Migrálás a Microsoft Entra Cloud Sync szolgáltatásba egy meglévő szinkronizált AD-erdőhöz
Ez az oktatóanyag bemutatja, hogyan migrálna felhőszinkronizálásra egy olyan teszt Active Directory-erdőhöz, amely már szinkronizálva van a Microsoft Entra Csatlakozás Sync használatával.
Feljegyzés
Ez a cikk az alapvető migrálással kapcsolatos információkat tartalmazza, és az éles környezet áttelepítése előtt tekintse át a migrálás felhőszinkronizálási dokumentációját.
Megfontolások
Az oktatóanyag kipróbálása előtt vegye figyelembe a következő elemeket:
Győződjön meg arról, hogy ismeri a felhőszinkronizálás alapjait.
Győződjön meg arról, hogy a Microsoft Entra Csatlakozás Sync 1.4.32.0-s vagy újabb verzióját futtatja, és a szinkronizálási szabályokat dokumentált módon konfigurálta.
A próbaüzem során eltávolít egy teszt szervezeti egységet vagy csoportot a Microsoft Entra Csatlakozás Sync hatóköréből. Az objektumok hatókörből való áthelyezése ezeknek az objektumoknak a Törlését eredményezi a Microsoft Entra ID-ban.
- A felhasználói objektumok, a Microsoft Entra-azonosítóban lévő objektumok helyreállíthatóan törlődnek, és visszaállíthatók.
- Az objektumok csoportosítása a Microsoft Entra-azonosítóban található objektumok keményen törlődnek, és nem állíthatók vissza.
A Microsoft Entra Csatlakozás Sync új hivatkozástípust vezetett be, amely megakadályozza a törlést egy próbaüzemben.
Győződjön meg arról, hogy a próbahatókör objektumai ms-ds-konzisztenciaGUID-val vannak feltöltve, így a felhőbeli szinkronizálás szigorúan megfelel az objektumoknak.
Feljegyzés
A Microsoft Entra Csatlakozás Sync alapértelmezés szerint nem tölti ki az ms-ds-consistencyGUID értéket a csoportobjektumok esetében.
- Ez a konfiguráció speciális forgatókönyvekhez készült. Győződjön meg arról, hogy pontosan követi az oktatóanyagban dokumentált lépéseket.
Előfeltételek
Az oktatóanyag elvégzéséhez az alábbi előfeltételek szükségesek
- Tesztkörnyezet a Microsoft Entra Csatlakozás Sync 1.4.32.0-s vagy újabb verziójával
- A szinkronizálás hatókörébe tartozó szervezeti egység vagy csoport, amely a próbaüzemben használható. Javasoljuk, hogy kezdjen egy kis objektumkészlettel.
- Egy Windows Server 2016 vagy újabb rendszert futtató kiszolgáló, amely a kiépítési ügynököt fogja üzemeltetni.
- A Microsoft Entra Csatlakozás Sync forráshorgonyának objectGuid vagy ms-ds-consistencyGUID típusúnak kell lennie
A Microsoft Entra Csatlakozás frissítése
Minimálisan a Microsoft Entra Csatlakozás 1.4.32.0-s. A Microsoft Entra Csatlakozás Sync frissítéséhez hajtsa végre a Microsoft Entra Csatlakozás: Frissítés a legújabb verzióra című témakörben leírt lépéseket.
A Microsoft Entra Csatlakozás konfigurációjának biztonsági mentése
Mielőtt bármilyen módosítást végez, készítsen biztonsági másolatot a Microsoft Entra Csatlakozás konfigurációjáról. Így visszaállíthatja az előző konfigurációt. További információt a Microsoft Entra Csatlakozás konfigurációs beállításainak importálása és exportálása című témakörben talál.
Az ütemező leállítása
A Microsoft Entra Csatlakozás Sync ütemező használatával szinkronizálja a helyszíni címtárban bekövetkező változásokat. Egyéni szabályok módosításához és hozzáadásához le szeretné tiltani az ütemezőt, hogy a szinkronizálások ne fussanak a módosítások végrehajtása közben. Az ütemező leállításához kövesse az alábbi lépéseket:
- A Microsoft Entra Csatlakozás Syncet futtató kiszolgálón nyissa meg a PowerShellt Rendszergazda istrative Privileges használatával.
