Udostępnij za pośrednictwem

Migrowanie do Microsoft Entra Cloud Sync dla istniejącego zsynchronizowanego lasu AD

  • Artykuł

Ten samouczek pokazuje, jak przeprowadzić migrację do synchronizacji w chmurze dla testowego lasu usług Active Directory, który jest już synchronizowany za pomocą Microsoft Entra Connect Sync.

Uwaga

Ten artykuł zawiera informacje dotyczące podstawowej migracji. Przed podjęciem próby migracji środowiska produkcyjnego należy zapoznać się z dokumentacją Migrowanie do synchronizacji z chmurą.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Kwestie wymagające rozważenia

Przed wypróbowaniem tego samouczka rozważ następujące elementy:

  1. Upewnij się, że znasz podstawy synchronizacji z chmurą.

  2. Upewnij się, że używasz programu Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej i skonfigurowano reguły synchronizacji zgodnie z dokumentacją.

  3. Podczas pilotowania usuwasz testową jednostkę organizacyjną lub grupę z zakresu Microsoft Entra Connect Sync. Przeniesienie obiektów poza zakres prowadzi do usunięcia tych obiektów w identyfikatorze Entra firmy Microsoft.

    • Obiekty użytkowników, obiekty w systemie Microsoft Entra ID są usuwane tymczasowo i można je przywrócić.
    • Obiekty grup w Microsoft Entra ID są trwale usuwane i nie można ich przywrócić.

    W programie Microsoft Entra Connect Sync wprowadzono nowy typ linku, co uniemożliwia usunięcie w scenariuszu pilotażowym.

  4. Upewnij się, że obiekty w zakresie pilota mają wypełnione pole ms-ds-consistencyGUID, aby synchronizacja w chmurze dokładnie dopasowywała obiekty.

Uwaga

Microsoft Entra Connect Sync nie wypełnia domyślnie identyfikatora ms-ds-consistencyGUID dla obiektów grupowych.

  1. Ta konfiguracja jest przeznaczona dla zaawansowanych scenariuszy. Dopilnuj, aby dokładnie wykonać kroki opisane w tym samouczku.

Wymagania wstępne

Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka

  • Środowisko testowe z programem Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej
  • Jednostka organizacyjna lub grupa, która jest objęta zakresem synchronizacji i może być wykorzystana w projekcie pilotażowym. Zalecamy rozpoczęcie od małego zestawu obiektów.
  • Serwer z systemem Windows Server 2016 lub nowszym do hostowania agenta aprowizacji.
  • Parametr źródłowy dla Microsoft Entra Connect Sync powinien mieć wartość objectGuid lub ms-ds-consistencyGUID

Aktualizowanie programu Microsoft Entra Connect

Co najmniej należy mieć program Microsoft Entra Connect 1.4.32.0. Aby zaktualizować program Microsoft Entra Connect Sync, wykonaj kroki opisane w temacie Microsoft Entra Connect: uaktualnianie do najnowszej wersji.

Tworzenie kopii zapasowej konfiguracji programu Microsoft Entra Connect

Przed wprowadzeniem jakichkolwiek zmian należy utworzyć kopię zapasową konfiguracji programu Microsoft Entra Connect. W ten sposób można przywrócić poprzednią konfigurację. Aby uzyskać więcej informacji, zobacz Importowanie i eksportowanie ustawień konfiguracji programu Microsoft Entra Connect.

Zatrzymaj harmonogram

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Aby zmodyfikować i dodać reguły niestandardowe, należy wyłączyć harmonogram, aby synchronizacje nie działały podczas wprowadzania zmian. Aby zatrzymać harmonogram, wykonaj następujące czynności:

  1. Na serwerze z uruchomionym programem Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administracyjnymi.
  2. Uruchom program Stop-ADSyncSyncCycle. Naciśnij Enter.
  3. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $false.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla programu Microsoft Entra Connect Sync, wyłącz niestandardowy harmonogram synchronizacji.

