Migrera till Microsoft Entra Cloud Sync för en befintlig synkroniserad AD-skog
Den här självstudien beskriver hur du migrerar till molnsynkronisering för en active directory-testskog som redan har synkroniserats med Microsoft Entra Connect Sync.
Kommentar
Den här artikeln innehåller information om en grundläggande migrering och du bör läsa dokumentationen migrera till molnsynkronisering innan du försöker migrera produktionsmiljön.
Att tänka på
Innan du provar den här självstudien bör du tänka på följande:
Se till att du är bekant med grunderna i molnsynkronisering.
Kontrollera att du kör Microsoft Entra Connect Sync version 1.4.32.0 eller senare och har konfigurerat synkroniseringsreglerna som dokumenterade.
När du pilottestar tar du bort en testenhet eller grupp från Microsoft Entra Connect Sync-omfånget. Att flytta objekt utanför omfånget leder till borttagning av dessa objekt i Microsoft Entra-ID.
- Användarobjekt, objekten i Microsoft Entra-ID är mjukt borttagna och kan återställas.
- Gruppobjekt, objekten i Microsoft Entra-ID är hårt borttagna och kan inte återställas.
En ny länktyp har introducerats i Microsoft Entra Connect Sync, vilket förhindrar borttagning i ett pilotscenario.
Se till att objekten i pilotomfånget har ms-ds-consistencyGUID ifyllt så att molnsynkronisering matchar objekten.
Kommentar
Microsoft Entra Connect Sync fyller inte ms-ds-consistencyGUID som standard för gruppobjekt.
- Den här konfigurationen är avsedd för avancerade scenarier. Se till att du följer de steg som beskrivs i den här självstudien exakt.
Förutsättningar
Följande är förutsättningar som krävs för den här självstudien
- En testmiljö med Microsoft Entra Connect Sync version 1.4.32.0 eller senare
- En organisationsenhet eller grupp som är synkroniserad och kan användas som pilot. Vi rekommenderar att du börjar med en liten uppsättning objekt.
- En server som kör Windows Server 2016 eller senare som ska vara värd för etableringsagenten.
- Källankare för Microsoft Entra Connect Sync ska vara antingen objectGuid eller ms-ds-consistencyGUID
Uppdatera Microsoft Entra Connect
Du bör minst ha Microsoft Entra Connect 1.4.32.0. Om du vill uppdatera Microsoft Entra Connect Sync slutför du stegen i Microsoft Entra Connect: Uppgradera till den senaste versionen.
Säkerhetskopiera din Microsoft Entra Connect-konfiguration
Innan du gör några ändringar bör du säkerhetskopiera din Microsoft Entra Connect-konfiguration. På så sätt kan du återställa till din tidigare konfiguration. Mer information finns i Importera och exportera Microsoft Entra Connect-konfigurationsinställningar .
Stoppa schemaläggaren
Microsoft Entra Connect Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Om du vill ändra och lägga till anpassade regler vill du inaktivera schemaläggaren så att synkroniseringar inte körs när du arbetar med att göra ändringarna. Om du vill stoppa schemaläggaren använder du följande steg:
- På servern som kör Microsoft Entra Connect Sync öppnar du PowerShell med administratörsbehörighet.
- Kör
Stop-ADSyncSyncCycle
. Tryck på Retur. - Kör
Set-ADSyncScheduler -SyncCycleEnabled $false
.
Kommentar
Om du kör en egen anpassad schemaläggare för Microsoft Entra Connect Sync inaktiverar du schemaläggaren.
Skapa en regel för inkommande användare
I Redigeraren för Microsoft Entra Connect-synkroniseringsregler måste du skapa en regel för inkommande synkronisering som filtrerar bort användare i den organisationsenhet som du identifierade tidigare. Regeln för inkommande synkronisering är en kopplingsregel med ett målattribut för cloudNoFlow. Den här regeln säger till Microsoft Entra Connect att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.
Starta synkroniseringsredigeraren från programmenyn på skrivbordet enligt nedan:
Välj Inkommande i listrutan för Riktning och välj Lägg till ny regel.
På sidan Beskrivning anger du följande och väljer Nästa:
- Namn: Ge regeln ett beskrivande namn
- Beskrivning: Lägg till en beskrivande beskrivning
- Anslutet system: Välj den AD-anslutning som du skriver den anpassade synkroniseringsregeln för
- Typ av anslutet systemobjekt: Användare
- Metaversumobjekttyp: Person
- Länktyp: Anslut
- Prioritet: Ange ett värde som är unikt i systemet
- Tagg: Lämna det här tomt
På sidan Omfångsfilter anger du den organisationsenhet eller säkerhetsgrupp som du vill att piloten ska vara baserad på. Om du vill filtrera på organisationsenhet lägger du till OU-delen av det unika namnet. Den här regeln tillämpas på alla användare som finns i den organisationsenheten. Om DN slutar med "OU=CPUsers,DC=contoso,DC=com, lägger du till det här filtret. Välj sedan Nästa.
