为现有的已同步 AD 林迁移到 Microsoft Entra 云同步

本教程将逐步演示如何为已使用 Microsoft Entra Connect Sync 功能进行同步的测试 Active Directory 林迁移到云同步。

注意

本文提供了有关基本迁移的信息，在尝试迁移生产环境之前，应查看迁移到云同步文档。

注意事项

在尝试学习本教程之前，请注意以下各项：

1. 确保熟悉云同步的基础知识。

2. 确保运行 Microsoft Entra Connect Sync 版本 1.4.32.0 或更高版本，并根据文档所述配置了同步规则。

3. 在试运行时，将从 Microsoft Entra Connect Sync 范围中删除测试 OU 或组。 将对象移出范围会导致在 Microsoft Entra ID 中删除这些对象。

   • 用户对象，将在 Microsoft Entra ID 中软删除但可以还原的对象。
   • 组对象，将在 Microsoft Entra ID 中硬删除但无法还原的对象。

   Microsoft Entra Connect Sync 中引入了一个新的链接类型，它可以防止在试运行方案中删除对象。

4. 确保为试点范围中的对象填充 ms-ds-consistencyGUID，使云同步与对象硬性匹配。

注意

Microsoft Entra Connect Sync 默认不会为组对象填充 ms-ds-consistencyGUID。

5. 此配置适用于高级方案。 请确保严格按照本教程所述的步骤操作。

先决条件

以下是完成本教程所需的先决条件

• 装有 Microsoft Entra Connect Sync 版本 1.4.32.0 或更高版本的测试环境
• 处于同步范围内的且可用于试运行的 OU 或组。 我们建议从少量的对象开始。
• 运行 Windows Server 2016 或更高版本的服务器，用于托管预配代理。
• Microsoft Entra Connect Sync 的源定位点应是 objectGuid 或 ms-ds-consistencyGUID

更新 Microsoft Entra Connect

至少应安装 Microsoft Entra Connect 1.4.32.0。 若要更新 Microsoft Entra Connect Sync，请完成 Microsoft Entra Connect：升级到最新版本中的步骤。

备份 Microsoft Entra Connect 配置

在进行任何更改之前，都应该备份 Microsoft Entra Connect 配置。 这样，就可以回滚到以前的配置。 有关详细信息，请参阅导入和导出 Microsoft Entra Connect 配置设置。

停止计划程序

Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。 若要修改和添加自定义规则，可以禁用该计划程序，以便在进行更改时不会运行同步。 若要停止计划程序，请执行以下步骤：

1. 在运行 Microsoft Entra Connect Sync 的服务器上，使用管理特权打开 PowerShell。
2. 运行 Stop-ADSyncSyncCycle。 按 Enter。
3. 运行 Set-ADSyncScheduler -SyncCycleEnabled $false。

注意

如果你正在运行自己的用于 Microsoft Entra Connect Sync 的自定义计划程序，请禁用该计划程序。

创建自定义用户入站规则

在 Microsoft Entra Connect 同步规则编辑器中，需要创建入站同步规则，以筛选出之前标识的 OU 中的用户。 入站同步规则是目标属性为 cloudNoFlow 的联接规则。 此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。 有关详细信息，请在尝试迁移生产环境之前参阅迁移到云同步文档。

1. 从桌面上的应用程序菜单启动同步编辑器，如下所示：

   

2. 在“方向”下拉列表中选择“入站”，然后选择“添加新规则”。

   

3. 在“说明”页上，输入以下内容并选择“下一步”：

   • 名称： 为规则指定一个有意义的名称
   • 说明： 添加有意义的说明
   • 连接的系统：选择要为其编写自定义同步规则的 AD 连接器
   • 连接的系统对象类型： 用户
   • Metaverse 对象类型： 人员
   • 链接类型： 联接
   • 优先顺序： 提供在系统中唯一的值
   • 标记： 将此项留空

   

