Dela via

Migrera till Microsoft Entra Cloud Sync för en befintlig synkroniserad AD-skog

  • Artikel

I denna handledning visar vi hur du migrerar till molnsynk för en testmiljö för Active Directory-skog som redan har synkroniserats med Microsoft Entra Connect Sync.

Kommentar

Den här artikeln innehåller information om en grundläggande migrering och du bör läsa dokumentationen migrera till molnsynkronisering innan du försöker migrera produktionsmiljön.

Diagram som visar Microsoft Entra Cloud Sync-flödet.

Att tänka på

Innan du provar den här självstudien bör du tänka på följande:

  1. Se till att du är bekant med grunderna i molnsynkronisering.

  2. Kontrollera att du kör Microsoft Entra Connect Sync version 1.4.32.0 eller senare och har konfigurerat synkroniseringsreglerna som dokumenterade.

  3. När du genomför en pilotkörning tar du bort en test-OU eller grupp från Microsoft Entra Connect Sync-omfånget. Att flytta objekt utanför omfånget leder till borttagning av dessa objekt i Microsoft Entra-ID.

    • Användarobjekt, objekten i Microsoft Entra-ID är mjukt borttagna och kan återställas.
    • Gruppobjekt, objekten i Microsoft Entra-ID är hårt borttagna och kan inte återställas.

    En ny länktyp har introducerats i Microsoft Entra Connect Sync, vilket förhindrar borttagning i ett pilotscenario.

  4. Se till att objekten i pilotomfånget har ms-ds-consistencyGUID ifylld så att molnsynkronisering strikt matchar objekten.

Anteckning

Microsoft Entra Connect Sync fyller som standard inte i ms-ds-consistencyGUID för gruppobjekt.

  1. Den här konfigurationen är avsedd för avancerade scenarier. Se till att du följer de steg som beskrivs i den här handledningen noga.

Förutsättningar

Följande förutsättningar behövs för att genomföra den här handledningen

  • En testmiljö med Microsoft Entra Connect Sync version 1.4.32.0 eller senare
  • En organisationsenhet eller grupp som är synkroniserad och kan användas i piloten. Vi rekommenderar att du börjar med en liten uppsättning objekt.
  • En server som kör Windows Server 2016 eller senare som värd för etableringsagenten.
  • Källankare för Microsoft Entra Connect Sync ska vara antingen objectGuid eller ms-ds-consistencyGUID

Uppdatera Microsoft Entra Connect

Du bör minst ha Microsoft Entra Connect 1.4.32.0. Om du vill uppdatera Microsoft Entra Connect Sync slutför du stegen i Microsoft Entra Connect: Uppgradera till den senaste versionen.

Säkerhetskopiera din Microsoft Entra Connect-konfiguration

Innan du gör några ändringar bör du säkerhetskopiera din Microsoft Entra Connect-konfiguration. På så sätt kan du återställa till din tidigare konfiguration. Mer information finns i Importera och exportera Microsoft Entra Connect-konfigurationsinställningar .

Stoppa schemaläggaren

Microsoft Entra Connect Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Om du vill ändra och lägga till anpassade regler inaktiverar du schemaläggaren så att synkroniseringar inte körs medan du arbetar med att göra ändringarna. Om du vill stoppa schemaläggaren använder du följande steg:

  1. På servern som kör Microsoft Entra Connect Sync öppnar du PowerShell med administratörsbehörighet.
  2. Kör Stop-ADSyncSyncCycle. Tryck på Enter.
  3. Kör Set-ADSyncScheduler -SyncCycleEnabled $false.

Anteckning

Om du kör en egen anpassad schemaläggare för Microsoft Entra Connect Sync inaktiverar du den anpassade synkroniseringsschemaläggaren.

Skapa en anpassad regel för användarrelaterad inkommande trafik

I Redigeraren för Microsoft Entra Connect-synkroniseringsregler måste du skapa en regel för inkommande synkronisering som filtrerar bort användare i den organisationsenhet som du identifierade tidigare. Regeln för inkommande synkronisering är en kopplingsregel med ett målattribut för cloudNoFlow. Den här regeln säger till Microsoft Entra Connect att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.

