Udostępnij za pośrednictwem


Migrowanie do usługi Microsoft Entra Cloud Sync dla istniejącego zsynchronizowanego lasu usługi AD

Ten samouczek przeprowadzi Cię przez proces migracji do synchronizacji w chmurze na potrzeby testowego lasu usługi Active Directory, który jest już synchronizowany przy użyciu usługi Microsoft Entra Connect Sync.

Uwaga

Ten artykuł zawiera informacje dotyczące podstawowej migracji. Przed podjęciem próby migracji środowiska produkcyjnego należy zapoznać się z dokumentacją Migrowanie do synchronizacji z chmurą.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Kwestie wymagające rozważenia

Przed wypróbowaniem tego samouczka rozważ następujące elementy:

  1. Upewnij się, że znasz podstawy synchronizacji z chmurą.

  2. Upewnij się, że używasz programu Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej i skonfigurowano reguły synchronizacji zgodnie z dokumentacją.

  3. Podczas pilotowania usuwasz testową jednostkę organizacyjną lub grupę z zakresu Microsoft Entra Connect Sync. Przeniesienie obiektów poza zakres prowadzi do usunięcia tych obiektów w identyfikatorze Entra firmy Microsoft.

    • Obiekty użytkownika, obiekty w identyfikatorze Entra firmy Microsoft są usuwane nietrwale i można je przywrócić.
    • Obiekty grupowania, obiekty w identyfikatorze Entra firmy Microsoft są trwale usuwane i nie można ich przywrócić.

    W programie Microsoft Entra Connect Sync wprowadzono nowy typ linku, co uniemożliwia usunięcie w scenariuszu pilotażowym.

  4. Upewnij się, że obiekty w zakresie pilotażowym mają wypełniony identyfikator ms-ds-consistencyGUID, dzięki czemu synchronizacja w chmurze jest twarda do obiektów.

Uwaga

Program Microsoft Entra Connect Sync domyślnie nie wypełnia identyfikatora ms-ds-consistencyGUID dla obiektów grupy.

  1. Ta konfiguracja jest przeznaczony dla zaawansowanych scenariuszy. Upewnij się, że dokładnie wykonasz kroki opisane w tym samouczku.

Wymagania wstępne

Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka

  • Środowisko testowe z programem Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej
  • Jednostka organizacyjna lub grupa, która jest w zakresie synchronizacji i może być używana pilotaż. Zalecamy rozpoczęcie od małego zestawu obiektów.
  • Serwer z systemem Windows Server 2016 lub nowszym do hostowania agenta aprowizacji.
  • Kotwica źródłowa dla usługi Microsoft Entra Connect Sync powinna mieć wartość objectGuid lub ms-ds-consistencyGUID

Aktualizowanie programu Microsoft Entra Connect

Co najmniej należy mieć program Microsoft Entra Connect 1.4.32.0. Aby zaktualizować program Microsoft Entra Connect Sync, wykonaj kroki opisane w temacie Microsoft Entra Connect: uaktualnianie do najnowszej wersji.

Tworzenie kopii zapasowej konfiguracji programu Microsoft Entra Connect

Przed wprowadzeniem jakichkolwiek zmian należy utworzyć kopię zapasową konfiguracji programu Microsoft Entra Connect. W ten sposób można przywrócić poprzednią konfigurację. Aby uzyskać więcej informacji, zobacz Importowanie i eksportowanie ustawień konfiguracji programu Microsoft Entra Connect.

Zatrzymywanie harmonogramu

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Aby zmodyfikować i dodać reguły niestandardowe, należy wyłączyć harmonogram, aby synchronizacje nie działały podczas wprowadzania zmian. Aby zatrzymać harmonogram, wykonaj następujące czynności:

  1. Na serwerze z uruchomionym programem Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administracyjnymi.
  2. Uruchom program Stop-ADSyncSyncCycle. Naciśnij Enter.
  3. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $false.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla usługi Microsoft Entra Connect Sync, wyłącz harmonogram.

Tworzenie niestandardowej reguły ruchu przychodzącego użytkownika

W edytorze reguł synchronizacji programu Microsoft Entra Connect należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje użytkowników w zidentyfikowanym wcześniej jednostkach organizacyjnych. Reguła synchronizacji ruchu przychodzącego to reguła sprzężenia z atrybutem docelowym cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do dokumentacji synchronizacji w chmurze przed podjęciem próby migracji środowiska produkcyjnego.

  1. Uruchom edytor synchronizacji z menu aplikacji na pulpicie, jak pokazano poniżej:

    Zrzut ekranu przedstawiający menu edytora reguł synchronizacji.

  2. Wybierz pozycję Ruch przychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj nową regułę.

    Zrzut ekranu przedstawiający okno

  3. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • Opis: Dodawanie opisów opisowych
    • Połączony system: wybierz łącznik usługi AD, dla którego piszesz niestandardową regułę synchronizacji
    • Typ obiektu systemu połączonego: użytkownik
    • Typ obiektu Metaverse: Osoba
    • Typ łącza: sprzężenia
    • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
    • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający stronę

  4. Na stronie Filtr określania zakresu wprowadź nazwę jednostki organizacyjnej lub grupę zabezpieczeń, dla której ma być oparty pilotaż. Aby filtrować według jednostki organizacyjnej, dodaj część jednostki organizacyjnej nazwy wyróżniającej. Ta reguła jest stosowana do wszystkich użytkowników, którzy znajdują się w tej jednostki organizacyjnej. Tak więc, jeśli DN kończy się ciągiem "OU=CPUsers,DC=contoso,DC=com, należy dodać ten filtr. Następnie kliknij przycisk Dalej.

