizací

Zřizování cloudu Microsoft Entra je nejznámější cestou migrace pro zákazníky Okta, kteří používají Univerzální synchronizaci nebo Synchronizaci uživatelů. Agenti zřizování cloudu jsou odlehčeni. Můžete je nainstalovat na řadiče domény, jako jsou agenti synchronizace adresářů Okta nebo blízko nich. Neinstalujte je na stejný server.

Při synchronizaci uživatelů použijte server Microsoft Entra Connect, pokud vaše organizace potřebuje některou z následujících technologií:

  • Synchronizace zařízení: Hybridní připojení k Microsoft Entra nebo Hello pro firmy
  • Předávací ověřování
  • Podpora více než 150 000 objektů
  • Podpora zpětného zápisu

Pokud chcete používat Microsoft Entra Connect, musíte se přihlásit pomocí role Správce hybridní identity.

Poznámka:

Při instalaci Microsoft Entra Connect nebo zřizování cloudu Microsoft Entra zvažte všechny předpoklady. Než budete pokračovat v instalaci, přečtěte si téma Požadavky pro Microsoft Entra Connect.

Potvrzení atributu ImmutableID synchronizovaného oktou

Atribut ImmutableID spojuje synchronizované objekty s místními protějšky. Okta vezme objectGUID služby Active Directory místního objektu a převede ho na řetězec kódovaný v Base-64. Ve výchozím nastavení pak tento řetězec označí do pole ImmutableID v Microsoft Entra ID.

Můžete se připojit k Prostředí Microsoft Graph PowerShell a prozkoumat aktuální hodnotu ImmutableID. Pokud jste modul Microsoft Graph PowerShellu nepoužívali, spusťte:

Install-Module Microsoft.Graph -Scope CurrentUser -Repository PSGallery -Force v administrativní relaci před spuštěním následujících příkazů:

Connect-MgGraph

Pokud máte modul, může se zobrazit upozornění, že se aktualizuje na nejnovější verzi.

  1. Importujte nainstalovaný modul.

  2. V ověřovacím okně se přihlaste alespoň jako správce hybridní identity.

  3. Připojte se k nájemci.

  4. Ověřte nastavení hodnoty ImmutableID. Následující příklad je výchozí převod objectGUID na ImmutableID.

  5. Ruční potvrzení převodu z objectGUID do místního prostředí Base64 K otestování jednotlivé hodnoty použijte tyto příkazy:

    Get-MgUser onpremupn | fl objectguid
    $objectguid = 'your-guid-here-1010'
    [system.convert]::ToBase64String(([GUID]$objectGUID).ToByteArray())
    

Metody hromadného ověřování ObjectGUID

Než přejdete na Microsoft Entra Connect, je důležité ověřit, že hodnoty ImmutableID v Microsoft Entra ID odpovídají jejich místním hodnotám.

Následující příkaz získá místní uživatele Microsoft Entra a vyexportuje seznam hodnot objectGUID a hodnoty ImmutableID, které jsou již vypočteny do souboru CSV.

  1. V Microsoft Graph PowerShellu na místním řadiči domény spusťte následující příkaz:

    Get-ADUser -Filter * -Properties objectGUID | Select-Object
    UserPrincipalName, Name, objectGUID, @{Name = 'ImmutableID';
    Expression = {
    [system.convert]::ToBase64String((GUID).tobytearray())
    } } | export-csv C:\Temp\OnPremIDs.csv
    
  2. Spuštěním následujícího příkazu v relaci Microsoft Graph PowerShellu zobrazte seznam synchronizovaných hodnot:

    Get-MgUser -all $true | Where-Object {$_.dirsyncenabled -like
    "true"} | Select-Object UserPrincipalName, @{Name = 'objectGUID';
    Expression = {
    [GUID][System.Convert]::FromBase64String($_.ImmutableID) } },
    ImmutableID | export-csv C:\\temp\\AzureADSyncedIDS.csv
    
  3. Po obou exportech potvrďte shodu hodnot ImmutableID uživatele.

    Důležité

    Pokud hodnoty ImmutableID v cloudu neodpovídají hodnotám objectGUID, upravili jste výchozí hodnoty pro synchronizaci Okta. Pravděpodobně jste zvolili jiný atribut k určení hodnot ImmutableID. Než přejdete do další části, určete, který zdrojový atribut naplní hodnoty ImmutableID. Než zakážete synchronizaci Okta, aktualizujte atribut, který Okta synchronizuje.