Regel Attribut Operator Värde Omfångs-OU DN ENDSWITH Unikt namn på organisationsenheten. Omfångsgrupp ISMEMBEROF Unikt namn på säkerhetsgruppen. På sidan Kopplingsregler väljer du Nästa.
På sidan Transformationer lägger du till en Konstant transformering: flöde Sant till cloudNoFlow-attribut. Markera Lägga till.
Samma steg måste följas för alla objekttyper (användare, grupp och kontakt). Upprepa steg per konfigurerad AD Connector/per AD-skog.
Skapa utgående regel för anpassad användare
Du behöver också en regel för utgående synkronisering med länktypen JoinNoFlow och omfångsfiltret som har attributet cloudNoFlow inställt på Sant. Den här regeln säger till Microsoft Entra Connect att inte synkronisera attribut för dessa användare. Mer information finns i Migrera till dokumentation om molnsynkronisering innan du försöker migrera din produktionsmiljö.
Välj Utgående från listrutan för Riktning och välj Lägg till regel.
På sidan Beskrivning anger du följande och väljer Nästa:
- Namn: Ge regeln ett beskrivande namn
- Beskrivning: Lägg till en beskrivande beskrivning
- Anslutet system: Välj den Microsoft Entra-anslutning som du skriver den anpassade synkroniseringsregeln för
- Typ av anslutet systemobjekt: Användare
- Metaversumobjekttyp: Person
- Länktyp: JoinNoFlow
- Prioritet: Ange ett värde som är unikt i systemet
- Tagg: Lämna det här tomt
På sidan Omfångsfilter väljer du cloudNoFlow lika med Sant. Välj sedan Nästa.
På sidan Kopplingsregler väljer du Nästa.
På sidan Transformeringar väljer du Lägg till.
Samma steg måste följas för alla objekttyper (användare, grupp och kontakt).
Installera Microsoft Entra-etableringsagenten
Om du använder självstudien Grundläggande AD och Azure-miljö skulle det vara CP1. Följ dessa steg för att installera agenten:
- I Azure Portal väljer du Microsoft Entra-ID.
- Till vänster väljer du Microsoft Entra Connect.
- Till vänster väljer du Molnsynkronisering.
- Till vänster väljer du Agent.
- Välj Ladda ned lokal agent och välj Acceptera villkor och ladda ned.
- När Microsoft Entra Connect Provisioning Agent Package har laddats ned kör du installationsfilen AADConnectProvisioningAgentSetup.exe från mappen för nedladdningar.
Kommentar
När du installerar för US Government Cloud-användning:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Mer information finns i "Installera en agent i det amerikanska myndighetsmolnet".
- På välkomstskärmen väljer du Jag godkänner licensen och villkoren och väljer sedan Installera.
- När installationen är klar startas konfigurationsguiden. Välj Nästa för att starta konfigurationen.
- På skärmen Välj tillägg väljer du HR-driven etablering (Workday och SuccessFactors)/Microsoft Entra Connect-molnsynkronisering och väljer Nästa.
Kommentar
Om du installerar etableringsagenten för användning med lokal appetablering väljer du Lokal programetablering (Microsoft Entra-ID till program).
- Logga in med ett konto med minst rollen Hybrididentitetsadministratör . Om du har utökad säkerhet i Internet Explorer blockeras inloggningen. I så fall stänger du installationen, inaktiverar Förbättrad säkerhet i Internet Explorer och startar om installationen av Microsoft Entra Connect Provisioning Agent Package .
- På skärmen Konfigurera tjänstkonto väljer du ett grupphanterat tjänstkonto (gMSA). Det här kontot används för att köra agenttjänsten. Om ett hanterat tjänstkonto redan har konfigurerats i domänen av en annan agent och du installerar en andra agent väljer du Skapa gMSA eftersom systemet identifierar det befintliga kontot och lägger till de behörigheter som krävs för att den nya agenten ska kunna använda gMSA-kontot. När du uppmanas till det väljer du något av följande:
- Skapa gMSA som gör att agenten kan skapa det hanterade tjänstkontot provAgentgMSA$ åt dig. Det grupphanterade tjänstkontot (till exempel CONTOSO\provAgentgMSA$) skapas i samma Active Directory-domän där värdservern har anslutits. Om du vill använda det här alternativet anger du autentiseringsuppgifterna för Active Directory-domänadministratören (rekommenderas).
- Använd anpassad gMSA och ange namnet på det hanterade tjänstkonto som du har skapat manuellt för den här uppgiften.
