Средство сопоставления удостоверений для миграции в SharePoint
Используйте функцию сопоставления удостоверений средства оценки миграции SharePoint, чтобы помочь в миграции удостоверений.
Примечание.
Чтобы скачать средство миграции SharePoint, выберите: Скачайте средство оценки миграции SharePoint.
Введение
Миграция удостоверений — это процесс сопоставления удостоверений из локальной среды SharePoint с идентификатором Microsoft Entra целевого состояния.
Так как синхронизация пользователей и групп из AD в Microsoft Entra id является новой для многих клиентов, важно назначить соответствующие ресурсы. Выполняйте все внутреннее планирование и выполняйте все задачи, связанные с миграцией удостоверений, в унисон с общим планом локальной миграции.
Наиболее важной целью проекта идентификации является проверка синхронизации всех необходимых пользователей и групп с идентификатором Microsoft Entra. Если выполнить миграцию без предварительного анализа, пользователи могут потерять доступ к содержимому.
Ознакомьтесь с этим документом, чтобы получить сведения о процессе, ролях и обязанностях, артефактах и элементах управления, связанных с процессом однократной миграции удостоверений.
Обзор
Целью миграции удостоверений является синхронизация всех возможных пользователей и ликвидация всех оставшихся несопоставленных записей с обоснованием того, почему они не синхронизированы. Этот процесс синхронизации и ликвидации должен быть завершен до подготовки пользовательского приемочного тестирования, которое является сухим запуском 1. Все несопоставленные записи должны иметь допустимое обоснование и быть утверждены командой проекта Майкрософт.
Выполните три различных сканирования для сопоставления удостоверений:
Сопоставление удостоверений для миграции в SharePoint: сканирование удостоверений Active Directory
Средство сопоставления удостоверений миграции SharePoint: Microsoft Entra проверка удостоверений
Процесс
Используйте этот процесс для пользователей и групп, имеющих доступ к SharePoint в отчете FullIdentityReport.csv.
Необходимо позаботиться о том, чтобы все необходимые пользователи и группы были включены в Microsoft Entra синхронизации. Если содержимое SharePoint принадлежит пользователям, которые не были перенесены, их разрешения пользователей не будут перенесены.
Цель — синхронизировать 100 % удостоверений, имеющих доступ к исходной среде SharePoint, или предоставить причины для не синхронизированных удостоверений.
Чтобы определить, какие пользователи и группы следует перенести, необходима первоначальная подготовка всех пользователей и групп.
В идеале для всех пользователей и групп для typeOfMatch задано значение ExactMatch или PartialMatch.
Если есть исключения, сделайте заметки в поле MappingRationale файла FullIdentityReport.csv для отслеживания.
Шаги:
Скачайте средство оценки на компьютер в ферме SharePoint. Чтобы скачать, перейдите по этой ссылке: Средство оценки миграции SharePoint
Предоставьте согласие, чтобы разрешить средству доступ к вашему идентификатору Microsoft Entra.
Запуск: SMAT.exe -GenerateIdentityMapping
Откройте FullIdentityReport.csv в Excel.
Фильтр по TypeOfMatch = NoMatch. Эти пользователи и группы не будут иметь доступа к содержимому после миграции. Например, contoso\johndoe указан как NoMatch. AclExists имеет значение True. После миграции любое содержимое, к которому contoso\johndoe имел доступ в источнике, не будет работать для этой учетной записи после миграции. Владелец сайта должен добавить учетную запись Microsoft Entra contoso\johndoe обратно в разрешения для устранения проблемы.
Фильтр по TypeOfMatch = PartialMatch. Убедитесь, что найденные совпадения верны. Частичные совпадения могут быть неправильными, если несколько пользователей имеют одинаковые отображаемые имена или имена участников-пользователей изменились с исходного на целевое.