4. 在“范围筛选器”页上，输入试运行所依据的 OU 或安全组。 若要按 OU 筛选，请添加可分辨名称的 OU 部分。 此规则将应用到该 OU 中的所有用户。 因此，如果 DN 以“OU=CPUsers,DC=contoso,DC=com”结尾，请添加此筛选器。 然后，选择“下一步”。

   规则	Attribute	操作员	值
   范围 OU	DN	ENDSWITH	OU 的可分辨名称。
   范围组		ISMEMBEROF	安全组的可分辨名称。

   

5. 在“联接”规则页上，选择“下一步”。

6. 在“转换”页上添加一个“常量”转换：将 True 流送到 cloudNoFlow 属性。 选择 添加 。

   

需要针对所有对象类型（用户、组和联系人）遵循相同的步骤。 针对配置的每个 AD 连接器/每个 AD 林重复这些步骤。

创建自定义用户出站规则

还需要一个链接类型为 JoinNoFlow 的出站同步规则，以及将 cloudNoFlow 属性设置为 True 的范围筛选器。 此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。 有关详细信息，请在尝试迁移生产环境之前参阅迁移到云同步文档。

1. 在“方向”下拉列表中选择“出站”，然后选择“添加规则”。

   

2. 在“说明”页上，输入以下内容并选择“下一步”：

   • 名称： 为规则指定一个有意义的名称
   • 说明： 添加有意义的说明
   • 连接的系统：选择要为其编写自定义同步规则的 Microsoft Entra 连接器
   • 连接的系统对象类型： 用户
   • Metaverse 对象类型： 人员
   • 链接类型： JoinNoFlow
   • 优先顺序： 提供在系统中唯一的值
     
   • 标记： 将此项留空

   

3. 在“范围筛选器”页上，选择“cloudNoFlow”、“等于”、“True”。 然后，选择“下一步”。

   

4. 在“联接”规则页上，选择“下一步”。

5. 在“转换”页上选择“添加”。

需要针对所有对象类型（用户、组和联系人）遵循相同的步骤。

安装 Microsoft Entra 预配代理

如果使用的是基本 AD 和 Azure 环境教程，则该服务器是 CP1。 若要安装代理，请执行以下步骤：

1. 在 Azure 门户中，选择“Microsoft Entra ID”。
2. 在左侧，选择“Microsoft Entra Connect”。
3. 在左侧选择“云同步”。

4. 在左侧选择“代理”。
5. 选择“下载本地代理”，然后选择“接受条款并下载”。

6. Microsoft Entra Connect 预配代理包下载后，请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。

注意

为美国政府云安装时，请使用：
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
有关详细信息，请参阅“在美国政府云中安装代理”。

7. 在初始屏幕上选择“我同意许可条款和条件”，然后选择“安装”。

8. 安装操作完成后，将启动配置向导。 选择“下一步”以开始配置。
9. 在“选择扩展”屏幕上，选择“HR 驱动的预配 (Workday 和 SuccessFactors)/Microsoft Entra Connect 云同步”，然后选择“下一步”。

注意

如果要安装预配代理以用于本地应用预配，请选择“本地应用程序预配 (Microsoft Entra ID 到应用程序)”。

10. 使用至少具有混合标识管理员角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性，那么它会阻止登录。 如果出现这种情况，请关闭安装、禁用 Internet Explorer 增强的安全性，然后重启 Microsoft Entra Connect 预配代理包安装。

11. 在“配置服务帐户”屏幕上，选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果另一个代理已在域中配置托管服务帐户，并且你要安装第二个代理，请选择“创建 gMSA”，因为系统会检测现有帐户，并添加新代理使用 gMSA 帐户所需的权限。 在出现提示时，选择下列项之一：

• “创建 gMSA”，此选项允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户（例如 CONTOSO\provAgentgMSA$）将在主机服务器加入的同一 Active Directory 域中创建。 若要使用此选项，请输入 Active Directory 域管理员凭据（推荐）。
• 使用自定义 gMSA 并提供你已为此任务手动创建的托管服务帐户的名称。

