共用方式為


移轉至 Microsoft Entra 雲端同步以取得現有同步 AD 樹系

本教學課程會逐步解說如何將已使用 Microsoft Entra Connect Sync 進行同步之測試的 Active Directory 樹系移轉至雲端同步。

注意

本文提供基本的移轉資訊,您應先檢閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。

此圖表顯示 Microsoft Entra 雲端同步流程。

考量

嘗試進行本教學課程之前,請考量下列事項:

  1. 確定您熟悉雲端同步的基本概念。

  2. 確定您執行的是 Microsoft Entra Connect Sync 的 1.4.32.0 版或更新版本,並已依照文件指示設定同步處理規則。

  3. 試驗時,您將會從 Microsoft Entra Connect Sync 範圍中移除測試 OU 或群組。 若將物件移出範圍外,會導致這些物件從 Microsoft Entra ID 中刪除。

    • 使用者物件,Microsoft Entra ID 中的物件會被虛刪除,且可以還原。
    • 群組物件,Microsoft Entra ID 中的物件會被實刪除,且無法還原。

    Microsoft Entra Connect Sync 中已引進新的連結類型,可在試驗案例中防止刪除。

  4. 請確定試驗範圍中的物件已填入 ms-ds-consistencyGUID,使雲端同步可確實比對物件。

注意

根據預設,Microsoft Entra Connect Sync 不會為群組物件填入 ms-ds-consistencyGUID

  1. 此設定適用於進階案例。 請確實遵循本教學課程中記載的步驟。

必要條件

下列是完成此教學課程的必要條件

  • 具有 Microsoft Entra Connect Sync 1.4.32.0 版或更新版本的測試環境
  • 在同步範圍內、並且可用於試驗的 OU 或群組。 建議您先從一小組物件開始。
  • 執行 Windows Server 2016 或更新版本、且將裝載佈建代理程式的伺服器。
  • Microsoft Entra Connect Sync 的來源錨點應該是 objectGuidms-ds-consistencyGUID

更新 Microsoft Entra Connect

您至少應有 Microsoft Entra Connect 1.4.32.0。 若要更新 Microsoft Entra Connect Sync,請完成 Microsoft Entra Connect:升級至最新版本中的步驟。

備份您的 Microsoft Entra Connect 設定

進行任何變更之前,請先備份您的 Microsoft Entra Connect 設定。 如此一來才可復原到先前的設定。 如需詳細資訊,請參閱匯入和匯出 Microsoft Entra Connect 組態設定

停止排程器

Microsoft Entra Connect Sync 會使用排程器來同步處理您內部部署目錄中發生的變更。 若要修改和新增自訂規則,您可以停用排程器,如此,在您進行作業時就不會執行同步處理而造成變更。 若要停止排程器,請使用下列步驟:

  1. 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理權限開啟 PowerShell。
  2. 執行 Stop-ADSyncSyncCycle。 按 Enter 鍵。
  3. 執行 Set-ADSyncScheduler -SyncCycleEnabled $false

注意

若要為 Microsoft Entra Connect Sync 執行自己的自訂排程器,請停用排程器。

建立自訂使用者輸入規則

您需要在 Microsoft Entra Connect 同步規則編輯器中建立輸入同步規則,篩選出您先前已在 OU 中識別的使用者。 輸入同步規則是具有 cloudNoFlow 目標屬性的聯結規則。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。

  1. 從桌面的應用程式功能表中啟動同步化編輯器,如下所示:

    同步規則編輯器功能表的螢幕擷取畫面。

  2. 在下拉式清單中,針對 [方向] 選取 [輸入],然後選取 [新增規則]

    螢幕擷取畫面顯示已選取 [輸入] 和 [新增規則] 按鈕的 [檢視並管理您的同步處理規則] 視窗。

  3. 在 [描述] 頁面上輸入下列項目,然後選取 [下一步]

    • 名稱:為規則指定有意義的名稱
    • 描述:新增有意義的描述
    • 連線系統:選擇您要為其撰寫自訂同步規則的 AD 連接器
    • 連接的系統物件類型:使用者
    • Metaverse 物件類型:人員
    • 連結類型:聯結
    • 優先順序︰提供在系統中是唯一的值
    • 標籤︰將此選項保留空白

    螢幕擷取畫面顯示已輸入值的 [建立輸入同步處理規則︰描述] 頁面。

  4. 在 [範圍篩選] 頁面上,輸入要作為試驗基礎的 OU 或安全性群組。 若要篩選 OU,請新增辨別名稱的 OU 部分。 此規則會套用到位於該 OU 中的所有使用者。 因此,如果 DN 的結尾為 "OU=CPUsers,DC=contoso,DC=com,您就會新增此篩選。 然後選取下一步