Создайте план для устранения пробелов. Например, если вы используете удостоверения Windows и есть пользователи и группы, для которых typeOfMatch имеет значение NoMatch или PartialMatch, обычно требуется синхронизировать этих пользователей и группы с Microsoft Entra идентификатором и повторно запустить процесс сопоставления удостоверений.
Синхронизация других пользователей и групп с идентификатором Microsoft Entra.
Повторяйте, пока не получите FullIdentityReport.csv, который правильно соответствует ожиданиям после миграции.
Предварительные проверки
Средство выполняет проверка предварительной проверки, чтобы убедиться, что у оператора есть доступ к идентификатору Microsoft Entra. Для выполнения процесса сопоставления удостоверений требуется доступ к идентификатору Microsoft Entra.
При появлении запроса введите учетные данные Microsoft Entra. При необходимости запрос на вход запрашивает согласие. Чтобы это приложение считывает идентификатор Microsoft Entra, требуется согласие администратора клиента Azure.
Если не удается выполнить вход или вы не можете предоставить согласие, вы увидите следующий сбой:
Если вы произнесете слово "Нет" в запросе, средство завершает работу без проверки сопоставления удостоверений.
Если вы решили продолжить процесс сопоставления удостоверений, при запуске проверки идентификатора Microsoft Entra появится еще один запрос. Если на этом этапе не удается пройти проверку подлинности или предоставить согласие, проверка идентификатора Microsoft Entra завершается ошибкой. Вы по-прежнему будете получать отчеты, но сопоставление не будет выполнено. Выходные данные представляют все удостоверения, имеющие доступ к исходной среде SharePoint.
Файл конфигурации
Проверки сопоставления удостоверений можно настроить в файле ScanDef.json . Этот файл находится в том же каталоге, что и SMAT.exe.
Согласие на чтение данных каталога
Чтобы создать отчеты о сопоставлении удостоверений, необходимо дать согласие на то, чтобы средство оценки считывал Microsoft Entra каталоге. Существует два метода.
Вариант 1. Запустите средство оценки с параметром -ConfigureIdentityMapping.
Этот параметр предоставляет средству оценки доступ к разделу Корпоративные приложения вашего клиента. Это позволяет любому пользователю в вашем клиенте запустить средство для выполнения сопоставления удостоверений для миграции в Microsoft 365.
Скачайте средство оценки отсюда: Средство оценки миграции SharePoint
Запуск: SMAT.exe -ConfigureIdentityMapping
Примечание.
Выполнение этого шага в среде SharePoint не требуется. Приведенную выше команду можно выполнить на любом компьютере, который имеет доступ к клиенту Azure.
При появлении запроса в диалоговом окне входа в Azure введите учетные данные администратора клиента Azure.
При появлении запроса на согласие выберите Принять.
Приложение SMAT.exe указывает, что приложение успешно зарегистрировано. Теперь администратор SharePoint может выполнять процесс сопоставления удостоверений.
Вариант 2. Запустите средство оценки от имени пользователя с правами клиента Azure Администратор.
Пользователь с правами администратора клиента Azure может запустить средство и предоставить согласие только для себя.
Скачайте средство оценки отсюда: Средство оценки миграции SharePoint
В командной строке введите
Run SMAT.exe -GenerateIdentityMappingПри появлении запроса в диалоговом окне входа Azure введите учетные данные клиента Azure Администратор.
При появлении запроса на согласие нажмите кнопку ОК. Это даст согласие только приложению на указанный вход.
Сопоставление удостоверений запустится и создаст необходимые отчеты.
Удалить согласие
Выполните следующие действия, чтобы удалить согласие для приложения сопоставления удостоверений SharePoint из клиента Azure. После выполнения этих действий необходимо будет предоставить согласие при следующем запуске процесса сопоставления удостоверений.
Просмотреть https://portal.azure.com
Войдите в систему с правами администратора организации.
Найдите Корпоративные приложения.
Выберите Все приложения.
В списке приложений выберите Средство сопоставления удостоверений SharePoint, а затем выберите Удалить.