  1. Starta synkroniseringsredigeraren från programmenyn på skrivbordet enligt följande:

    Skärmbild av menyn för synkroniseringsregelredigeraren.

  2. Välj Inkommande från rullgardinsmenyn för Riktning och välj Lägg till ny regel.

    Skärmbild som visar fönstret

  3. På sidan Beskrivning anger du följande och väljer Nästa:

    • Namn: Ge regeln ett beskrivande namn
    • Beskrivning: Lägg till en beskrivande beskrivning
      • Anslutet system: Välj den AD-anslutning som du skriver den anpassade synkroniseringsregeln för
      • Typ av anslutet systemobjekt: Användare
      • Metaversumobjekttyp: Person
      • Länktyp: Anslut
      • Prioritet: Ange ett värde som är unikt i systemet
      • Tagg: Lämna det här tomt

    Skärmbild som visar sidan

  4. På sidan Omfångsfilter anger du den organisationsenhet eller säkerhetsgrupp som du vill att piloten ska vara baserad på. Om du vill filtrera på organisationsenhet, lägger du till OU-delen av det distingerade namnet. Den här regeln tillämpas på alla användare som finns i organisationsenheten. Om DN slutar med "OU=CPUsers,DC=contoso,DC=com, lägger du till det här filtret. Välj sedan Nästa.

    Regel Attribut Operatör Värde
    Avgränsande organisatorisk enhet (OU) DN SLUTAR MED Unikt namn på organisationsenheten.
    Omfångsgrupp ISMEMBEROF Unikt namn på säkerhetsgruppen.

    Skärmbild som visar omfångsfilter för synkroniseringsregeln.

  5. På sidan Kopplingsregler väljer du Nästa.

  6. På sidan Transformationer lägger du till en Konstant Transformation: flow True till cloudNoFlow-attributet. Markera Lägga till.

    Skärmbild som visar omvandlingar av synkroniseringsregeln.

Samma steg måste följas för alla objekttyper (användare, grupp och kontakt). Upprepa steg för varje konfigurerad AD Connector och AD-skog.

Skapa anpassad utgående regel för användare

Du behöver en regel för utgående synkronisering med länktypen JoinNoFlow och det omfångsfiltret som har attributet cloudNoFlow inställt på True. Den här regeln säger till Microsoft Entra Connect att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.

  1. Välj Utgående från listrutan för Riktning och välj Lägg till regel.

    Skärmbild som visar reglerna för utgående synkronisering.

  2. På sidan Beskrivning anger du följande och väljer Nästa:

    • Namn: Ge regeln ett beskrivande namn
    • Beskrivning: Lägg till en beskrivande beskrivning
      • Anslutet system: Välj den Microsoft Entra-anslutning som du skriver den anpassade synkroniseringsregeln för
      • Typ av anslutet systemobjekt: Användare
      • Metaversumobjekttyp: Person
      • Länktyp: JoinNoFlow
      • Prioritet: Ange ett värde som är unikt i systemet
      • Tagg: Lämna det här tomt

    Skärmbild som visar beskrivningen av synkroniseringsregeln.

  3. På sidan Omfångsfilter väljer du cloudNoFlow lika med Sant. Välj sedan Nästa.

    Skärmbild som visar en anpassad regel.

  4. På sidan Kopplingsregler väljer du Nästa.

  5. På sidan Transformeringar väljer du Lägg till.

Samma steg måste följas för alla objekttyper (användare, grupp och kontakt).

Installera Microsoft Entra-etableringsagenten

Om du använder självstudien Grundläggande AD och Azure-miljö är det CP1. Följ dessa steg för att installera agenten:

  1. I Azure Portal väljer du Microsoft Entra-ID.
  2. Till vänster väljer du Microsoft Entra Connect.
  3. Till vänster väljer du Molnsynkronisering.

Skärmbild av den nya UX-skärmen.

