Herramienta de asignación de identidades de migración de SharePoint

Use la característica Asignación de identidades de la Herramienta de evaluación de la migración de SharePoint para ayudar a la migración de identidades.

Nota:

Para descargar la herramienta de migración de SharePoint, seleccione: Descargar la herramienta de evaluación de migración de SharePoint.

Introducción

La migración de identidades es el proceso de asignación de identidades desde el entorno local de SharePoint al identificador de Microsoft Entra de estado de destino.

Asignación de identidades

Dado que la sincronización de usuarios y grupos de AD a Microsoft Entra id. es nueva para muchos clientes, es esencial asignar los recursos adecuados. Realice todo el planeamiento interno y ejecute todas las tareas relacionadas con la migración de identidades al unísono con el plan de migración local general.

El objetivo más importante del proyecto de identidad es comprobar que todos los usuarios y grupos necesarios se sincronizan con Microsoft Entra identificador. Si migra sin realizar este análisis primero, los usuarios podrían perder el acceso al contenido.

Haga referencia a este documento para obtener información sobre el proceso, los roles y las responsabilidades, los artefactos y los controles asociados al proceso de migración de identidades única.

Información general

El objetivo de la migración de identidades es sincronizar todos los usuarios posibles y eliminar los registros restantes no asignados con justificación sobre por qué no se sincronizan. Este proceso de sincronización y eliminación debe completarse antes de preparar las pruebas de aceptación del usuario, que es Dry Run 1. Todos los registros no asignados deben tener una justificación válida y ser aprobados por el equipo de proyecto de Microsoft.

Ejecute tres exámenes diferentes para realizar la asignación de identidades:

Proceso

Use este proceso para los usuarios y grupos que tienen acceso a SharePoint que se encuentra en el informe de FullIdentityReport.csv.

Se debe tener cuidado para asegurarse de que todos los usuarios y grupos necesarios se incluyen en la sincronización de Microsoft Entra. Si el contenido de SharePoint pertenece a usuarios que no se han migrado, no se migrarán sus permisos de usuario.

El objetivo es sincronizar el 100 % de las identidades que tienen acceso al entorno de SharePoint de origen o proporcionar motivos para las identidades que no se sincronizan.

Se necesita la preparación inicial de todos los usuarios y grupos para determinar qué usuarios y grupos migrar.

  • Idealmente, todos los usuarios y grupos tienen TypeOfMatch establecido en ExactMatch o PartialMatch.

  • Si hay excepciones, tome notas en el campo MappingRationale del archivo FullIdentityReport.csv con fines de seguimiento.

Pasos:

  1. Descargue la herramienta de evaluación en un equipo de la granja de servidores de SharePoint. Para descargarlo, vaya aquí: Herramienta de evaluación de migración de SharePoint

  2. Proporcione su consentimiento para permitir que la herramienta acceda a su identificador de Microsoft Entra.

  3. Ejecutar: SMAT.exe -GenerateIdentityMapping

  4. Abra FullIdentityReport.csv en Excel.

  5. Filtre por TypeOfMatch = NoMatch. Estos usuarios y grupos no tendrán acceso al contenido después de la migración. Por ejemplo, contoso\johndoe aparece como NoMatch. AclExists es True. Después de la migración, cualquier contenido al que contoso\johndoe tuviera acceso en el origen no funcionará para esa cuenta después de la migración. Un propietario del sitio debe volver a agregar la cuenta de Microsoft Entra de contoso\johndoe a los permisos para resolver el problema.

  6. Filtre por TypeOfMatch = PartialMatch. Asegúrese de que las coincidencias que hemos encontrado son correctas. Es posible que las coincidencias parciales sean incorrectas si varias personas tienen los mismos nombres para mostrar o los nombres principales de usuario cambiados del origen al destino.

  7. Cree un plan para corregir los huecos. Por ejemplo, si usa identidades de Windows y hay usuarios y grupos que tienen TypeOfMatch establecido en NoMatch o PartialMatch, normalmente querrá sincronizar esos otros usuarios y grupos para Microsoft Entra identificador y volver a ejecutar el proceso de asignación de identidades.

