Share via

Миграция в Microsoft Entra Cloud Sync для существующего синхронизированного леса AD

  • Статья

В этом руководстве описано, как выполнить миграцию в облачную синхронизацию для тестового леса Active Directory, который уже синхронизирован с помощью Microsoft Entra Подключение Sync.

Примечание.

В этой статье содержатся сведения о базовой миграции и перед попыткой миграции рабочей среды ознакомьтесь с документацией по миграции в облако .

Схема, показывающая поток синхронизации Microsoft Entra Cloud Sync.

Рекомендации

Прежде чем начать работу с этим руководством, примите во внимание следующее:

  1. Вы должны быть знакомы с основами синхронизации облачных сред.

  2. Убедитесь, что вы используете Microsoft Entra Подключение Sync версии 1.4.32.0 или более поздней и настроили правила синхронизации как документированные.

  3. При пилотном тестировании вы удалив тестовую подразделение или группу из Microsoft Entra Подключение Sync область. Перемещение объектов из область приводит к удалению этих объектов в идентификаторе Microsoft Entra.

    • Пользовательские объекты, объекты в идентификаторе Microsoft Entra удаляются обратимо и могут быть восстановлены.
    • Объекты группы, объекты в идентификаторе Microsoft Entra жестко удалены и не могут быть восстановлены.

    В Microsoft Entra Подключение Sync появился новый тип ссылки, который предотвратит удаление в сценарии пилотного развертывания.

  4. Убедитесь, что для объектов в области пилотного развертывания заполнен параметр ms-ds-consistencyGUID, чтобы при синхронизации облачных служб выполнялось строгое сопоставление этих объектов.

Примечание.

Microsoft Entra Подключение Sync не заполняет ms-ds-consistencyGUID по умолчанию для объектов групп.

  1. Эта конфигурация предназначена для расширенных сценариев. Следите за тем, чтобы в точности выполнять действия, описанные в этом учебнике.

Необходимые компоненты

Для работы с этим учебником требуется следующее:

  • Тестовая среда с Microsoft Entra Подключение Sync версии 1.4.32.0 или более поздней
  • Подразделение или группа, которые находятся в области синхронизации и могут использоваться в пилотной среде. Мы советуем начинать с небольшого набора объектов.
  • Сервер под управлением Windows Server 2016 или более поздней версии, на котором будет размещен агент подготовки.
  • Привязка источника для Microsoft Entra Подключение Sync должна быть objectGuid или ms-ds-consistencyGUID

Обновление Подключение Microsoft Entra

Как минимум, у вас должна быть microsoft Entra Подключение 1.4.32.0. Чтобы обновить Microsoft Entra Подключение Sync, выполните действия, описанные в microsoft Entra Подключение: обновление до последней версии.

Резервное копирование конфигурации Microsoft Entra Подключение

Перед внесением изменений необходимо создать резервную копию конфигурации Microsoft Entra Подключение. Таким образом можно выполнить откат к предыдущей конфигурации. Дополнительные сведения см. в разделе "Импорт и экспорт параметров конфигурации Microsoft Entra Подключение".

Остановка планировщика

Microsoft Entra Подключение Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Чтобы изменить и добавить настраиваемые правила, необходимо отключить планировщик, чтобы синхронизации не выполнялись во время выполнения изменений. Чтобы остановить планировщик, выполните следующие действия.

  1. На сервере, на котором запущена синхронизация Microsoft Entra Подключение, откройте PowerShell с Администратор устойчивыми привилегиями.
  2. Запустите Stop-ADSyncSyncCycle. Нажмите клавишу ВВОД.
  3. Запустите Set-ADSyncScheduler -SyncCycleEnabled $false.

Примечание.

Если вы используете собственный настраиваемый планировщик для Microsoft Entra Подключение Sync, отключите планировщик.

Создание пользовательского правила для входящего трафика пользователя

В редакторе правил синхронизации Microsoft Entra Подключение необходимо создать правило входящего синхронизации, которое фильтрует пользователей в подразделении, которое вы определили ранее. Правило входящего синхронизации — это правило соединения с целевым атрибутом cloudNoFlow. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.

  1. Запустите редактор синхронизации из меню приложений на рабочем столе, как показано ниже:

    Снимок экрана: меню редактора правил синхронизации.

