Ferramenta de Mapeamento de Identidade da Migração do SharePoint
Use o recurso mapeamento de identidade da Ferramenta de Avaliação de Migração do SharePoint para ajudar a migração de identidade.
Observação
Para baixar a Ferramenta de Migração do SharePoint, selecione: Baixar a Ferramenta de Avaliação de Migração do SharePoint
Introdução
A migração de identidade é o processo de mapeamento de identidades do ambiente local do SharePoint para o estado de destino Microsoft Entra ID.
Como a sincronização de usuário e grupo do AD para Microsoft Entra ID é nova para muitos clientes, é essencial atribuir recursos apropriados. Execute todo o planejamento interno e execute todas as tarefas relacionadas à migração de identidade em uníssono com seu plano de migração local geral.
A meta mais importante do projeto de identidade é verificar se todos os usuários e grupos necessários são sincronizados para Microsoft Entra ID. Se você migrar sem fazer essa análise primeiro, os usuários poderão perder o acesso ao conteúdo.
Referencie este documento para obter informações sobre o processo, funções e responsabilidades, artefatos e controles associados ao processo de Migração de Identidade Única.
Visão geral
O objetivo da migração de identidade é sincronizar todos os usuários possíveis e disposição de todos os registros não mapeados restantes com a justificativa de por que eles não são sincronizados. Esse processo de sincronização e disposição deve ser concluído antes da preparação do teste de aceitação do usuário, que é a Execução Seca 1. Todos os registros não mapeados devem ter uma justificativa válida e ser aprovados pela equipe de projeto da Microsoft.
Execute três verificações diferentes para executar o mapeamento de identidade:
Processo
Use esse processo para usuários e grupos que têm acesso ao SharePoint encontrado no relatório FullIdentityReport.csv.
Devem ser tomados cuidados para garantir que todos os usuários e grupos necessários sejam incluídos na sincronização Microsoft Entra. Se o conteúdo do SharePoint pertencer a usuários que não foram migrados, suas permissões de usuário não serão migradas.
O objetivo é sincronizar 100% das identidades que têm acesso ao ambiente do SharePoint de origem ou fornecer razões para quaisquer identidades que não sejam sincronizadas.
A preparação inicial de todos os usuários e grupos é necessária para determinar quais usuários e grupos migrar.
O ideal é que todos os usuários e grupos tenham TypeOfMatch definido como ExactMatch ou PartialMatch.
Se houver exceções, faça anotações no campo MappingRationale do arquivo FullIdentityReport.csv para fins de acompanhamento.
Passos:
Baixe a ferramenta de avaliação em um computador em seu farm do SharePoint. Para baixar, acesse aqui: Ferramenta de Avaliação de Migração do SharePoint
Forneça o consentimento para permitir que a ferramenta acesse sua ID de Microsoft Entra.
Executar: SMAT.exe -GenerateIdentityMapping
Abra FullIdentityReport.csv no Excel.
Filtrar em TypeOfMatch = NoMatch. Esses usuários e grupos não terão acesso à migração de conteúdo pós-migração. Por exemplo, contoso\johndoe é listado como NoMatch. AclExists é True. Após a migração, qualquer conteúdo ao qual contoso\johndoe teve acesso na origem não funcionará para essa conta após a migração. Um proprietário do site precisa adicionar a conta Microsoft Entra contoso\johndoe de volta às permissões para resolve o problema.
Filtro em TypeOfMatch = PartialMatch. Verifique se as correspondências encontradas estão corretas. É possível que as correspondências parciais estejam incorretas se várias pessoas tiverem os mesmos Nomes de Exibição ou os Nomes da Entidade de Usuário alterados da origem para o destino.
Crie um plano para corrigir as lacunas. Por exemplo, se você estiver usando identidades do Windows e houver usuários e grupos que tenham TypeOfMatch definido como NoMatch ou PartialMatch, normalmente você deseja sincronizar esses outros usuários e grupos para Microsoft Entra ID e executar novamente o processo de mapeamento de identidade.