    規則 屬性 運算子
    設定 OU 的範圍 DN ENDSWITH OU 的辨別名稱。
    設定群組的範圍 ISMEMBEROF 安全性群組的辨別名稱。

    螢幕擷取畫面顯示已輸入範圍篩選值的 [建立輸入同步處理規則︰範圍篩選條件] 頁面。

  5. 在 [加入規則] 頁面上,選取 [下一步]

  6. 在 [轉換] 頁面上,將常數 transformation: flow True 新增至 cloudNoFlow 屬性。 選取 [新增]。

    螢幕擷取畫面顯示已新增 [固定] 轉換流程的 [建立輸入同步處理規則︰轉換] 頁面。

所有物件類型 (使用者、群組和連絡人) 都必須遵循相同的步驟。 針對每個設定的 AD Connector / AD 樹系重複步驟。

建立自訂使用者輸出規則

您也需要具有 JoinNoFlow 連結類型的輸出同步規則,以及將 cloudNoFlow 屬性設定為 True 的範圍篩選器。 此規則會指示 Microsoft Entra Connect 不要同步處理這些使用者的屬性。 如需詳細資訊,請參閱移轉至雲端同步文件,再嘗試移轉您的實際執行環境。

  1. 在下拉式清單中,針對 [方向] 選取 [輸出],然後選取 [新增規則]

    螢幕擷取畫面顯示已選取 [輸出] 方向並醒目提示 [新增規則] 按鈕。

  2. 在 [描述] 頁面上輸入下列項目,然後選取 [下一步]

    • 名稱:為規則指定有意義的名稱
    • 描述:新增有意義的描述
    • 連線系統:選擇您要為其撰寫自訂同步規則的 Microsoft Entra 連接器
    • 連接的系統物件類型:使用者
    • Metaverse 物件類型:人員
    • 連結類型:JoinNoFlow
    • 優先順序︰提供在系統中是唯一的值
    • 標籤︰將此選項保留空白

    螢幕擷取畫面顯示已輸入屬性的 [描述] 頁面。

  3. 在 [範圍篩選] 頁面上,選擇 [cloudNoFlow] 等於 [True]。 然後選取下一步

    螢幕擷取畫面顯示自訂規則。

  4. 在 [加入規則] 頁面上,選取 [下一步]

  5. 在 [轉換] 頁面上,選取 [新增]

所有物件類型 (使用者、群組和連絡人) 都必須遵循相同的步驟。

安裝 Microsoft Entra Connect 佈建代理程式

如果您正在使用基本 AD 和 Azure 環境教學課程,則其為 CP1。 若要安裝代理程式,請遵循下列步驟:

  1. 在 Azure 入口網站中,選取 [Microsoft Entra ID]
  2. 選取左側的 [Microsoft Entra Connect]
  3. 選取左側的 [雲端同步]

新 UX 畫面的螢幕擷取畫面。

  1. 選取左側的 [代理程式]
  2. 選取 [下載內部部署代理程式],並選取 [接受條款並下載]

下載代理程式的螢幕擷取畫面。

  1. 下載 Microsoft Entra Connect 佈建代理程式套件之後,請從您的下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。

注意

安裝美國政府雲端時,請使用:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊,請參閱在美國政府雲端安裝代理程式

  1. 在啟動顯示畫面上,選取 [我同意授權條款和條件],並選取 [安裝]

該螢幕擷取畫面顯示 Microsoft Entra Connect 佈建代理程式套件的啟動顯示畫面。

  1. 安裝作業完成後,就會啟動設定精靈。 選取 [下一步] 開始進行設定。 歡迎畫面的螢幕擷取畫面。
  2. 在 [選取延伸模組] 畫面上,選取 [HR 驅動佈建 (Workday 和 SuccessFactors) / Microsoft Entra Connect 雲端同步],然後選取 [下一步]選取延伸模組畫面的螢幕擷取畫面。

注意

若要安裝佈建代理程式以搭配內部部署應用程式佈建使用,請選取 [內部部署應用程式佈建 (Microsoft Entra ID 至應用程式)]。

  1. 以不低於 [混合式身分識別管理員] 角色登入帳戶。 若已啟用 Internet Explorer 增強式安全性,系統會封鎖登入。 若是如此,請關閉安裝,停用 Internet Explorer 增強式安全性,並重新啟動 Microsoft Entra Connect 佈建代理程式套件安裝。

連線 Microsoft Entra ID 畫面的螢幕擷取畫面。

  1. 在 [設定服務帳戶] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受管理的服務帳戶已由另一個代理程式在您的網域中完成設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA],因為系統會偵測到現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的權限。 系統提示時,請選擇下列其中一項:
  • [建立 gMSA],讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 系統將在主機伺服器加入的相同 Active Directory 網域中建立群組受控服務帳戶 (例如 CONTOSO\provAgentgMSA$)。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證 (建議使用)。
  • 使用自訂 gMSA,並提供您為此工作手動建立的受管理的服務帳戶名稱。