- Futtassa az
Stop-ADSyncSyncCycle
parancsot. Nyomja le az Enter billentyűt. - Futtassa az
Set-ADSyncScheduler -SyncCycleEnabled $false
parancsot.
Feljegyzés
Ha saját egyéni ütemezőt futtat a Microsoft Entra Csatlakozás Synchez, tiltsa le az ütemezőt.
Egyéni felhasználó bejövő szabályának létrehozása
A Microsoft Entra Csatlakozás Szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri a korábban azonosított szervezeti egység felhasználóit. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja a felhasználók attribútumait. További információ: Migrálás felhőszinkronizálási dokumentációba az éles környezet migrálása előtt.
Indítsa el a szinkronizálási szerkesztőt az asztali alkalmazásmenüből az alábbi módon:
Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
- Név: Adjon egy értelmes nevet a szabálynak
- Leírás: Adjon hozzá egy érthető leírást
- Csatlakozás rendszer: Válassza ki azt az AD-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
- Csatlakozás rendszerobjektum típusa: Felhasználó
- Metaverzum objektumtípus: Személy
- Hivatkozás típusa: Csatlakozás
- Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
- Címke: Hagyja üresen
A Hatókörszűrő lapon adja meg azt a szervezeti egységet vagy biztonsági csoportot, amely alapján a próbaüzemet ki szeretné kapcsolni. A szervezeti egységre való szűréshez adja hozzá a megkülönböztető név szervezeti egység részét. Ez a szabály az adott szervezeti egységben lévő összes felhasználóra érvényes lesz. Ha tehát a DN az "OU=CPU-k,DC=contoso,DC=com" végződéssel végződik, akkor ezt a szűrőt kell hozzáadnia. Ezután válassza a Tovább gombra.
Szabály Attribútum Operátor Érték Hatókörkezelési szervezeti egység DN ENDSWITH A szervezeti egység megkülönböztető neve. Hatókörcsoport ISMEMBEROF A biztonsági csoport megkülönböztető neve. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum. Válassza a Hozzáadás lehetőséget.
Minden objektumtípusnál (felhasználó, csoport és partner) ugyanazokat a lépéseket kell követni. Ismételje meg a lépéseket konfigurált AD-Csatlakozás oronként / AD-erdőnként.
Egyéni felhasználó kimenő szabályának létrehozása
Szüksége lesz egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja a felhasználók attribútumait. További információ: Migrálás felhőszinkronizálási dokumentációba az éles környezet migrálása előtt.
Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.
A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:
- Név: Adjon egy értelmes nevet a szabálynak
- Leírás: Adjon hozzá egy érthető leírást
- Csatlakozás rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
- Csatlakozás rendszerobjektum típusa: Felhasználó
- Metaverzum objektumtípus: Személy
- Hivatkozás típusa: JoinNoFlow
- Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
- Címke: Hagyja üresen
A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.
A Szabályok csatlakoztatása lapon válassza a Tovább gombot.
Az Átalakítások lapon válassza a Hozzáadás lehetőséget.
Minden objektumtípusnál (felhasználó, csoport és partner) ugyanazokat a lépéseket kell követni.
A Microsoft Entra kiépítési ügynök telepítése
Ha az alapszintű AD- és Azure-környezeti oktatóanyagot használja, az CP1 lesz. Az ügynök telepítéséhez kövesse az alábbi lépéseket:
- Az Azure Portalon válassza a Microsoft Entra-azonosítót.
- A bal oldalon válassza a Microsoft Entra Csatlakozás lehetőséget.
- A bal oldalon válassza a Felhőszinkronizálás lehetőséget.
- A bal oldalon válassza az Ügynök lehetőséget.
- Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.
- Miután letöltötte a Microsoft Entra Csatlakozás Kiépítési ügynökcsomagot, futtassa az AAD Csatlakozás ProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.
Feljegyzés
Az USA kormányzati felhőszolgáltatásának telepítésekor:
AAD Csatlakozás ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.
- A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.
- A telepítési művelet befejeződése után elindul a konfigurációs varázsló. Válassza a Tovább gombot a konfiguráció elindításához.
- A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Csatlakozás felhőszinkronizálást, és válassza a Tovább lehetőséget.
Feljegyzés
Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).