Sincronize outros usuários e grupos para Microsoft Entra ID.
Repita até obter um FullIdentityReport.csv que represente corretamente suas expectativas após a migração.
Verificações de validação de pré-vôo
A ferramenta executa uma marcar de validação de pré-vôo para garantir que o operador tenha acesso a Microsoft Entra ID. O acesso ao Microsoft Entra ID é necessário para executar o processo de mapeamento de identidade.
Quando solicitado, insira Microsoft Entra credenciais. Se necessário, o prompt de entrada pedirá consentimento. O consentimento do administrador de locatário do Azure é necessário para que este aplicativo leia Microsoft Entra ID.
Se sua entrada falhar ou você não puder fornecer consentimento, verá a seguinte falha:
Se você disser não no prompt, a ferramenta sairá sem executar nenhuma verificação de mapeamento de identidade.
Se você optar por continuar com o processo de Mapeamento de Identidade, receberá mais um prompt quando a verificação de ID Microsoft Entra for executada. Se você não conseguir autenticar ou fornecer consentimento nesse ponto, a verificação de ID do Microsoft Entra falhará. Você ainda receberá os relatórios, mas o mapeamento não será realizado. A saída resultante é representativa de todas as identidades que têm acesso ao ambiente do SharePoint de origem.
Arquivo de configuração
As verificações de mapeamento de identidade podem ser configuradas no arquivo ScanDef.json . Esse arquivo está localizado no mesmo diretório que SMAT.exe.
Consentimento para ler dados de diretório
Para gerar os Relatórios de Mapeamento de Identidade, você precisa consentir para permitir que a ferramenta de avaliação leia seu diretório Microsoft Entra. Há dois métodos disponíveis.
Opção 1: Execute a ferramenta de avaliação com o comutador -ConfigureIdentityMapping.
Essa opção fornece à ferramenta de avaliação acesso à seção Aplicativos Empresariais do locatário. Ele permite que qualquer pessoa em seu locatário execute a ferramenta para executar o mapeamento de identidade para migração no Microsoft 365.
Baixe a ferramenta de avaliação daqui: Ferramenta de Avaliação de Migração do SharePoint
Executar: SMAT.exe -ConfigureIdentityMapping
Observação
Não é necessário executar essa etapa no ambiente do SharePoint. Você pode executar o comando acima em qualquer computador que tenha acesso ao locatário do Azure.
Quando solicitado com a caixa de diálogo de entrada do Azure, insira suas credenciais de administrador de locatário do Azure.
Quando solicitado o consentimento, selecione Aceitar.
O aplicativo SMAT.exe indica que o aplicativo foi registrado com êxito. Um administrador do SharePoint agora pode executar o processo de mapeamento de identidade.
Opção 2: Execute a ferramenta de avaliação como um usuário com direitos de Administração de Locatário do Azure.
É possível que um usuário com direitos de administrador de locatário do Azure execute a ferramenta e forneça apenas consentimento para si mesmo.
Baixe a ferramenta de avaliação daqui: Ferramenta de Avaliação de Migração do SharePoint
Na linha de comando, digite
Run SMAT.exe -GenerateIdentityMappingQuando solicitado com a caixa de diálogo de entrada do Azure, insira suas credenciais de locatário do Azure Administração.
Quando solicitado o consentimento, selecione OK. Isso só consentirá o aplicativo para a entrada fornecida.
O mapeamento de identidade será executado e gerará os relatórios necessários.
Remover Consentimento
Siga as etapas abaixo para remover o consentimento do Aplicativo de Mapeamento de Identidade do SharePoint do locatário do Azure. Depois que essas etapas forem executadas, será necessário fornecer consentimento na próxima vez que você executar o processo de mapeamento de identidade.
Navegar https://portal.azure.com
Entre como administrador da organização.
Localizar aplicativos Enterprise.
Selecione Todos os aplicativos.
