从 Microsoft Entra Connect 迁移到 Microsoft Entra 云同步
若要实现将用户、组和联系人同步到 Microsoft Entra ID 的混合标识目标,未来离不开 Microsoft Entra 云同步。 它使用 Microsoft Entra 云预配代理而不是 Microsoft Entra Connect 应用程序。 如果你当前使用的是 Microsoft Entra Connect,但希望迁移到云同步,请使用以下文档作为指南。
从 Microsoft Entra Connect 迁移到云同步的步骤
| 步骤 | 说明 |
|---|---|
| 选择最佳同步工具 | 在移到云同步之前,应验证云同步当前是否是最适合你的同步工具。 可以通过此处的向导完成此任务。 |
| 验证迁移的先决条件 | 以下指南仅适用于已使用快速设置安装 Microsoft Entra Connect 但未同步设备的用户。 此外,还应验证云同步先决条件。 |
| 备份 Microsoft Entra Connect 配置 | 在进行任何更改之前,都应该备份 Microsoft Entra Connect 配置。 通过这种方式以进行回滚。 有关详细信息,请参阅导入和导出 Microsoft Entra Connect 配置设置。 |
| 查看迁移教程 | 若要熟悉迁移过程,请查看为现有的已同步 AD 林迁移到 Microsoft Entra 云同步教程。 本教程将指导你完成沙盒环境中的迁移过程。 |
| 创建或标识迁移的 OU | 创建一个新的 OU 或标识一个现有的 OU,其中包含你将在其上测试迁移的用户。 |
| 将用户移到新 OU 中(可选) | 如果使用的是新 OU,请立即将此试点的范围内的用户移到该 OU。 在继续之前,请让 Microsoft Entra Connect 获取更改,以便它在新 OU 中同步这些更改。 |
| 在 OU 上运行 PowerShell | 可以运行以下 PowerShell cmdlet 来获取试点 OU 中的用户计数。 Get-ADUser -Filter * -SearchBase "<DN path of OU>"示例: Get-ADUser -Filter * -SearchBase "OU=Finance,OU=UserAccounts,DC=FABRIKAM,DC=COM" |
| 停止计划程序 | 在创建新的同步规则之前,需要停止 Microsoft Entra Connect 计划程序。 有关详细信息,请参阅如何停止计划程序。 |
| 创建自定义同步规则 | 在 Microsoft Entra Connect 同步规则编辑器中,需要创建入站同步规则,以筛选出之前创建或标识的 OU 中的用户。 入站同步规则是目标属性为 cloudNoFlow 的联接规则。 还需要一个链接类型为 JoinNoFlow 的出站同步规则,以及将 cloudNoFlow 属性设置为 True 的范围筛选器。 有关详细信息,请参阅为现有的已同步 AD 林迁移到 Microsoft Entra 云同步教程,了解如何创建这些规则。 |
| 安装预配代理 | 请安装预配代理(如果尚未这样做)。 有关详细信息,请参阅如何安装代理。 |
| 配置云同步 | 安装代理后,需要配置云同步。在配置中,需要创建之前创建或标识的 OU 的范围。 有关详细信息,请参阅配置云同步。 |
| 验证试点用户是否正在进行同步和预配 | 验证用户现在是否正在门户中进行同步。 可以使用下面的 PowerShell 脚本来获取其可分辨名称中具有本地试点 OU 的用户的计数。 此数字应与上一步的用户计数匹配。 如果在此 OU 中创建新用户,请验证是否已预配该用户。 |
| 启动计划程序 | 验证用户是否正在进行预配和同步后,你可以继续下一步,启动 Microsoft Entra Connect 计划程序。 有关详细信息,请参阅如何启动计划程序。 |
| 计划剩余用户 | 现在,你应该想出一个迁移更多用户的计划。 应使用分阶段方法,以便可以验证迁移是否成功。 |
| 验证是否已预配所有用户 | 迁移用户时,请验证用户是否已正确预配和同步。 |
| 停止 Microsoft Entra Connect | 验证所有用户都已迁移后,可以关闭 Microsoft Entra Connect 同步服务。 Microsoft 建议你让服务器处于禁用状态一段时间,以便验证迁移是否成功 |
| 验证是否一切正常 | 一段时间后,验证是否一切正常。 |
| 解除 Microsoft Entra Connect 服务器的授权 | 验证一切正常后,使 Microsoft Entra Connect 服务器脱机。 要了解详情,请参阅卸载 Microsoft Entra Connect。 |
验证用户脚本
# Filename: VerifyAzureUsers.ps1
# Description: Counts the number of users in Azure that have a specific on-premises distinguished name.
#
# DISCLAIMER:
# Copyright (c) Microsoft Corporation. All rights reserved. This
# script is made available to you without any express, implied or
# statutory warranty, not even the implied warranty of
# merchantability or fitness for a particular purpose, or the
# warranty of title or non-infringement. The entire risk of the
# use or the results from the use of this script remains with you.
#
#
#
#
Connect-AzureAD -Confirm
#Declare variables
$Users = Get-AzureADUser -All:$true -Filter "DirSyncEnabled eq true"
$OU = "OU=Sales,DC=contoso,DC=com"
$counter = 0
#Search users
foreach ($user in $Users) {
$test = $User.ExtensionProperty
$DN = $test["onPremisesDistinguishedName"]
if ($DN -match $OU)
{
$counter++
}
}
Write-Host "Total Users found:" + $counter