Migrálás a Microsoft Entra Cloud Sync szolgáltatásba egy meglévő szinkronizált AD-erdőhöz

Ez az oktatóanyag bemutatja, hogyan migrálna felhőszinkronizálásra egy olyan teszt Active Directory-erdőhöz, amely már szinkronizálva van a Microsoft Entra Csatlakozás Sync használatával.

Feljegyzés

Ez a cikk az alapvető migrálással kapcsolatos információkat tartalmazza, és az éles környezet áttelepítése előtt tekintse át a migrálás felhőszinkronizálási dokumentációját.

Megfontolások

Az oktatóanyag kipróbálása előtt vegye figyelembe a következő elemeket:

1. Győződjön meg arról, hogy ismeri a felhőszinkronizálás alapjait.

2. Győződjön meg arról, hogy a Microsoft Entra Csatlakozás Sync 1.4.32.0-s vagy újabb verzióját futtatja, és a szinkronizálási szabályokat dokumentált módon konfigurálta.

3. A próbaüzem során eltávolít egy teszt szervezeti egységet vagy csoportot a Microsoft Entra Csatlakozás Sync hatóköréből. Az objektumok hatókörből való áthelyezése ezeknek az objektumoknak a Törlését eredményezi a Microsoft Entra ID-ban.

   • A felhasználói objektumok, a Microsoft Entra-azonosítóban lévő objektumok helyreállíthatóan törlődnek, és visszaállíthatók.
   • Az objektumok csoportosítása a Microsoft Entra-azonosítóban található objektumok keményen törlődnek, és nem állíthatók vissza.

   A Microsoft Entra Csatlakozás Sync új hivatkozástípust vezetett be, amely megakadályozza a törlést egy próbaüzemben.

4. Győződjön meg arról, hogy a próbahatókör objektumai ms-ds-konzisztenciaGUID-val vannak feltöltve, így a felhőbeli szinkronizálás szigorúan megfelel az objektumoknak.

Feljegyzés

A Microsoft Entra Csatlakozás Sync alapértelmezés szerint nem tölti ki az ms-ds-consistencyGUID értéket a csoportobjektumok esetében.

5. Ez a konfiguráció speciális forgatókönyvekhez készült. Győződjön meg arról, hogy pontosan követi az oktatóanyagban dokumentált lépéseket.

Előfeltételek

Az oktatóanyag elvégzéséhez az alábbi előfeltételek szükségesek

• Tesztkörnyezet a Microsoft Entra Csatlakozás Sync 1.4.32.0-s vagy újabb verziójával
• A szinkronizálás hatókörébe tartozó szervezeti egység vagy csoport, amely a próbaüzemben használható. Javasoljuk, hogy kezdjen egy kis objektumkészlettel.
• Egy Windows Server 2016 vagy újabb rendszert futtató kiszolgáló, amely a kiépítési ügynököt fogja üzemeltetni.
• A Microsoft Entra Csatlakozás Sync forráshorgonyának objectGuid vagy ms-ds-consistencyGUID típusúnak kell lennie

A Microsoft Entra Csatlakozás frissítése

Minimálisan a Microsoft Entra Csatlakozás 1.4.32.0-s. A Microsoft Entra Csatlakozás Sync frissítéséhez hajtsa végre a Microsoft Entra Csatlakozás: Frissítés a legújabb verzióra című témakörben leírt lépéseket.

A Microsoft Entra Csatlakozás konfigurációjának biztonsági mentése

Mielőtt bármilyen módosítást végez, készítsen biztonsági másolatot a Microsoft Entra Csatlakozás konfigurációjáról. Így visszaállíthatja az előző konfigurációt. További információt a Microsoft Entra Csatlakozás konfigurációs beállításainak importálása és exportálása című témakörben talál.

Az ütemező leállítása

A Microsoft Entra Csatlakozás Sync ütemező használatával szinkronizálja a helyszíni címtárban bekövetkező változásokat. Egyéni szabályok módosításához és hozzáadásához le szeretné tiltani az ütemezőt, hogy a szinkronizálások ne fussanak a módosítások végrehajtása közben. Az ütemező leállításához kövesse az alábbi lépéseket:

1. A Microsoft Entra Csatlakozás Syncet futtató kiszolgálón nyissa meg a PowerShellt Rendszergazda istrative Privileges használatával.
2. Futtassa az Stop-ADSyncSyncCycle parancsot. Nyomja le az Enter billentyűt.
3. Futtassa az Set-ADSyncScheduler -SyncCycleEnabled $false parancsot.

Feljegyzés

Ha saját egyéni ütemezőt futtat a Microsoft Entra Csatlakozás Synchez, tiltsa le az ütemezőt.