Utwórz niestandardową regułę przychodzącą dla użytkownika

W edytorze reguł synchronizacji programu Microsoft Entra Connect należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje użytkowników w zidentyfikowanym wcześniej jednostkach organizacyjnych. Reguła synchronizacji przychodzącej to reguła łączenia z docelowym atrybutem cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz dokumentację Migrowanie do synchronizacji w chmurze przed podjęciem próby migracji swojego środowiska produkcyjnego.

  1. Uruchom edytor synchronizacji z menu aplikacji na pulpicie, jak pokazano poniżej:

    Zrzut ekranu przedstawiający menu edytora reguł synchronizacji.

  2. Wybierz pozycję Ruch przychodzący z listy rozwijanej Direction (Kierunek), a następnie wybierz pozycję Dodaj nową regułę.

    Zrzut ekranu przedstawiający okno

  3. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • opis : Dodaj opis zrozumiały
      • Połączony system: wybierz łącznik AD, dla którego piszesz niestandardową regułę synchronizacji
      • Typ obiektu systemu połączonego: użytkownik
      • Typ obiektu Metaverse: Osoba
      • Typ łącza: Dołącz
      • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
      • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający stronę

  4. Na stronie Filtr określania zakresu wprowadź nazwę jednostki organizacyjnej lub grupy zabezpieczeń, na której chcesz oprzeć program pilotażowy. Aby filtrować według jednostki organizacyjnej, dodaj część nazwy wyróżniającej jednostki organizacyjnej. Ta reguła jest stosowana do wszystkich użytkowników, którzy znajdują się w tej jednostki organizacyjnej. Zatem, jeśli DN kończy się ciągiem "OU=CPUsers,DC=contoso,DC=com", należy dodać ten filtr. Następnie kliknij przycisk Dalej.

    Reguła Atrybut Operator Wartość
    Określanie zakresu OU DN Kończy się na Nazwa wyróżniająca jednostki organizacyjnej (OU).
    Grupa ds. określania zakresu JESTCZŁONKIEM Nazwa rozróżniająca grupy zabezpieczeń.

    Zrzut ekranu przedstawiający filtry określania zakresu reguły synchronizacji.

  5. Na stronie Reguły dołączania wybierz pozycję Dalej.

  6. Na stronie Przekształcenia dodaj transformację typu Constant: flow True do atrybutu cloudNoFlow. Wybierz Dodaj.

    Zrzut ekranu przedstawiający przekształcenia reguły synchronizacji.

Te same kroki należy wykonać dla wszystkich typów obiektów (użytkownik, grupa i kontakt). Powtórz kroki dla każdego skonfigurowanego łącznika AD oraz dla każdego lasu AD.

Utwórz niestandardową regułę wychodzącą użytkownika

Będzie potrzebna reguła synchronizacji wychodzącej z typem łącza JoinNoFlow i filtrem określania zakresu, który zawiera atrybut cloudNoFlow ustawiony na wartość True. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz dokumentację Migrowanie do synchronizacji w chmurze przed podjęciem próby migracji swojego środowiska produkcyjnego.

  1. Wybierz Wychodzący z listy rozwijanej dla kierunku, a następnie wybierz Dodaj regułę.

    Zrzut ekranu przedstawiający reguły synchronizacji wychodzącej.

  2. Na stronie Opis wprowadź następujące polecenie i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę
    • opis : Dodaj opis zrozumiały
      • Połączony system: wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji
      • Typ obiektu systemu połączonego: użytkownik
      • Typ obiektu Metaverse: Osoba
      • Typ łącza: JoinNoFlow
      • Pierwszeństwo: podaj wartość, która jest unikatowa w systemie
      • Tag: Pozostaw to puste

    Zrzut ekranu przedstawiający opis reguły synchronizacji.

  3. Na stronie Filtr określania zakresu wybierz pozycję cloudNoFlow równe True. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający regułę niestandardową.

  4. Na stronie Reguły dołączania wybierz pozycję Dalej.

  5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Te same kroki należy wykonać dla wszystkich typów obiektów (użytkownik, grupa i kontakt).