  8. Sincronice otros usuarios y grupos con Microsoft Entra identificador.

  9. Repita la operación hasta que obtenga un FullIdentityReport.csv que represente correctamente las expectativas posteriores a la migración.

Comprobaciones de validación previas

La herramienta realiza una comprobación de validación previa para asegurarse de que el operador tiene acceso a Microsoft Entra identificador. Se requiere acceso a Microsoft Entra identificador para realizar el proceso de asignación de identidades.

Cuando se le solicite, escriba Microsoft Entra credenciales. Si es necesario, el símbolo del sistema de inicio de sesión solicita consentimiento. Se requiere el consentimiento del administrador de inquilinos de Azure para que esta aplicación lea Microsoft Entra identificador.

Si se produce un error en el inicio de sesión o no puede proporcionar su consentimiento, verá el siguiente error:

MigrationScanAssessmentTool-error-consent

Si dice que no en el símbolo del sistema, la herramienta se cierra sin realizar ningún examen de asignación de identidades.

Si decide continuar con el proceso de asignación de identidades, recibirá un mensaje más cuando se ejecute el examen del identificador de Microsoft Entra. Si no puede autenticarse o proporcionar su consentimiento en ese momento, se produce un error en el examen del identificador de Microsoft Entra. Seguirá recibiendo los informes, pero no se realizará la asignación. La salida resultante es representativa de todas las identidades que tienen acceso al entorno de SharePoint de origen.

Archivo de configuración

Los exámenes de asignación de identidades se pueden configurar en el archivo ScanDef.json . Este archivo se encuentra en el mismo directorio que SMAT.exe.

Para generar los informes de asignación de identidades, debe dar su consentimiento para permitir que la herramienta de evaluación lea el directorio de Microsoft Entra. Hay dos métodos disponibles.

Opción 1: Ejecute la herramienta de evaluación con el modificador -ConfigureIdentityMapping.

Esta opción proporciona a la herramienta de evaluación acceso a la sección Aplicaciones empresariales del inquilino. Permite a cualquier usuario del inquilino ejecutar la herramienta para realizar la asignación de identidades para la migración en Microsoft 365.

  1. Descargue la herramienta de evaluación desde aquí: Herramienta de evaluación de migración de SharePoint

  2. Ejecutar: SMAT.exe -ConfigureIdentityMapping

    Nota:

    No es necesario ejecutar este paso en el entorno de SharePoint. Puede ejecutar el comando anterior en cualquier máquina que tenga acceso al inquilino de Azure.

  3. Cuando se le solicite con el cuadro de diálogo de inicio de sesión de Azure, escriba las credenciales de administrador de inquilinos de Azure.

  4. Cuando se le pida consentimiento, seleccione Aceptar.

  5. La aplicación SMAT.exe indica que la aplicación se registró correctamente. Un administrador de SharePoint ahora puede ejecutar el proceso de asignación de identidades.

    Asignación de identidades en el símbolo del sistema

Opción 2: Ejecute la herramienta de evaluación como usuario con derechos de Administración inquilino de Azure.

Es posible que un usuario con derechos de administrador de inquilinos de Azure ejecute la herramienta y solo proporcione su consentimiento.

  1. Descargue la herramienta de evaluación desde aquí: Herramienta de evaluación de migración de SharePoint

  2. En la línea de comandos, escriba Run SMAT.exe -GenerateIdentityMapping

  3. Cuando se le solicite con el cuadro de diálogo de inicio de sesión de Azure, escriba las credenciales Administración inquilino de Azure.

  4. Cuando se le pida consentimiento, seleccione Aceptar. Esto solo dará su consentimiento a la aplicación para el inicio de sesión proporcionado.

  5. La asignación de identidades se ejecutará y generará los informes necesarios.

Siga los pasos siguientes para quitar el consentimiento de la aplicación de asignación de identidades de SharePoint del inquilino de Azure. Una vez realizados estos pasos, será necesario dar su consentimiento la próxima vez que ejecute el proceso de asignación de identidades.