Instalace nástroje Microsoft Entra Connect v pracovním režimu

Po přípravě seznamu zdrojových a cílových cílů nainstalujte server Microsoft Entra Connect. Pokud používáte zřizování cloudu Microsoft Entra Connect, přeskočte tuto část.

  1. Stáhněte a nainstalujte microsoft Entra Connect na server. Vizte Vlastní nastavení Microsoft Entra Connect.

  2. Na levém panelu vyberte Identifikovat uživatele.

  3. Na stránce Jedinečná identifikace uživatelů v části Vyberte, jak mají být uživatelé identifikováni pomocí ID Microsoft Entra, vyberte Zvolit konkrétní atribut.

  4. Pokud jste výchozí nastavení Okta neupravovali, vyberte mS-DS-ConsistencyGUID.

    Varování

    Tento krok je kritický. Ujistěte se, že vybraný atribut pro zdrojovou kotvu naplní uživatele Microsoft Entra. Pokud vyberete nesprávný atribut, odinstalujte a znovu nainstalujte Microsoft Entra Connect, abyste tuto možnost znovu vybrali.

  5. Vyberte Další.

  6. Na levém panelu vyberte Konfigurovat.

  7. Na stránce Připraveno ke konfiguraci vyberte Povolit pracovní režim.

  8. Vyberte volbu Instalovat.

  9. Ověřte shodu hodnot ImmutableID.

  10. Po dokončení konfigurace vyberte Ukončit.

  11. Otevřete synchronizační službu jako správce.

  12. Nalezte Úplnou synchronizaci pro prostor konektoru domain.onmicrosoft.com.

  13. Ověřte, že na kartě Connectors with Flow Updates jsou uživatelé.

  14. Ověřte, zda v exportu nejsou žádná nevyřízená odstranění.

  15. Vyberte kartu Konektory.

  16. Zvýrazněte prostor konektoru domain.onmicrosoft.com.

  17. Vyberte Vyhledávací prostor konektoru.

  18. V dialogovém okně Prohledat prostor konektoru, v části Rozsah vyberte Čekající export.

  19. Vyberte Odstranit.

  20. Vyberte Hledat. Pokud se všechny objekty shodují, v části Odstranění se nezobrazí žádné odpovídající záznamy.

  21. Zaznamená objekty čekající na odstranění a jejich místní hodnoty.

  22. Vymazat Odstranit.

  23. Vyberte Přidat.

  24. Vyberte Upravit.

  25. Vyberte Hledat.

  26. Funkce aktualizace se zobrazují pro uživatele, kteří se synchronizují s ID Microsoft Entra prostřednictvím Okta. Přidejte nové objekty, které Okta nesynchronizuje a které jsou v organizační struktuře jednotky zvolené během instalace Microsoft Entra Connect.

  27. Pokud chcete zjistit, co Microsoft Entra Connect komunikuje s Microsoft Entra ID, dvojklikněte na aktualizaci.

Poznámka:

Pokud existují přidávací funkce pro uživatele v Microsoft Entra ID, jeho místní účet neodpovídá cloudovému účtu. Entra Connect vytvoří nový objekt a zaznamenává nové a neočekávané přidání.

  1. Před ukončením testovacího režimu opravte hodnotu ImmutableID v Microsoft Entra ID.

V tomto příkladu Okta otiskla atribut e-mailu do účtu uživatele, i když místní hodnota nebyla přesná. Když Microsoft Entra Connect převezme účet, atribut pošty se z objektu odstraní.