Созданные отчеты
Параметр -GenerateIdentityMapping создает два отчета. Каждый отчет используется как часть процесса сопоставления удостоверений.
Оба отчета указывают, что пользователи предоставили разрешения на содержимое SharePoint.
FullIdentityReport.csv
FullIdentityReport.csv содержит дамп всех обнаруженных данных удостоверений о пользователях и группах, которые были перечислены как активные в среде SharePoint. Этот отчет предназначен для понимания всех пользователей и групп, имеющих доступ к SharePoint, а также о том, имеют ли эти удостоверения связанные Microsoft Entra удостоверение.
Если удостоверение не найдено в Active Directory, поля Active Directory будут пустыми. Поле FoundInAD имеет значение false, и ReasonNotFoundInAD будет содержать код причины.
Если удостоверение не найдено в идентификаторе Microsoft Entra, поля идентификатора Microsoft Entra будут пустыми. Поле FoundInAzureAD будет иметь значение false, а ReasonNotFoundInAzureAD будет содержать код причины.
| Столбец | Source | Описание |
|---|---|---|
| UniqueID |
SharePoint |
Для учетных записей Windows это будет идентификатор безопасности (SID). Для учетных записей, отличных от Windows, это утверждение будет использоваться для ACL SharePoint. |
| TypeOfMatch |
Средство оценки |
ExactMatch— исходное удостоверение — это учетная запись Windows, и мы смогли сопоставить идентификатор безопасности в SharePoint с OnPremisesSecurityIdentifier в Microsoft Entra идентификаторе. PartialMatch — совпадение основано на UserPrincipalName, Email или отображаемом имени. Для групп мы частично совпадаем только с отображаемым именем. NoMatch — не удается сопоставить удостоверение с какой-либо информацией. |
| IsGroup |
SharePoint |
Значение true, если удостоверение является группой. |
| ACLExists |
SharePoint |
Значение true, если удостоверение связано с разрешениями в SharePoint. Это означает, что удостоверение имеет доступ к какой-то части содержимого. |
| MySiteExists |
SharePoint |
Значение true, если удостоверение является пользователем и с его профилем связан личный сайт или OneDrive. |
| Claimtype |
SharePoint |
Тип режима проверки подлинности утверждения, связанного с удостоверением. Это будет одно из следующих значений Классическая — это классические учетные записи Windows. Утверждения не используются, и пользователь был создан ACL с использованием идентификатора Безопасность Windows [SID]. Windows — утверждения Windows. TrustedSTS — поставщик утверждений SAML. Формы— используется проверка подлинности с помощью форм. ASPNetMembership — поставщик членства в .NET. ASPNetRole — поставщик ролей .NET. ClaimProvider — поставщик на основе утверждений. LocalSTS — локальная служба маркеров SharePoint. https://social.technet.microsoft.com/wiki/contents/articles/13921.sharepoint-20102013-claims-encoding.aspx |
| SharePointLoginName |
SharePoint |
Имя входа, связанное с удостоверением, найденным в SharePoint. |
| SharePointDisplayName |
SharePoint |
Отображаемое имя, связанное с удостоверением, найденным в SharePoint. |
| SharePointProfileEmail |
SharePoint |
Email адрес, связанный с пользователем. Это значение заполняется только в том случае, если удостоверение является пользователем, у пользователя есть профиль SharePoint и в этом профиле есть набор электронной почты. |
| ActiveDirectoryDisplayName |
Active Directory |
Отображаемое имя в Active Directory. |
| ActiveDirectoryDomain |
Active Directory |
Доменное имя, в котором находится удостоверение. |
| SamAccountName |
Active Directory |
Имя учетной записи для удостоверения. Это значение будет пустым для групп. |
| GroupType |
Active Directory |
Тип группы. Этот параметр пуст для пользователей. |
| GroupMemberCount |
Active Directory |
Количество участников в группе. Это не будет отражать количество вложенных групп. Например, если есть группа, которая содержит три другие группы, она отображается как 3. Это значение пусто для пользователей. |