  1. Till vänster väljer du Agent.
  2. Välj Ladda ned lokal agent och välj Acceptera villkor och ladda ned.

Skärmbild av nedladdningsagenten.

  1. När Microsoft Entra Connect Provisioning Agent Package har laddats ned kör du installationsfilen AADConnectProvisioningAgentSetup.exe från mappen för nedladdningar.

Anteckning

När du installerar för US Government Cloud-användning:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Mer information finns i "Installera en agent i det amerikanska myndighetsmolnet".

  1. På välkomstskärmen väljer du Jag godkänner licensen och villkoren och väljer sedan Installera.

Skärmbild som visar välkomstskärmen för Microsoft Entra Connect Provisioning Agent Package.

  1. När installationen är klar startas konfigurationsguiden. Välj Nästa för att starta konfigurationen. Skärmbild av välkomstskärmen.
  2. På skärmen Välj tillägg väljer du HR-driven etablering (Workday och SuccessFactors)/Microsoft Entra Connect-molnsynkronisering och väljer Nästa. Skärmbild av skärmen för val av tillägg.

Anteckning

Om du installerar etableringsagenten för användning med lokal Microsoft Entra-programetableringväljer du Lokal programetablering (Microsoft Entra-ID till program).

  1. Logga in med ett konto med minst rollen Hybrididentitetsadministratör . Om du har utökad säkerhet i Internet Explorer blockeras inloggningen. I så fall stänger du installationen, inaktiverar Förbättrad säkerhet i Internet Explorer och startar om installationen av Microsoft Entra Connect Provisioning Agent Package .

Skärmbild av skärmen Anslut Microsoft Entra-ID.

  1. På skärmen Konfigurera tjänstkonto väljer du ett grupphanterat tjänstkonto (gMSA). Det här kontot används för att köra agenttjänsten. Om ett hanterat tjänstkonto redan har konfigurerats i domänen av en annan agent och du installerar en andra agent väljer du Skapa gMSA eftersom systemet identifierar det befintliga kontot och lägger till de behörigheter som krävs för att den nya agenten ska kunna använda gMSA-kontot. När du uppmanas till det väljer du något av följande:
  • Skapa gMSA som gör att agenten kan skapa det hanterade tjänstkontot provAgentgMSA$ åt dig. Det grupphanterade tjänstkontot (till exempel CONTOSO\provAgentgMSA$) skapas i samma Active Directory-domän där värdservern har anslutits. Om du vill använda det här alternativet anger du autentiseringsuppgifterna för Active Directory-domänadministratören (rekommenderas).
  • Använd anpassad gMSA och ange namnet på det hanterade tjänstkonto som du har skapat manuellt för den här uppgiften.

Välj Nästa för att fortsätta.

Skärmbild av skärmen Konfigurera tjänstkonto.

  1. På skärmen Anslut Active Directory går du vidare till nästa steg om domännamnet visas under Konfigurerade domäner. Annars skriver du ditt Active Directory-domännamn och väljer Lägg till katalog.

  2. Logga in med ditt Active Directory-domänadministratörskonto. Domänadministratörskontot bör inte ha ett lösenord som har upphört att gälla. Om lösenordet har upphört att gälla eller ändras under agentinstallationen måste du konfigurera om agenten med de nya autentiseringsuppgifterna. Den här åtgärden lägger till din lokala katalog. Välj OK och sedan Nästa för att fortsätta.

Skärmbild som visar hur du anger autentiseringsuppgifterna för domänadministratören.

  1. Följande skärmbild visar ett exempel på contoso.com konfigurerad domän. Klicka på Nästa när du vill fortsätta.

Skärmbild av skärmen Anslut Active Directory.

  1. På skärmen Konfigurationen är klar väljer du Bekräfta. Den här åtgärden registrerar och startar om agenten.

  2. När den här åtgärden har slutförts bör du få ett meddelande om att agentkonfigurationen har verifierats. Du kan välja Avsluta.

Skärmbild som visar slutskärmen.