Na lista de aplicativos, selecione Ferramenta de Mapeamento de Identidade do SharePoint e selecione Excluir.
Relatórios gerados
Há dois relatórios gerados pelo comutador -GenerateIdentityMapping. Cada relatório é usado como parte do processo de mapeamento de identidade.
Ambos os relatórios indicam que os usuários concederam permissões ao conteúdo do SharePoint.
FullIdentityReport.csv
O FullIdentityReport.csv contém um despejo de todos os dados de identidade que descobrimos sobre os usuários e grupos listados como ativos no ambiente do SharePoint. O objetivo deste relatório é entender todos os usuários e grupos que têm acesso ao SharePoint e se essas identidades têm uma identidade Microsoft Entra associada.
Se a identidade não for encontrada no Active Directory, os campos do Active Directory estarão vazios. O campo FoundInAD é falso e ReasonNotFoundInAD conterá um código de razão.
Se a identidade não foi encontrada em Microsoft Entra ID, os campos de ID Microsoft Entra estarão vazios. O campo FoundInAzureAD será falso e ReasonNotFoundInAzureAD conterá um código de razão.
| Nome da coluna | Fonte | Descrição |
|---|---|---|
| UniqueID |
SharePoint |
Para contas do Windows, este será um SID (Identificador de Segurança). Para contas que não são do Windows, essa será a declaração usada para o ACL SharePoint. |
| TypeOfMatch |
Ferramenta de Avaliação |
ExactMatch - A identidade de origem é uma conta do Windows e conseguimos corresponder o SID no SharePoint com o OnPremisesSecurityIdentifier em Microsoft Entra ID. PartialMatch - A correspondência foi baseada em UserPrincipalName, Email ou Nome de Exibição. Para grupos, apenas correspondemos parcialmente em Nome de Exibição. NoMatch – não é possível corresponder a identidade com qualquer informação. |
| IsGroup |
SharePoint |
True se a identidade for um grupo. |
| ACLExists |
SharePoint |
True se a identidade estiver associada a permissões no SharePoint. Isso indica que a identidade tem acesso a algum conteúdo. |
| MySiteExists |
SharePoint |
True se a identidade for um usuário e esse usuário tiver um My Site/OneDrive associado ao seu perfil. |
| Claimtype |
SharePoint |
Tipo de modo de autenticação de declaração associado à identidade. Este será um dos seguintes valores Clássico – São contas clássicas do Windows. Nenhuma declaração está envolvida e o usuário foi conectado à ACL usando um identificador de Segurança do Windows [SID]. Windows – Declarações do Windows. TrustedSTS – provedor de declaração SAML. Formulários – A autenticação de formulários é usada. ASPNetMembership – provedor de associação .NET. ASPNetRole – provedor de função .NET. ClaimProvider – Provedor baseado em declarações. LocalSTS – Serviço local de token do SharePoint. https://social.technet.microsoft.com/wiki/contents/articles/13921.sharepoint-20102013-claims-encoding.aspx |
| SharePointLoginName |
SharePoint |
Nome de entrada associado à identidade encontrada no SharePoint. |
| SharePointDisplayName |
SharePoint |
Nome de exibição associado à identidade encontrada no SharePoint. |
| SharePointProfileEmail |
SharePoint |
Email endereço associado ao usuário. Isso só será preenchido se a identidade for um usuário, o usuário tiver um perfil do SharePoint e esse perfil tiver um conjunto de email. |
| ActiveDirectoryDisplayName |
Active Directory |
Nome de exibição encontrado no Active Directory. |
| ActiveDirectoryDomain |
Active Directory |
Nome de domínio no qual a identidade estava localizada. |
| SamAccountName |
Active Directory |
Nome da conta da identidade. Esse valor estará vazio para grupos. |
| GroupType |
Active Directory |
Tipo de grupo. Isso está vazio para os usuários. |
| GroupMemberCount |
Active Directory |