Egyéni felhasználó bejövő szabályának létrehozása

A Microsoft Entra Csatlakozás Szinkronizálási szabályok szerkesztőjében létre kell hoznia egy bejövő szinkronizálási szabályt, amely kiszűri a korábban azonosított szervezeti egység felhasználóit. A bejövő szinkronizálási szabály a cloudNoFlow célattribútumával rendelkező illesztési szabály. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja a felhasználók attribútumait. További információ: Migrálás felhőszinkronizálási dokumentációba az éles környezet migrálása előtt.

1. Indítsa el a szinkronizálási szerkesztőt az asztali alkalmazásmenüből az alábbi módon:

   

2. Válassza a Bejövő elemet az Irány legördülő listából, és válassza az Új szabály hozzáadása lehetőséget.

   

3. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

   • Név: Adjon egy értelmes nevet a szabálynak
   • Leírás: Adjon hozzá egy érthető leírást
   • Csatlakozás rendszer: Válassza ki azt az AD-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
   • Csatlakozás rendszerobjektum típusa: Felhasználó
   • Metaverzum objektumtípus: Személy
   • Hivatkozás típusa: Csatlakozás
   • Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
   • Címke: Hagyja üresen

   

4. A Hatókörszűrő lapon adja meg azt a szervezeti egységet vagy biztonsági csoportot, amely alapján a próbaüzemet ki szeretné kapcsolni. A szervezeti egységre való szűréshez adja hozzá a megkülönböztető név szervezeti egység részét. Ez a szabály az adott szervezeti egységben lévő összes felhasználóra érvényes lesz. Ha tehát a DN az "OU=CPU-k,DC=contoso,DC=com" végződéssel végződik, akkor ezt a szűrőt kell hozzáadnia. Ezután válassza a Tovább gombra.

   Szabály	Attribútum	Operátor	Érték
   Hatókörkezelési szervezeti egység	DN	ENDSWITH	A szervezeti egység megkülönböztető neve.
   Hatókörcsoport		ISMEMBEROF	A biztonsági csoport megkülönböztető neve.

   

5. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

6. Az Átalakítások lapon adjon hozzá egy állandó átalakítást: flow True to cloudNoFlow attribútum. Válassza a Hozzáadás lehetőséget.

   

Minden objektumtípusnál (felhasználó, csoport és partner) ugyanazokat a lépéseket kell követni. Ismételje meg a lépéseket konfigurált AD-Csatlakozás oronként / AD-erdőnként.

Egyéni felhasználó kimenő szabályának létrehozása

Szüksége lesz egy kimenő szinkronizálási szabályra is, amelynek hivatkozástípusa JoinNoFlow, és a hatókörszűrő, amelynek a cloudNoFlow attribútuma Igaz értékre van állítva. Ez a szabály arra utasítja a Microsoft Entra Csatlakozás, hogy ne szinkronizálja a felhasználók attribútumait. További információ: Migrálás felhőszinkronizálási dokumentációba az éles környezet migrálása előtt.

1. Válassza az Irány legördülő listából a Kimenő lehetőséget , majd a Szabály hozzáadása lehetőséget.

   

2. A Leírás lapon adja meg a következőket, és válassza a Tovább elemet:

   • Név: Adjon egy értelmes nevet a szabálynak
   • Leírás: Adjon hozzá egy érthető leírást
   • Csatlakozás rendszer: Válassza ki azt a Microsoft Entra-összekötőt, amelyre az egyéni szinkronizálási szabályt írja
   • Csatlakozás rendszerobjektum típusa: Felhasználó
   • Metaverzum objektumtípus: Személy
   • Hivatkozás típusa: JoinNoFlow
   • Elsőbbség: Adjon meg egy, a rendszerben egyedi értéket
     
   • Címke: Hagyja üresen

   

3. A Hatókörszűrő lapon válassza a cloudNoFlow equal True (Igaz) értéket. Ezután válassza a Tovább gombra.

   

4. A Szabályok csatlakoztatása lapon válassza a Tovább gombot.

5. Az Átalakítások lapon válassza a Hozzáadás lehetőséget.

Minden objektumtípusnál (felhasználó, csoport és partner) ugyanazokat a lépéseket kell követni.

A Microsoft Entra kiépítési ügynök telepítése

Ha az alapszintű AD- és Azure-környezeti oktatóanyagot használja, az CP1 lesz. Az ügynök telepítéséhez kövesse az alábbi lépéseket:

1. Az Azure Portalon válassza a Microsoft Entra-azonosítót.
2. A bal oldalon válassza a Microsoft Entra Csatlakozás lehetőséget.
3. A bal oldalon válassza a Felhőszinkronizálás lehetőséget.

4. A bal oldalon válassza az Ügynök lehetőséget.
5. Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.

6. Miután letöltötte a Microsoft Entra Csatlakozás Kiépítési ügynökcsomagot, futtassa az AAD Csatlakozás ProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.