  1. Om du fortfarande får den första välkomstskärmen väljer du Stäng.

Verifiera agentinstallation

Agentverifiering sker i Azure Portal och på den lokala server som kör agenten.

Azure Portal-agentverifiering

Så här kontrollerar du att agenten registreras av Microsoft Entra-ID:

  1. Logga in på Azure-portalen.
  2. Välj Microsoft Entra ID.
  3. Välj Microsoft Entra Connect och välj sedan Molnsynkronisering. Skärmbild av den nya UX-skärmen.
  4. På sidan för molnsynkronisering visas de agenter som du har installerat. Kontrollera att agenten visas och att statusen är felfri.

På den lokala servern

Följ dessa steg för att kontrollera att agenten körs:

  1. Logga in på servern med ett administratörskonto.
  2. Öppna tjänster antingen genom att navigera till den eller genom att gå till Start/Run/Services.msc.
  3. Under Tjänster kontrollerar du att Microsoft Entra Connect Agent Updater och Microsoft Entra Connect Provisioning Agent finns och att statusen körs. Skärmbild som visar Windows-tjänsterna.

Verifiera tillhandahållandeagentversionen

Följ dessa steg för att kontrollera vilken version av agenten som körs:

  1. Gå till "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Högerklicka på "AADConnectProvisioningAgent.exe" och välj egenskaper.
  3. Klicka på informationsfliken så visas versionsnumret bredvid Produktversion.

Konfigurera Microsoft Entra Cloud Sync

sv-SE: Använd följande steg för att konfigurera tilldelning:

  1. Logga in på administrationscentret för Microsoft Entra som minst en hybridadministratör.
  2. Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.Skärmbild av startsidan för molnsynkronisering.

  1. Välj Ny konfiguration. Skärmbild av att lägga till en konfiguration.

  2. På konfigurationsskärmen väljer du din domän och om du vill aktivera synkronisering av lösenordshash. Välj Skapa.
    Skärmbild av en ny konfiguration.

  3. Skärmen Kom igång öppnas.

  4. På skärmen Kom igång väljer du antingen Lägg till omfångsfilter bredvid ikonen Lägg till omfångsfilter eller väljer du Omfångsfilter till vänster under Hantera. Skärmbild av omfångsfilter.

  5. Välj omfångsfiltret. I den här handledningen väljer du:

    • Valda organisationsenheter: Omfång för konfigurationen som ska tillämpas på specifika organisationsenheter.

  6. I rutan, ange "OU=CPUsers,DC=contoso,DC=com". Skärmbild av omfångsfiltret.

  7. Markera Lägga till. Välj Spara.

Starta schemaläggaren

Microsoft Entra Connect Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Nu när du har ändrat reglerna kan du starta om schemaläggaren. Gör så här:

  1. På servern som kör Microsoft Entra Connect Sync öppnar du PowerShell med administratörsbehörighet
  2. Kör Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Kör Start-ADSyncSyncCycle och tryck sedan på Retur.

Kommentar

Om du kör en egen anpassad schemaläggare för Microsoft Entra Connect Sync aktiverar du den anpassade synkroniseringsschemaläggaren igen.

När schemaläggaren är aktiverad slutar Microsoft Entra Connect att exportera ändringar på objekt med cloudNoFlow=true i metaversum, såvida inte något referensattribut (till exempel manager) uppdateras. Om det finns någon uppdatering av referensattributet på objektet ignorerar Microsoft Entra Connect cloudNoFlow-signalen och exporterar alla uppdateringar på objektet.

Något gick fel

Om piloten inte fungerar som förväntat kan du gå tillbaka till Microsoft Entra Connect Sync-konfigurationen genom att följa dessa steg:

  1. Inaktivera tillhandahållandekonfigurationen i portalen.
  2. Inaktivera alla anpassade synkroniseringsregler som skapats för molnprovisionering med verktyget Synkroniseringsregelredigeraren. Att inaktivera borde orsaka fullständig synkronisering av alla anslutningar.

Nästa steg