从适用于 Microsoft Entra ID的 FIM 连接器迁移Microsoft Entra预配方案

尽管继续支持Microsoft Identity Manager (MIM) ,但 2021 年已弃用适用于 Azure AD (Microsoft Entra ID) 的 Forefront Identity Manager (FIM) 连接器之一。 使用 FIM 和 2014 年提供给多林客户的连接器的解决方案已被提供更多混合集成功能的最近集成选项所取代。 如果仍在使用该连接器从 FIM 或 MIM 预配到 Microsoft Entra ID,则需要更新同步拓扑以删除该连接器并使用不同的选项。 此更改是必需的,因为 Windows Azure AD Connector for FIM 使用的内部接口将从Microsoft Entra ID中删除,并且该连接器自 2024 年 4 月起不再能够连接到 Microsoft Entra ID。

用于代替此连接器的三个选项是:

  • Microsoft Entra Connect 云同步
  • Microsoft Entra Connect Sync
  • 使用 Microsoft Graph 连接器的 MIM

将 FIM 或 MIM 部署更新为以下选项之一后,应从 FIM 或 MIM 同步引擎中删除适用于Microsoft Entra ID的 FIM 连接器。

注意

建议计划在生产环境中更改其同步技术的客户与合作伙伴合作,以获取有关此迁移的帮助和指导。

迁移到 Microsoft Entra Connect 云同步

如果已有一个或多个 Active Directory 林,建议使用此方法。

在此方法中,预配将分两个步骤进行。 可以使用 MIM 与 AD MA 同步将用户或组预配到 Active Directory 中。 然后,使用 Microsoft Entra Connect 云同步将这些对象从该 Active Directory 引入Microsoft Entra ID。 这是因为使 Active Directory 林中的对象在 Microsoft Entra ID 中可用的最简单方法是从这些林Microsoft Entra连接云同步读取。 如果林位于Microsoft Entra Connect 云同步支持的拓扑之一中,则可以为其中一个域中的一部分用户试点部署 Microsoft Entra Connect 云同步。

完成迁移到 Microsoft Entra Connect 云同步后,如果 FIM 或 MIM 仅用于从本地目录预配到Microsoft Entra ID,则可能不再需要 FIM 或 MIM 同步引擎。

迁移到 Microsoft Entra Connect 同步

在此方法中,你将使用 MIM 与 AD MA 或泛型 LDAP 连接器同步,将用户或组预配到本地目录中。 然后,使用 Microsoft Entra Connect Sync 将用户和组从该目录引入Microsoft Entra ID。 仅当目录拓扑不是 Microsoft Entra Connect 云同步支持的拓扑之一时,才建议使用此方法。Microsoft Entra Connect Sync 支持的拓扑列表与Microsoft Entra Connect 云同步不同,如果需要,可将非 AD LDAP 目录配置为源。

注意

在 Microsoft Entra Connect 中部署 LDAP 连接器需要高级配置,并且此连接器在有限的支持下提供。 建议在生产环境中需要此配置的客户与 Microsoft 咨询服务等合作伙伴合作,获取此配置的帮助、指导和支持。

迁移到 Microsoft Graph 连接器

如果尚未将用户和组预配到任何本地目录,则可能希望将 MIM 同步部署更改为改用适用于 Microsoft Graph 的 Microsoft Identity Manager 连接器。 此连接器为 Microsoft Entra ID P1 或 P2 客户、不在 Microsoft Entra Connect 云同步或Microsoft Entra Connect Sync 范围内的用户和组启用集成方案。此连接器通过 Microsoft 图形 API v1.0 和 beta 与 Microsoft Entra ID 通信。

后续步骤