Feljegyzés

Az USA kormányzati felhőszolgáltatásának telepítésekor:
AAD Csatlakozás ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.

7. A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.

8. A telepítési művelet befejeződése után elindul a konfigurációs varázsló. Válassza a Tovább gombot a konfiguráció elindításához.
9. A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Csatlakozás felhőszinkronizálást, és válassza a Tovább lehetőséget.

Feljegyzés

Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).

10. Jelentkezzen be legalább hibrid identitás Rendszergazda istrator szerepkörrel rendelkező fiókkal. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag telepítését.

11. A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:

• Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
• Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.

A folytatáshoz kattintson a Tovább gombra.

12. Ha a tartománynév a Konfigurált tartományok területen jelenik meg az Csatlakozás Active Directory képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.

13. Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosul, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.

14. Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.

15. A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.

16. A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.

17. Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.

Ügynök telepítésének ellenőrzése

Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.

Azure Portal-ügynök ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.
2. Válassza ki a Microsoft Entra ID.
3. Válassza a Microsoft Entra Csatlakozás, majd a Felhőszinkronizálás lehetőséget.
4. A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.

A helyi kiszolgálón

Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:

1. Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
2. Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
3. A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Agent Updater és a Microsoft Entra Csatlakozás Kiépítési ügynök jelen van, és az állapot fut.

A kiépítési ügynök verziójának ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök verziója fut-e, kövesse az alábbi lépéseket:

1. Keresse meg a "C:\Program Files\Microsoft Azure AD Csatlakozás Kiépítési ügynök" lehetőséget
2. Kattintson a jobb gombbal az "AAD Csatlakozás ProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
3. Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.

A Microsoft Entra Cloud Sync konfigurálása

A kiépítés konfigurálásához kövesse az alábbi lépéseket:

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid Rendszergazda istratorként.
2. Keresse meg az Identity>Hybrid Management>Microsoft Entra Csatlakozás> Cloud szinkronizálását.

3. Válassza az Új konfiguráció lehetőséget.
4. A konfigurációs képernyőn válassza ki a tartományt, és engedélyezze-e a jelszókivonat-szinkronizálást. Kattintson a Létrehozás gombra.

5. Ekkor megnyílik az Első lépések képernyő.

6. Az Első lépések képernyőn kattintson vagy a Hatókörszűrők hozzáadása ikon melletti Hatókörszűrők hozzáadása elemre, vagy a bal oldali Hatókörszűrők elemre a Kezelés csoportban.

7. Válassza ki a hatókörszűrőt. Ebben az oktatóanyagban válassza a következőket:
   • Kijelölt szervezeti egységek: Az adott szervezeti egységekre alkalmazandó konfiguráció hatóköre.
8. A mezőbe írja be a következőt: "OU=CPU-k,DC=contoso,DC=com".

9. Kattintson a Hozzáadás gombra. Kattintson a Mentés gombra.

Az ütemező indítása

A Microsoft Entra Csatlakozás Sync ütemező használatával szinkronizálja a helyszíni címtárban bekövetkező változásokat. Most, hogy módosította a szabályokat, újraindíthatja az ütemezőt. Ehhez a következő lépések szükségesek:

1. A Microsoft Entra Csatlakozás Syncet futtató kiszolgálón nyissa meg a PowerShellt Rendszergazda istrative Privileges használatával
2. Futtassa az Set-ADSyncScheduler -SyncCycleEnabled $true parancsot.
3. Futtassa Start-ADSyncSyncCycle, majd nyomja le az Enter billentyűt.

Feljegyzés

Ha saját egyéni ütemezőt futtat a Microsoft Entra Csatlakozás Synchez, engedélyezze az ütemezőt.

Ha az ütemező engedélyezve van, a Microsoft Entra Csatlakozás leállítja a metaverzumban lévő objektumok cloudNoFlow=true módosításainak exportálását, kivéve, ha bármilyen referenciaattribútum (például manager) frissítése folyamatban van. Ha bármilyen referenciaattribútum-frissítés van az objektumon, a Microsoft Entra Csatlakozás figyelmen kívül hagyja a cloudNoFlow jelet, és exportálja az objektum összes frissítését.

Valami hiba történt

Ha a próbaüzem nem a várt módon működik, az alábbi lépések végrehajtásával visszatérhet a Microsoft Entra Csatlakozás Szinkronizálás beállításához:

1. Tiltsa le a kiépítési konfigurációt a portálon.
2. Tiltsa le a Felhőkiépítéshez létrehozott összes egyéni szinkronizálási szabályt a Szinkronizálási szabályszerkesztő eszközzel. A letiltásnak teljes szinkronizálást kell okoznia az összes összekötőn.

Következő lépések

• Mi az a kiépítés?
• Mi az a Microsoft Entra Cloud Sync?