Número de membros no grupo. Isso não refletirá as contagens de grupo aninhadas. Por exemplo, se houver um grupo que contenha outros três grupos, isso será mostrado como 3. Esse valor está vazio para os usuários. |
| DistinguishedName |
Active Directory |
O nome distinto associado à identidade no Active Directory. Exemplo: CN=Bob Smith,OU=UserAccounts,DC=contoso,DC=com |
| AccountEnabled |
Active Directory |
True se a conta estiver habilitada no Active Directory. Isso está vazio para grupos. |
| LastLoginTimeInAD |
Active Directory |
Data e hora em que a conta de usuário foi registrada pela última vez no Active Directory. Isso não indica que a entrada foi associada ao SharePoint, mas pode ser usada para determinar se essa é uma conta de usuário ativa. Isso está vazio para grupos. |
| FoundInAD |
Active Directory |
True se a identidade foi encontrada no Active Directory. |
| ReasonNotFoundInAD |
Active Directory |
Motivo pelo qual não encontramos a conta no Active Directory. Este é um dos seguintes: BadCredentials – o nome de usuário/senha fornecido era inválido para o domínio. DomainSidMatchNotFound – O SID encontrado no SharePoint tem um SID de domínio que não corresponde a nenhum dos domínios localizados. InvalidSecurityIdentifier – O SID encontrado no SharePoint é inválido. OnPremisesSidTranslationFailed - O SID parecia ser inválido, tentamos forçar uma tradução e isso falhou. UnableToConnect – Não é possível se conectar aos domínios. UnableToDetermine – Não foi possível determinar as propriedades do AD retornadas do domínio. UnknownException – Ocorreu um erro inesperado. Os detalhes são registrados no arquivo SMAT.log. UserNotFoundInRemoteAd - Encontramos um domínio válido, mas não foi possível localizar a identidade usando o SID. Se FoundInAD for true, isso estará vazio. |
| AzureObjectID |
Active Directory |
ID do objeto da identidade em Microsoft Entra ID. |
| AzureUserPrincipalName |
Active Directory |
Nome da entidade de usuário da identidade. Isso só é preenchido para usuários. |
| AzureDisplayName |
Active Directory |
Nome de exibição associado à identidade em Microsoft Entra ID. |
| FoundInAzureAD |
Active Directory |
True se a identidade estiver localizada em Microsoft Entra ID. |
| ReasonNotFoundInAzureAD |
Active Directory |
O motivo pelo qual não encontramos a conta em Microsoft Entra ID. O motivo pode ser: PrincipalNotFound – não é possível localizar a identidade em Microsoft Entra ID. AdalExceptionFound – Falha de autenticação em Microsoft Entra ID. UnknownException – ocorreu um erro inesperado. Os detalhes estão no arquivo SMAT.log. Isso estará vazio se FoundInAzureAd for verdadeiro. |
| MappingRationale |
Active Directory |
Use este campo de notas abertas para rastrear usuários não mapeados. |
| SanID |
Ferramenta de Avaliação |
Identificador exclusivo de uma execução específica do processo de mapeamento de identidade. Cada vez que você executa a ferramenta, ela gera uma ID distinta. |
IdentityMapping.csv
IdentityMapping.csv é um arquivo de mapeamento de identidade pregenerado. Todas as identidades são representadas no arquivo. Identidades não mapeadas têm valores em branco para TargetIdentity.
| Nome da coluna | Descrição |
|---|---|
| UniqueIdentity |
Valor exclusivo para identificar o objeto no ambiente de origem. Para identidades do Windows, este é o SID (Identificador de Segurança). Para todos os outros tipos de identidade, essa é a declaração encontrada no SharePoint. |
| TargetIdentity |
Identidade para mapear a identidade de origem. Para usuários, esse valor é o Nome da Entidade de Usuário do usuário em Microsoft Entra ID. Para grupos, esse valor é a ID do objeto do grupo em Microsoft Entra ID. |
| IsGroup |
True se a linha representa um grupo. |
Confira também
Outros recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de