若要继续操作，请选择“下一步”。

12. 在“连接 Active Directory”屏幕上，如果域名显示在“配置的域”下，请跳到下一步。 否则，请键入 Active Directory 域名，然后选择“添加目录”。

13. 使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改，则需要用新凭据重新配置代理。 此操作将添加本地目录。 选择“确定”，然后选择“下一步”以继续。

14. 以下屏幕截图显示了 contoso.com 配置域的示例。 选择“下一步”继续。

15. 在“配置完成”屏幕上，选择“确认”。 此操作注册并重新启动代理。

16. 此操作完成后，应会收到通知“已成功验证代理配置”。你可以选择“退出”。

17. 如果仍然显示初始屏幕，请单击“关闭”。

验证代理安装

代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。

Azure 门户代理验证

若要验证 Microsoft Entra ID 是否会注册代理，请执行以下步骤：

1. 登录 Azure 门户。
2. 选择“Microsoft Entra ID”。
3. 选择“Microsoft Entra Connect”，然后选择“云同步”。
4. 在“云同步”页上，你会看到已安装的代理。 验证该代理是否已显示，并且状态是否为“正常”。

在本地服务器上

若要验证代理是否正在运行，请执行以下步骤：

1. 使用管理员帐户登录到服务器。
2. 通过导航到“服务”或者转到“启动/运行/服务”，打开“服务”。
3. 确保“Microsoft Entra Connect Agent Updater”和“Microsoft Entra Connect Provisioning Agent”包含在“服务”中，并且其状态为“正在运行”。

验证预配代理版本

若要验证正在运行的代理版本，请执行以下步骤：

1. 导航到“C:\Program Files\Microsoft Azure AD Connect Provisioning Agent”
2. 右键单击“AADConnectProvisioningAgent.exe”并选择属性。
3. 点击“详细信息”选项卡，版本号将显示在“产品版本”旁边。

配置 Microsoft Entra 云同步

使用以下步骤配置预配：

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

3. 选择“新配置”。
4. 在“配置”屏幕上，选择你的域以及是否启用密码哈希同步。单击“创建”。

5. 此时将打开“开始”屏幕。

6. 在“开始使用”屏幕上，单击“添加范围筛选器”图标旁边的“添加范围筛选器”，或单击左侧“管理”下的“范围筛选器”。

7. 选择范围筛选器。 对于本教程中，选择：
   • 选定的组织单位：将配置范围限定为应用于特定的 OU。
8. 在框中，输入“OU=CPUsers,DC=contoso,DC=com”。

9. 单击“添加” 。 单击“ 保存”。

启动计划程序

Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。 修改规则后，接下来可以重启计划程序。 请使用以下步骤：

1. 在运行 Microsoft Entra Connect Sync 的服务器上，使用管理特权打开 PowerShell
2. 运行 Set-ADSyncScheduler -SyncCycleEnabled $true。
3. 运行 Start-ADSyncSyncCycle，然后按 Enter。

注意

如果你正在运行自己的用于 Microsoft Entra Connect Sync 的自定义计划程序，请弃用该计划程序。

启用计划程序后，除非正在更新任何引用属性（例如 manager），否则 Microsoft Entra Connect 将停止导出 Metaverse 中带有 cloudNoFlow=true 的对象上的任何更改。 如果对象上存在任何引用属性更新，Microsoft Entra Connect 将忽略 cloudNoFlow 信号，并导出对象上的所有更新。

出现问题

如果试运行不按预期工作，可遵循以下步骤返回到 Microsoft Entra Connect Sync 设置：

1. 在门户中禁用预配配置。
2. 使用同步规则编辑器工具禁用为云预配创建的所有自定义同步规则。 禁用后，应会在所有连接器上执行完全同步。

后续步骤

• 什么是预配？
• 什么是 Microsoft Entra 云同步？