  1. Ověřte, že aktualizace zahrnují atributy očekávané v MICROSOFT Entra ID. Pokud se odstraňuje více atributů, můžete před odebráním přípravného režimu naplnit hodnoty AD na místních serverech.

Poznámka:

Než budete pokračovat, ujistěte se, že se atributy uživatelů synchronizují a zobrazují se na kartě Čekající na export. Pokud jsou odstraněné, ujistěte se, že se hodnoty ImmutableID shodují a uživatel je ve vybrané OU pro synchronizaci.

Instalace agentů synchronizace cloudu Microsoft Entra Connect

Po přípravě seznamu zdrojových a cílových cílů nainstalujte a nakonfigurujte agenty cloudové synchronizace Microsoft Entra Connect. Podívejte se na Návod: Integrace jedné doménové struktury s jedním tenantem Microsoft Entra.

Poznámka:

Pokud používáte server Microsoft Entra Connect, přeskočte tuto část.

Zakázání zřizování Okta pro ID Microsoft Entra

Po ověření instalace nástroje Microsoft Entra Connect zakažte poskytování služby Okta pro ID Microsoft Entra.

  1. Přechod na portál Okta

  2. Vyberte Přihlášky.

  3. Vyberte aplikaci Okta, která zřídí uživatele na ID Microsoft Entra.

  4. Vyberte kartu Zřizování.

  5. Vyberte část Integrace.

    Snímek obrazovky s částí Integrace na portálu Okta

  6. Vyberte položku Upravit.

  7. Zrušte zaškrtnutí políčka Povolit integraci rozhraní API.

  8. Zvolte Uložit.

    Snímek obrazovky s částí Integrace na portálu Okta Zpráva uvádí, že zřizování není povolené.

    Poznámka:

    Pokud máte více aplikací Office 365, které zpracovávají zřizování pro Microsoft Entra ID, ujistěte se, že jsou vypnuté.

Zakázání režimu přípravy v nástroji Microsoft Entra Connect

Po vypnutí zřizování Okta může server Microsoft Entra Connect synchronizovat objekty.

Poznámka:

Pokud používáte agenty synchronizace cloudu Microsoft Entra Connect, přeskočte tuto část.

  1. Spusťte průvodce instalací z plochy.
  2. Vyberte Konfigurovat.
  3. Vyberte Konfigurovat stagingový režim
  4. Vyberte Další.
  5. Zadejte přihlašovací údaje účtu správce hybridní identity pro vaše prostředí.
  6. Zrušte zaškrtnutí políčka Povolit pracovní režim.
  7. Vyberte Další.
  8. Vyberte Konfigurovat.
  9. Po konfiguraci otevřete synchronizační službu jako správce.
  10. Na konektoru domain.onmicrosoft.com si prohlédněte Export.
  11. Ověřte přidání, aktualizace a odstranění.
  12. Migrace je dokončená. Znovu spusťte průvodce instalací a aktualizujte a rozbalte funkce microsoft Entra Connect.

Povolení agentů synchronizace cloudu

Po zakázání zřizování Okta může agent synchronizace cloudu Microsoft Entra Connect synchronizovat objekty.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň Hybrid Identity Administrator.
  2. Přejděte do Identity>Hybrid management>Microsoft Entra Connect>Connect Sync.
  3. Vyberte Konfigurační profil.
  4. Vyberte Povolit.
  5. Vraťte se do nabídky nastavení a vyberte Protokoly.
  6. Potvrďte, že konektor zřizování aktualizoval objekty na místě. Agenti synchronizace cloudu jsou nedestruktivní. Aktualizace selžou, pokud se nenajde shoda.
  7. Pokud se uživatel neshoduje, proveďte aktualizace k provázání hodnot ImmutableID.
  8. Restartujte synchronizaci cloudového nasazení.

Další kroky