| DistinguishedName |
Active Directory |
Различающееся имя, связанное с удостоверением в Active Directory. Пример: CN=Bob Smith,OU=UserAccounts,DC=contoso,DC=com |
| AccountEnabled |
Active Directory |
Значение true, если учетная запись включена в Active Directory. Этот параметр пуст для групп. |
| LastLoginTimeInAD |
Active Directory |
Дата и время последнего входа учетной записи пользователя в Active Directory. Это не означает, что вход был связан с SharePoint, но его можно использовать для определения того, является ли это активной учетной записью пользователя. Этот параметр пуст для групп. |
| FoundInAD |
Active Directory |
Значение true, если удостоверение было найдено в Active Directory. |
| ReasonNotFoundInAD |
Active Directory |
Причина, по которой мы не нашли учетную запись в Active Directory. Это один из следующих вариантов: BadCredentials — указанное имя пользователя или пароль было недопустимым для домена. DomainSidMatchNotFound — идентификатор безопасности, найденный в SharePoint, имеет идентификатор безопасности домена, который не соответствует ни одному из размещенных доменов. InvalidSecurityIdentifier — идентификатор безопасности, найденный в SharePoint, недопустим. OnPremisesSidTranslationFailed — идентификатор безопасности оказался недопустимым, мы попытались принудительно выполнить перевод, и это не удалось. Не удается подключиться к доменам. UnableToDetermine — нам не удалось определить свойства AD, возвращенные из домена. UnknownException — произошла непредвиденная ошибка. Сведения регистрируются в файле SMAT.log. UserNotFoundInRemoteAd — мы нашли допустимый домен, но не смогли найти удостоверение с помощью идентификатора безопасности. Если параметр FoundInAD имеет значение true, это значение будет пустым. |
| AzureObjectID |
Active Directory |
Идентификатор объекта удостоверения в Microsoft Entra идентификатор. |
| AzureUserPrincipalName |
Active Directory |
Имя участника-пользователя удостоверения. Этот параметр заполняется только для пользователей. |
| AzureDisplayName |
Active Directory |
Отображаемое имя, связанное с удостоверением в идентификаторе Microsoft Entra. |
| FoundInAzureAD |
Active Directory |
Значение true, если удостоверение было расположено в Microsoft Entra идентификаторе. |
| ReasonNotFoundInAzureAD |
Active Directory |
Причина, по которой мы не нашли учетную запись в Microsoft Entra id. Причина может быть: PrincipalNotFound — не удается найти удостоверение в идентификаторе Microsoft Entra. AdalExceptionFound — сбой проверки подлинности при Microsoft Entra идентификатора. UnknownException — произошла непредвиденная ошибка. Подробные сведения см. в файле SMAT.log. Этот параметр пуст, если свойство FoundInAzureAd имеет значение true. |
| MappingRationale |
Active Directory |
Используйте это открытое поле примечаний для отслеживания незаопоставленных пользователей. |
| SanID |
Средство оценки |
Уникальный идентификатор определенного выполнения процесса сопоставления удостоверений. При каждом запуске средства создается отдельный идентификатор. |
IdentityMapping.csv
IdentityMapping.csv — это предварительно созданный файл сопоставления удостоверений. В файле представлены все удостоверения. Для несопоставленных удостоверений заданы пустые значения TargetIdentity.
| Столбец | Описание |
|---|---|
| UniqueIdentity |
Уникальное значение для идентификации объекта в исходной среде. Для удостоверений Windows это идентификатор безопасности (SID). Для всех других типов удостоверений это утверждение, найденное в SharePoint. |
| TargetIdentity |
Удостоверение для сопоставления исходного удостоверения. Для пользователей это значение — имя участника-пользователя в Microsoft Entra идентификаторе. Для групп это значение является идентификатором объекта группы в Microsoft Entra id. |
| IsGroup |
Значение true, если строка представляет группу. |
См. также
Другие ресурсы
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по