    Reguła Atrybut Operator Wartość
    Określanie zakresu jednostki organizacyjnej DN ENDSWITH Nazwa wyróżniająca jednostki organizacyjnej.
    Grupa określania zakresu ISMEMBEROF Nazwa wyróżniająca grupy zabezpieczeń.

    Zrzut ekranu przedstawiający stronę Tworzenie reguły synchronizacji ruchu przychodzącego — filtr określania zakresu z wprowadzoną wartością filtru określającego zakres.

  5. Na stronie Reguły dołączania wybierz pozycję Dalej.

  6. Na stronie Przekształcenia dodaj stałą transformację: przepływ true do atrybutu cloudNoFlow. Wybierz Dodaj.

    Zrzut ekranu przedstawiający stronę Tworzenie reguły synchronizacji ruchu przychodzącego — przekształcenia z dodanym przepływem ciągłej transformacji.

Te same kroki należy wykonać dla wszystkich typów obiektów (użytkownik, grupa i kontakt). Powtórz kroki dla skonfigurowanego łącznika usługi AD / na las usługi AD.

Tworzenie niestandardowej reguły ruchu wychodzącego użytkownika

Potrzebna będzie reguła synchronizacji wychodzącej z typem łącza JoinNoFlow i filtrem określania zakresu, który zawiera atrybut cloudNoFlow ustawiony na True. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do dokumentacji synchronizacji w chmurze przed podjęciem próby migracji środowiska produkcyjnego.

  1. Wybierz pozycję Wychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj regułę.

    Zrzut ekranu przedstawiający wybraną pozycję Kierunek ruchu wychodzącego i wyróżniony przycisk Dodaj nową regułę.

  2. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • Opis: Dodawanie opisów opisowych
    • Połączony system: wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji
    • Typ obiektu systemu połączonego: użytkownik
    • Typ obiektu Metaverse: Osoba
    • Typ łącza: JoinNoFlow
    • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
    • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający stronę Opis z wprowadzonymi właściwościami.

  3. Na stronie Filtr określania zakresu wybierz pozycję cloudNoFlow równe True. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający regułę niestandardową.

  4. Na stronie Reguły dołączania wybierz pozycję Dalej.

  5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Te same kroki należy wykonać dla wszystkich typów obiektów (użytkownik, grupa i kontakt).

Instalowanie agenta aprowizacji firmy Microsoft

Jeśli używasz samouczka podstawowego usługi AD i środowiska platformy Azure, będzie to CP1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Connect.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu agenta aprowizacji programu Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny pakietu microsoft Entra Connect Provisioning Agent.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizowanie oparte na hr (Workday i SuccessFactors) / Microsoft Entra Connect w chmurze synchronizacji i wybierz przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta z co najmniej rolą administratora tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.

Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID (Łączenie identyfikatora entra firmy Microsoft).

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmiany podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Connect Active Directory (Łączenie usługi Active Directory).

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze. Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Connect Agent Updater i microsoft Entra Connect Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować aprowizację, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz pozycję Nowa konfiguracja. Zrzut ekranu przedstawiający dodawanie konfiguracji.
  2. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Wybierz pozycję Utwórz.

Zrzut ekranu przedstawiający nową konfigurację.

  1. Zostanie otwarty ekran Wprowadzenie.

  2. Na ekranie Rozpoczynanie pracy wybierz pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub wybierz filtry określania zakresu po lewej stronie w obszarze Zarządzaj.

Zrzut ekranu przedstawiający filtry określania zakresu.

  1. Wybierz filtr określania zakresu. Na potrzeby tego samouczka wybierz następujące opcje:
    • Wybrane jednostki organizacyjne: określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.
  2. W polu wprowadź ciąg "OU=CPUsers,DC=contoso,DC=com".

Zrzut ekranu przedstawiający filtr określania zakresu.

  1. Wybierz Dodaj. Wybierz pozycję Zapisz.

Uruchamianie harmonogramu

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Po zmodyfikowaniu reguł możesz ponownie uruchomić harmonogram. Wykonaj następujące kroki:

  1. Na serwerze z uruchomionym programem Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administracyjnymi
  2. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Uruchom polecenie Start-ADSyncSyncCycle, a następnie naciśnij Enter.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla programu Microsoft Entra Connect Sync, włącz harmonogram.

Po włączeniu harmonogramu program Microsoft Entra Connect przestaje eksportować wszelkie zmiany w obiektach z cloudNoFlow=true w metaverse, chyba że aktualizowane są jakieś atrybuty odwołania (takie jak manager). Jeśli na obiekcie nastąpi jakakolwiek aktualizacja atrybutu odwołania, program Microsoft Entra Connect ignoruje sygnał cloudNoFlow i eksportuje wszystkie jego aktualizacje.

Coś poszło nie tak

Jeśli pilotaż nie działa zgodnie z oczekiwaniami, możesz wrócić do konfiguracji programu Microsoft Entra Connect Sync, wykonując następujące kroki:

  1. Wyłącz konfigurację aprowizacji w portalu.
  2. Wyłącz wszystkie niestandardowe reguły synchronizacji utworzone na potrzeby aprowizacji w chmurze przy użyciu narzędzia Edytor reguł synchronizacji. Wyłączenie powinno spowodować pełną synchronizację wszystkich łączników.

Następne kroki