  2. Выберите входящий трафик из раскрывающегося списка для направления и выберите "Добавить новое правило".

    Снимок экрана: окно

  3. На странице "Описание" введите следующее и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя
    • Описание. Добавление понятного описания
    • Подключение система: Выберите соединитель AD, для который вы пишете настраиваемое правило синхронизации.
    • Подключение тип системного объекта: Пользователя
    • Тип объекта Metaverse: Person
    • Тип ссылки: присоединение
    • Приоритет: укажите значение, уникальное в системе
    • Тег: оставьте это пустым

    Снимок экрана: страница

  4. На странице Scoping filter (Фильтр области) введите имя подразделения или группы безопасности, на которых должен быть основан пилотный проект. Чтобы отфильтровать по подразделению, добавьте часть, которая отвечает за название подразделения, в различающемся имени. Это правило будет применяться ко всем пользователям, которые относятся к этому подразделению. Таким образом, если различающееся имя завершается строкой "OU=CPUsers,DC=contoso,DC=com", вы добавите такой фильтр. Затем выберите Далее.

    Правило Атрибут Оператор Значение
    Подразделение для определения области DN ENDSWITH Различающееся имя подразделения.
    Группа для определения области ISMEMBEROF Различающееся имя группы безопасности.

    Снимок экрана: страница

  5. На странице правил присоединения нажмите кнопку "Далее".

  6. На странице Преобразования добавьте преобразование константы, чтобы значение True передавалось в атрибут cloudNoFlow. Выберите Добавить.

    Снимок экрана: страница

Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов). Повторите шаги для каждого настроенного соединителя AD или каждого леса AD.

Создание пользовательского правила для исходящего трафика пользователя

Кроме того, вам потребуется правило для исходящей синхронизации с типом ссылки JoinNoFlow и фильтром области с атрибутом cloudNoFlow, заданным значением True. Это правило сообщает Microsoft Entra Подключение не синхронизировать атрибуты для этих пользователей. Дополнительные сведения см . в документации по миграции в облачную синхронизацию перед попыткой миграции рабочей среды.

  1. Выберите исходящий трафик из раскрывающегося списка для направления и нажмите кнопку "Добавить правило".

    Снимок экрана: выбранный параметр

  2. На странице "Описание" введите следующее и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя
    • Описание. Добавление понятного описания
    • Подключение система: Выберите соединитель Microsoft Entra, который вы пишете настраиваемое правило синхронизации для
    • Подключение тип системного объекта: Пользователя
    • Тип объекта Metaverse: Person
    • Тип ссылки: JoinNoFlow
    • Приоритет: укажите значение, уникальное в системе
    • Тег: оставьте это пустым

    Снимок экрана: страница

  3. На странице Фильтр области выберите "cloudNoFlow равно true". Затем выберите Далее.

    Снимок экрана: пользовательское правило.

  4. На странице правил присоединения нажмите кнопку "Далее".

  5. На странице "Преобразования" нажмите кнопку "Добавить".

Эти же действия необходимо выполнить для объектов всех типов (пользователей, групп и контактов).

Установка агента подготовки Microsoft Entra

Если вы используете учебник по базовой среде AD и Azure , это будет CP1. Чтобы установить агент, выполните следующие действия.

  1. В портал Azure выберите идентификатор Microsoft Entra.
  2. Слева выберите Microsoft Entra Подключение.
  3. Слева выберите "Облачная синхронизация".

Снимок экрана: новый экран пользовательского интерфейса.

  1. Слева выберите агент.
  2. Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".

Снимок экрана: агент скачивания.

  1. После скачивания пакета агента подготовки Microsoft Entra Подключение запустите файл установки AAD Подключение ProvisioningAgentSetup.exe из папки загрузки.

Примечание.

При установке для использования облака для государственных организаций США:
AAD Подключение ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".

  1. На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".

Снимок экрана: экран-заставка пакета агента подготовки microsoft Entra Подключение.

  1. После завершения операции установки мастер конфигурации запускается. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию. Снимок экрана приветствия.
  2. На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) / Microsoft Entra Подключение облачную синхронизацию и нажмите кнопку "Далее". Снимок экрана: экран выбора расширений.

Примечание.

Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).