Välj Nästa för att fortsätta.
På skärmen Anslut Active Directory går du vidare till nästa steg om domännamnet visas under Konfigurerade domäner. Annars skriver du ditt Active Directory-domännamn och väljer Lägg till katalog.
Logga in med ditt Active Directory-domänadministratörskonto. Domänadministratörskontot bör inte ha ett lösenord som har upphört att gälla. Om lösenordet har upphört att gälla eller ändras under agentinstallationen måste du konfigurera om agenten med de nya autentiseringsuppgifterna. Den här åtgärden lägger till din lokala katalog. Välj OK och sedan Nästa för att fortsätta.
- Följande skärmbild visar ett exempel på contoso.com konfigurerad domän. Klicka på Nästa när du vill fortsätta.
På skärmen Konfigurationen är klar väljer du Bekräfta. Den här åtgärden registrerar och startar om agenten.
När den här åtgärden har slutförts bör du få ett meddelande om att agentkonfigurationen har verifierats. Du kan välja Avsluta.
- Om du fortfarande får den första välkomstskärmen väljer du Stäng.
Verifiera agentinstallation
Agentverifiering sker i Azure Portal och på den lokala server som kör agenten.
Azure Portal agentverifiering
Så här kontrollerar du att agenten registreras av Microsoft Entra-ID:
- Logga in på Azure-portalen.
- Välj Microsoft Entra ID.
- Välj Microsoft Entra Connect och välj sedan Molnsynkronisering.
- På sidan för molnsynkronisering visas de agenter som du har installerat. Kontrollera att agenten visas och att statusen är felfri.
På den lokala servern
Följ dessa steg för att kontrollera att agenten körs:
- Logga in på servern med ett administratörskonto.
- Öppna tjänster antingen genom att navigera till den eller genom att gå till Start/Run/Services.msc.
- Under Tjänster kontrollerar du att Microsoft Entra Connect Agent Updater och Microsoft Entra Connect Provisioning Agent finns och att statusen körs.
Verifiera etableringsagentversionen
Följ dessa steg för att kontrollera vilken version av agenten som körs:
- Gå till "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
- Högerklicka på "AADConnectProvisioningAgent.exe" och välj egenskaper.
- Klicka på informationsfliken så visas versionsnumret bredvid Produktversion.
Konfigurera Microsoft Entra Cloud Sync
Använd följande steg för att konfigurera etablering:
- Logga in på administrationscentret för Microsoft Entra som minst en hybridadministratör.
- Bläddra till Identity>Hybrid Management>Microsoft Entra Connect>Cloud Sync.
- Välj Ny konfiguration.
- På konfigurationsskärmen väljer du din domän och om du vill aktivera synkronisering av lösenordshash. Klicka på Skapa.
Skärmen Kom igång öppnas.
På skärmen Kom igång klickar du antingen på Lägg till omfångsfilter bredvid ikonen Lägg till omfångsfilter eller klickar på Omfångsfilter till vänster under Hantera.
- Välj omfångsfiltret. I den här självstudien väljer du:
- Valda organisationsenheter: Omfång för konfigurationen som ska tillämpas på specifika organisationsenheter.
- I rutan anger du "OU=CPUsers,DC=contoso,DC=com".
- Klicka på Lägg till. Klicka på Spara.
Starta schemaläggaren
Microsoft Entra Connect Sync synkroniserar ändringar som inträffar i din lokala katalog med hjälp av en schemaläggare. Nu när du har ändrat reglerna kan du starta om schemaläggaren. Gör så här:
- På servern som kör Microsoft Entra Connect Sync öppnar du PowerShell med administratörsbehörighet
- Kör
Set-ADSyncScheduler -SyncCycleEnabled $true
. - Kör
Start-ADSyncSyncCycle
och tryck sedan på Retur.
Kommentar
Om du kör en egen anpassad schemaläggare för Microsoft Entra Connect Sync aktiverar du schemaläggaren.
När schemaläggaren är aktiverad slutar Microsoft Entra Connect att exportera ändringar på objekt med cloudNoFlow=true
i metaversum, såvida inte något referensattribut (till exempel manager
) uppdateras. Om det finns någon uppdatering av referensattributet på objektet ignorerar Microsoft Entra Connect signalen cloudNoFlow
och exporterar alla uppdateringar på objektet.
Något gick fel
Om piloten inte fungerar som förväntat kan du gå tillbaka till Microsoft Entra Connect Sync-konfigurationen genom att följa stegen nedan:
- Inaktivera etableringskonfigurationen i portalen.
- Inaktivera alla anpassade synkroniseringsregler som skapats för molnetablering med verktyget Redigeraren för synkroniseringsregel. Inaktivering bör orsaka fullständig synkronisering av alla anslutningsappar.