  1. Navega https://portal.azure.com

  2. Inicie sesión como administrador de la organización.

  3. Busque Aplicaciones empresariales.

  4. Seleccione Todas las aplicaciones.

  5. En la lista de aplicaciones, seleccione Herramienta de asignación de identidades de SharePoint y, a continuación, seleccione Eliminar.

Informes generados

El modificador -GenerateIdentityMapping genera dos informes. Cada informe se usa como parte del proceso de asignación de identidades.

Ambos informes indican que los usuarios han concedido permisos al contenido de SharePoint.

FullIdentityReport.csv

El FullIdentityReport.csv contiene un volcado de todos los datos de identidad detectados sobre los usuarios y grupos que aparecen como activos en el entorno de SharePoint. El propósito de este informe es comprender todos los usuarios y grupos que tienen acceso a SharePoint y si esas identidades tienen una identidad Microsoft Entra asociada.

Si no se encuentra la identidad en Active Directory, los campos de Active Directory están vacíos. El campo FoundInAD es false y ReasonNotFoundInAD contendrá un código de motivo.

Si no se encontró la identidad en Microsoft Entra id., los campos de identificador de Microsoft Entra estarán vacíos. El campo FoundInAzureAD será false y ReasonNotFoundInAzureAD contendrá un código de motivo.