  1. Войдите с помощью учетной записи по крайней мере роль гибридного удостоверения Администратор istrator. Если у вас есть интернет-Обозреватель включена расширенная безопасность, он блокирует вход. Если это так, закройте установку, отключите интернет-Обозреватель расширенную безопасность и перезапустите установку пакета агента подготовки Microsoft Entra Подключение.

Снимок экрана: экран Подключение идентификатора Microsoft Entra ID.

  1. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA ", так как система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из следующих вариантов:
  • Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
  • Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.

Чтобы продолжить работу, щелкните Далее.

Снимок экрана: экран

  1. На экране Подключение Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".

  2. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".

Снимок экрана: ввод учетных данных администратора домена.

  1. На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.

Снимок экрана: экран Подключение Active Directory.

  1. На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.

  2. После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".

Снимок экрана: экран завершения.

  1. Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.

Проверка агента на портале Azure

Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:

  1. Войдите на портал Azure.
  2. Выберите Microsoft Entra ID.
  3. Выберите microsoft Entra Подключение, а затем выберите "Облачная синхронизация".Снимок экрана: новый экран пользовательского интерфейса.
  4. На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.

На локальном сервере

Чтобы убедиться, что агент выполняется, сделайте следующее.

  1. Войдите на сервер, используя учетную запись администратора.
  2. Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
  3. В разделе "Службы" убедитесь, что Microsoft Entra Подключение Agent Updater и Microsoft Entra Подключение Provisioning Agent присутствуют, а состояние выполняется. Снимок экрана: службы Windows.

Проверка версии агента подготовки

Чтобы убедиться, что версия агента запущена, выполните следующие действия.

  1. Перейдите к разделу "C:\Program Files\Microsoft Azure AD Подключение агент подготовки"
  2. Щелкните правой кнопкой мыши элемент AAD Подключение ProvisioningAgent.exe и выберите свойства.
  3. Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.

Настройка Microsoft Entra Cloud Sync

Чтобы настроить процесс подготовки, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный Администратор istrator.
  2. Перейдите к синхронизации Microsoft Entra для гибридного управления удостоверениями>>Подключение> Cloud.Снимок экрана: домашняя страница облачной синхронизации.
  1. Выберите Новая конфигурация. Снимок экрана: добавление конфигурации.
  2. На экране конфигурации выберите домен и укажите, следует ли включить синхронизацию хэша паролей. Нажмите кнопку Создать.

Снимок экрана: новая конфигурация.

  1. Откроется экран "Начало работы ".

  2. На экране "Начало работы" щелкните значок "Добавить фильтры области" рядом с значком "Добавить фильтры области" или щелкните фильтры области слева в разделе "Управление".

Снимок экрана: фильтры области.

  1. Выберите фильтр области. В этом руководстве выберите следующее:
    • Выбранные подразделения: область конфигурации, применяемая к определенным подразделениям.
  2. В поле введите "OU=CPUsers,DC=contoso,DC=com".

Снимок экрана: фильтр области.

  1. Нажмите кнопку Добавить. Нажмите кнопку Сохранить.

Запуск планировщика

Microsoft Entra Подключение Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Теперь, когда вы изменили правила, можно перезапустить планировщик. Выполните указанные ниже действия.

  1. На сервере, на котором запущена синхронизация Microsoft Entra Подключение, откройте PowerShell с правами Администратор istrative
  2. Запустите Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Выполните Start-ADSyncSyncCycle, а затем нажмите клавишу ВВОД.

Примечание.

Если вы используете собственный настраиваемый планировщик для Microsoft Entra Подключение Sync, включите планировщик.

После включения планировщика Microsoft Entra Подключение перестанет экспортировать изменения объектов с cloudNoFlow=true метавселенной, если не обновляется любой ссылочный атрибут (напримерmanager, ). Если в объекте есть любое обновление ссылочного атрибута, Microsoft Entra Подключение будет игнорировать cloudNoFlow сигнал и экспортировать все обновления в объект.

Возникла проблема

Если пилотный проект не работает должным образом, вы можете вернуться к настройке синхронизации Microsoft Entra Подключение, выполнив следующие действия.

  1. Отключите конфигурацию подготовки на портале.
  2. С помощью редактора правил синхронизации отключите все настраиваемые правила синхронизации, созданные для подготовки облака. При таком отключении должна запуститься полная синхронизация для всех соединителей.

Следующие шаги