- Jelentkezzen be legalább hibrid identitás Rendszergazda istrator szerepkörrel rendelkező fiókkal. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag telepítését.
- A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
- Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
- Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.
A folytatáshoz kattintson a Tovább gombra.
Ha a tartománynév a Konfigurált tartományok területen jelenik meg az Csatlakozás Active Directory képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.
Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosul, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.
- Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.
A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.
A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.
- Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.
Ügynök telepítésének ellenőrzése
Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.
Azure Portal-ügynök ellenőrzése
Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:
- Jelentkezzen be az Azure Portalra.
- Válassza ki a Microsoft Entra ID.
- Válassza a Microsoft Entra Csatlakozás, majd a Felhőszinkronizálás lehetőséget.
- A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.
A helyi kiszolgálón
Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:
- Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
- Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
- A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Agent Updater és a Microsoft Entra Csatlakozás Kiépítési ügynök jelen van, és az állapot fut.
A kiépítési ügynök verziójának ellenőrzése
Annak ellenőrzéséhez, hogy az ügynök verziója fut-e, kövesse az alábbi lépéseket:
- Keresse meg a "C:\Program Files\Microsoft Azure AD Csatlakozás Kiépítési ügynök" lehetőséget
- Kattintson a jobb gombbal az "AAD Csatlakozás ProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
- Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.
A Microsoft Entra Cloud Sync konfigurálása
A kiépítés konfigurálásához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid Rendszergazda istratorként.
- Keresse meg az Identity>Hybrid Management>Microsoft Entra Csatlakozás> Cloud szinkronizálását.
- Válassza az Új konfiguráció lehetőséget.
- A konfigurációs képernyőn válassza ki a tartományt, és engedélyezze-e a jelszókivonat-szinkronizálást. Kattintson a Létrehozás gombra.
Ekkor megnyílik az Első lépések képernyő.
Az Első lépések képernyőn kattintson vagy a Hatókörszűrők hozzáadása ikon melletti Hatókörszűrők hozzáadása elemre, vagy a bal oldali Hatókörszűrők elemre a Kezelés csoportban.
- Válassza ki a hatókörszűrőt. Ebben az oktatóanyagban válassza a következőket:
- Kijelölt szervezeti egységek: Az adott szervezeti egységekre alkalmazandó konfiguráció hatóköre.
- A mezőbe írja be a következőt: "OU=CPU-k,DC=contoso,DC=com".
- Kattintson a Hozzáadás gombra. Kattintson a Mentés gombra.
Az ütemező indítása
A Microsoft Entra Csatlakozás Sync ütemező használatával szinkronizálja a helyszíni címtárban bekövetkező változásokat. Most, hogy módosította a szabályokat, újraindíthatja az ütemezőt. Ehhez a következő lépések szükségesek:
- A Microsoft Entra Csatlakozás Syncet futtató kiszolgálón nyissa meg a PowerShellt Rendszergazda istrative Privileges használatával
- Futtassa az
Set-ADSyncScheduler -SyncCycleEnabled $true
parancsot. - Futtassa
Start-ADSyncSyncCycle
, majd nyomja le az Enter billentyűt.
Feljegyzés
Ha saját egyéni ütemezőt futtat a Microsoft Entra Csatlakozás Synchez, engedélyezze az ütemezőt.
Ha az ütemező engedélyezve van, a Microsoft Entra Csatlakozás leállítja a metaverzumban lévő objektumok cloudNoFlow=true
módosításainak exportálását, kivéve, ha bármilyen referenciaattribútum (például manager
) frissítése folyamatban van. Ha bármilyen referenciaattribútum-frissítés van az objektumon, a Microsoft Entra Csatlakozás figyelmen kívül hagyja a cloudNoFlow
jelet, és exportálja az objektum összes frissítését.
Valami hiba történt
Ha a próbaüzem nem a várt módon működik, az alábbi lépések végrehajtásával visszatérhet a Microsoft Entra Csatlakozás Szinkronizálás beállításához:
- Tiltsa le a kiépítési konfigurációt a portálon.
- Tiltsa le a Felhőkiépítéshez létrehozott összes egyéni szinkronizálási szabályt a Szinkronizálási szabályszerkesztő eszközzel. A letiltásnak teljes szinkronizálást kell okoznia az összes összekötőn.