Nombre de columna Source Descripción
Uniqueid
SharePoint
Para las cuentas de Windows, este será un identificador de seguridad (SID). En el caso de las cuentas que no son de Windows, esta será la notificación que se usa para ACL SharePoint.
TypeOfMatch
Herramienta de evaluación
ExactMatch: la identidad de origen es una cuenta de Windows y pudimos hacer coincidir el SID de SharePoint con onPremisesSecurityIdentifier en Microsoft Entra id.
PartialMatch: la coincidencia se basaba en UserPrincipalName, Email o nombre para mostrar. En el caso de los grupos, solo coincidimos parcialmente en Nombre para mostrar.
NoMatch : no se puede hacer coincidir la identidad con cualquier información.
IsGroup
SharePoint
True si la identidad es un grupo.
ACLExists
SharePoint
True si la identidad está asociada a permisos en SharePoint. Esto indica que la identidad tiene acceso a algún fragmento de contenido.
MySiteExists
SharePoint
True si la identidad es un usuario y ese usuario tiene un objeto My Site/OneDrive asociado a su perfil.
ClaimType
SharePoint
Tipo de modo de autenticación de notificaciones asociado a la identidad. Este será uno de los siguientes valores clásicos: se trata de cuentas clásicas de Windows. No hay ninguna notificación implicada y el usuario se ha aclado mediante un identificador de Seguridad de Windows [SID]. Windows: notificaciones de Windows. TrustedSTS: proveedor de notificaciones SAML. Formularios: se usa la autenticación de formularios. ASPNetMembership: proveedor de pertenencia a .NET. ASPNetRole: proveedor de roles de .NET. ClaimProvider: proveedor basado en notificaciones. LocalSTS: servicio de token de SharePoint local. https://social.technet.microsoft.com/wiki/contents/articles/13921.sharepoint-20102013-claims-encoding.aspx
SharePointLoginName
SharePoint
Nombre de inicio de sesión asociado a la identidad que se encuentra en SharePoint.
SharePointDisplayName
SharePoint
Nombre para mostrar asociado a la identidad que se encuentra en SharePoint.
SharePointProfileEmail
SharePoint
Email dirección asociada al usuario. Esto solo se rellena si la identidad es un usuario, el usuario tiene un perfil de SharePoint y ese perfil tiene un correo electrónico establecido.
ActiveDirectoryDisplayName
Active Directory
Nombre para mostrar que se encuentra en Active Directory.
ActiveDirectoryDomain
Active Directory
Nombre de dominio en el que se localizó la identidad.
SamAccountName
Active Directory
Nombre de cuenta de la identidad. Este valor estará vacío para los grupos.
GroupType
Active Directory
Tipo de grupo. Esto está vacío para los usuarios.
GroupMemberCount
Active Directory
Número de miembros del grupo. Esto no reflejará los recuentos de grupos anidados. Por ejemplo, si hay un grupo que contiene otros tres grupos, se muestra como 3. Este valor está vacío para los usuarios.
DistinguishedName
Active Directory
Nombre distintivo asociado a la identidad en Active Directory. Ejemplo: CN=Bob Smith,OU=UserAccounts,DC=contoso,DC=com
AccountEnabled
Active Directory
True si la cuenta está habilitada en Active Directory. Está vacío para grupos.
LastLoginTimeInAD
Active Directory
Fecha y hora en que la cuenta de usuario inició sesión por última vez en Active Directory. Esto no indica que el inicio de sesión esté asociado a SharePoint, pero se puede usar para determinar si se trata de una cuenta de usuario activa. Está vacío para grupos.
FoundInAD
Active Directory
True si la identidad se encontró en Active Directory.
ReasonNotFoundInAD
Active Directory
Motivo por el que no hemos encontrado la cuenta en Active Directory. Este es uno de los siguientes: BadCredentials: el nombre de usuario o contraseña proporcionado no era válido para el dominio. DomainSidMatchNotFound: el SID que se encuentra en SharePoint tiene un SID de dominio que no coincide con ninguno de los dominios ubicados. InvalidSecurityIdentifier: el SID que se encuentra en SharePoint no es válido. OnPremisesSidTranslationFailed: el SID parecía no ser válido, se intentó forzar una traducción y se produjo un error. UnableToConnect: no se puede conectar a los dominios. UnableToDetermine: no se pudieron determinar las propiedades de AD devueltas desde el dominio. UnknownException: error inesperado. Los detalles se registran en el archivo SMAT.log. UserNotFoundInRemoteAd: hemos encontrado un dominio válido, pero no hemos podido localizar la identidad mediante el SID. Si FoundInAD es true, está vacío.
AzureObjectID
Active Directory
Id. de objeto de la identidad en Microsoft Entra id.
AzureUserPrincipalName
Active Directory
Nombre principal de usuario de la identidad. Esto solo se rellena para los usuarios.
AzureDisplayName
Active Directory
Nombre para mostrar asociado a la identidad en Microsoft Entra id.
FoundInAzureAD
Active Directory
True si la identidad se encuentra en Microsoft Entra identificador.
ReasonNotFoundInAzureAD
Active Directory
La razón por la que no encontramos la cuenta en Microsoft Entra id. El motivo puede ser: PrincipalNotFound: no se puede encontrar la identidad en Microsoft Entra identificador. AdalExceptionFound: error de autenticación al Microsoft Entra identificador. UnknownException: error inesperado. Los detalles se encuentran en el archivo SMAT.log. Esto está vacío si FoundInAzureAd es true.
MappingRationale
Active Directory
Use este campo de notas abiertas para realizar un seguimiento de los usuarios no asignados.
SanID
Herramienta de evaluación
Identificador único de una ejecución determinada del proceso de asignación de identidades. Cada vez que se ejecuta la herramienta, se genera un identificador distinto.

IdentityMapping.csv

IdentityMapping.csv es un archivo de asignación de identidades generado previamente. Todas las identidades se representan en el archivo. Las identidades no asignadas tienen valores en blanco para TargetIdentity.

Nombre de columna Descripción
UniqueIdentity
Valor único para identificar el objeto en el entorno de origen. Para las identidades de Windows, este es el identificador de seguridad (SID). Para todos los demás tipos de identidad, esta es la notificación que se encuentra en SharePoint.
TargetIdentity
Identidad a la que se va a asignar la identidad de origen.
Para los usuarios, este valor es el nombre principal de usuario del usuario en Microsoft Entra id. En el caso de los grupos, este valor es el identificador de objeto del grupo en Microsoft Entra id.
IsGroup
True si la fila representa un grupo.

Vea también

Otros recursos

Descargar la herramienta de evaluación de migración de SharePoint