若要繼續,請選取 [下一步]。

設定服務帳戶畫面的螢幕擷取畫面。

  1. 在 [連線 Active Directory] 畫面上,如果您的網域名稱出現在 [設定的網域] 下,請跳至下一個步驟。 否則,請鍵入您的 Active Directory 網域名稱,並選取 [新增目錄]

  2. 使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝過程中過期或遭變更,您必須使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定],並選取 [下一步] 繼續。

該螢幕擷取畫面顯示如何進行網域系統管理員認證。

  1. 下面螢幕擷取畫面顯示已設定網域 contoso.com 的範例。 選取下一步以繼續。

連線 Active Directory 畫面的螢幕擷取畫面。

  1. 在 [設定完成] 畫面上,選取 [確認]。 此操作會註冊並重新啟動代理程式。

  2. 作業完成之後,您應該會收到通知,指出 [已成功驗證您的代理程式設定]。您可以選取 [結束]

該螢幕擷取畫面顯示完成畫面。

  1. 如果您仍看到初始啟動顯示畫面,請選取 [關閉]

驗證代理程式安裝

代理程式驗證可在 Azure 入口網站中以及執行代理程式的本機伺服器上進行。

Azure 入口網站代理程式驗證

若要確認 Microsoft Entra ID 正在註冊此代理程式,請遵循下列步驟:

  1. 登入 Azure 入口網站
  2. 選取 [Microsoft Entra ID]
  3. 選取 [Microsoft Entra Connect],然後選取 [雲端同步]新 UX 畫面的螢幕擷取畫面。
  4. 在 [雲端同步] 頁面上,您會看到已安裝的代理程式。 確認代理程式已顯示,且狀態良好

在本機伺服器上

若要確認代理程式正在執行,請遵循下列步驟:

  1. 使用管理員帳戶登入伺服器。
  2. 瀏覽至 [服務],或前往 [開始/執行/Services.msc],以開啟 [服務]。
  3. 在 [服務] 底下,確定存在 [Microsoft Entra Connect 代理程式更新程式] 和 [Microsoft Entra Connect 佈建代理程式],且狀態為 [執行中]該螢幕擷取畫面顯示 Windows 服務。

確認佈建代理程式版本

若要驗證執行的代理程式版本,請遵循下列步驟:

  1. 瀏覽至 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent'
  2. 以滑鼠右鍵按一下 [AADConnectProvisioningAgent.exe],然後選取屬性。
  3. 按一下 [詳細資料] 索引標籤,[產品版本] 旁會顯示版本號碼。

設定 Microsoft Entra 雲端同步

使用下列步驟來設定佈建:

  1. 至少以混合式系統管理員的身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別] > [混合式管理] > [Microsoft Entra Connect] > [雲端同步]雲端同步首頁的螢幕擷取畫面。
  1. 選取 [新增設定]新增設定的螢幕擷取畫面。
  2. 在設定畫面上選取您的網域,以及是否啟用密碼雜湊同步。按一下 [建立]

新設定的螢幕擷取畫面。

  1. [開始] 畫面會隨即開啟。

  2. 在 [開始] 畫面上,按一下 [新增範圍篩選條件] 圖示旁的 [新增範圍篩選條件] 或按一下 [管理] 下方左側的 [範圍篩選條件]

範圍篩選條件的螢幕擷取畫面。

  1. 選取範圍篩選條件。 在本教學課程中,請選取:
    • 選取的組織單位:設定範圍以套用至特定 OU。
  2. 在方塊中,輸入「OU=CPUsers,DC=contoso,DC=com」。

範圍篩選條件的螢幕擷取畫面。

  1. 按一下 [新增] 。 按一下 [檔案] 。

啟動排程器

Microsoft Entra Connect Sync 會使用排程器來同步處理您內部部署目錄中發生的變更。 現在您已修改規則,可以重新啟動排程器。 使用下列步驟:

  1. 在執行 Microsoft Entra Connect Sync 的伺服器上,以系統管理權限開啟 PowerShell
  2. 執行 Set-ADSyncScheduler -SyncCycleEnabled $true
  3. 執行 Start-ADSyncSyncCycle,然後按 Enter

注意

若要為 Microsoft Entra Connect Sync 執行自己的自訂排程器,請啟用排程器。

啟用排程器後,Microsoft Entra Connect 將會停止匯出在 Metaverse 中使用 cloudNoFlow=true 對物件進行的所有變更,除非正在更新的是參考屬性 (例如 manager)。 如果物件上有任何參考屬性更新,Microsoft Entra Connect 將會忽略 cloudNoFlow 訊號,並匯出物件上的所有更新。

發生問題

如果試驗未如預期運作,您可以遵循以下步驟返回 Microsoft Entra Connect Sync 設定:

  1. 在入口網站中停用佈建設定。
  2. 使用「同步處理規則編輯器」工具,停用為「雲端佈建」建立的所有自訂同步處理規則。 停用應該會導致所有連接器上的完整同步處理。

下一步