Zainstaluj agenta wdrażania Microsoft Entra

Jeśli korzystasz z samouczka dotyczącego podstawowego środowiska AD i Azure, będzie to CP1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Connect.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu Microsoft Entra Connect Provisioning Agent, uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu pobrane.

Uwaga

Podczas instalacji w chmurze obliczeniowej rządu USA, użyj:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny pakietu microsoft Entra Connect Provisioning Agent.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizacja oparta na HR (Workday i SuccessFactors) / synchronizacja w chmurze Microsoft Entra Connect i wybierz przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do używania z usługą Microsoft Entra on-premises application provisioning, wybierz pozycję Aprowizacja aplikacji lokalnych (Microsoft Entra ID do aplikacji).

  1. Zaloguj się przy użyciu konta z rolą co najmniej Administrator tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.

Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID.

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz gMSA, które pozwala agentowi utworzyć zarządzane konto usługi provAgentgMSA$ dla ciebie. Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub się zmieni podczas instalacji agenta, należy ponownie skonfigurować agenta z nowymi poświadczeniami. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład skonfigurowanej domeny contoso.com. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu ekranu Connect Active Directory.

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta portalu Azure

Aby sprawdzić, czy agent jest zarejestrowany przez Microsoft Entra ID, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze. Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest zdrowy.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że Microsoft Entra Connect Agent Updater i Microsoft Entra Connect Provisioning Agent są obecne i mają status Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Zweryfikuj wersję agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować aprowizację, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Hybrydowy.
  2. Przejdź do Tożsamość>Zarządzanie hybrydowe>Microsoft Entra Connect>Synchronizacja z chmurą. Zrzut ekranu strony głównej synchronizacji z chmurą.

  1. Wybierz pozycję Nowa konfiguracja. Zrzut ekranu przedstawiający dodawanie konfiguracji.

  2. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Wybierz pozycję Utwórz.
    Zrzut ekranu przedstawiający nową konfigurację.

  3. Zostanie otwarty ekran Wprowadzenie.

  4. Na ekranie Rozpoczynanie pracy wybierz pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu lub wybierz Filtry określania zakresu po lewej stronie w obszarze Zarządzaj. Zrzut ekranu przedstawiający filtry określania zakresu.

  5. Wybierz filtr zakresu. Na potrzeby tego samouczka wybierz następujące opcje:

    • Wybrane jednostki organizacyjne: określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.

  6. W polu wprowadź tekst "OU=CPUsers,DC=contoso,DC=com". Zrzut ekranu przedstawiający filtr określania zakresu.

  7. Wybierz Dodaj. Wybierz pozycję Zapisz.

Uruchamianie harmonogramu

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Po zmodyfikowaniu reguł możesz ponownie uruchomić harmonogram. Wykonaj następujące kroki:

  1. Na serwerze z uruchomionym programem Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administracyjnymi
  2. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Uruchom polecenie Start-ADSyncSyncCycle, a następnie naciśnij Enter.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla programu Microsoft Entra Connect Sync, ponownie włącz niestandardowy harmonogram synchronizacji.

Po włączeniu harmonogramu program Microsoft Entra Connect przestaje eksportować wszelkie zmiany w obiektach w metaverse zawierających cloudNoFlow=true, chyba że aktualizowany jest któryś z atrybutów odwołania (na przykład manager). Jeśli na obiekcie nastąpi jakakolwiek aktualizacja atrybutu referencyjnego, program Microsoft Entra Connect ignoruje sygnał cloudNoFlow i eksportuje wszystkie aktualizacje na obiekcie.

Coś poszło nie tak

Jeśli pilotaż nie działa zgodnie z oczekiwaniami, możesz wrócić do konfiguracji programu Microsoft Entra Connect Sync, wykonując następujące kroki:

  1. Wyłącz konfigurację aprowizacji w portalu.
  2. Wyłącz wszystkie niestandardowe reguły synchronizacji utworzone na potrzeby aprowizacji w chmurze przy użyciu narzędzia Edytor reguł synchronizacji. Wyłączenie powinno spowodować pełną synchronizację wszystkich łączników.

Następne kroki