匯入和導出 Microsoft Entra 連線 組態設定

  • 發行項

Microsoft Entra 連線 部署會因單一樹系 Express 模式安裝而有所不同,到使用自定義同步處理規則跨多個樹系同步處理的複雜部署。 由於大量的組態選項和機制,因此必須瞭解哪些設定有效,並能夠快速部署具有相同組態的伺服器。 這項功能引進了編錄指定同步處理伺服器的組態,並將設定匯入新部署的功能。 您可以比較不同的同步處理設定快照集,輕鬆地可視化兩部伺服器或一段時間內相同的伺服器之間的差異。

每次從 Microsoft Entra 連線 精靈變更組態時,都會自動將新的時間戳 JSON 配置檔匯出至 %ProgramData%\AAD 連線。 配置檔名稱的格式 為 Applied-SynchronizationPolicy-*。JSON,其中檔名的最後一個部分是時間戳。

重要

只會自動匯出 Microsoft Entra 連線 所做的變更。 您必須視需要視需要匯出使用 PowerShell、同步處理服務管理員或同步處理規則編輯器所做的任何變更,才能維護最新的複本。 視需要匯出也可用來將設定的復本放在安全的位置,以供災害復原之用。

注意

如果 Microsoft Entra 連線 安裝已修改為包含 G-SQL 連接器或 G-LDAP 連接器,則無法使用此功能。

注意

這項功能無法與使用現有的ADSync資料庫結合。 使用匯入/導出組態和使用現有的資料庫互斥。

匯出 Microsoft Entra 連線 設定

若要檢視組態設定的摘要,請開啟 Microsoft Entra 連線 工具,然後選取名為 [檢視] 或 [導出目前組態] 的其他工作。 系統會顯示設定的快速摘要,以及導出伺服器完整組態的能力。

根據預設,這些設定會匯出至 %ProgramData%\AAD 連線。 您也可以選擇將設定儲存到受保護的位置,以確保發生災害時的可用性。 設定 是使用 JSON 檔格式匯出,不應手動建立或編輯以確保邏輯一致性。 不支援匯入手動建立或編輯的檔案,而且可能會導致非預期的結果。

匯入 Microsoft Entra 連線 設定

若要匯入先前匯出的設定:

  1. 在新伺服器上安裝 Microsoft Entra 連線

  2. 選取 [歡迎] 頁面之後的 [自定義] 選項。

  3. 選取 [ 匯入同步處理設定]。 流覽先前導出的 JSON 設定檔。

  4. 選取安裝

    顯示 [安裝必要元件] 畫面的螢幕快照

注意

覆寫此頁面上的設定,例如使用 SQL Server 而非 LocalDB,或使用現有的服務帳戶,而不是預設 VSA。 這些設定不會從組態配置檔匯入。 它們僅供資訊和比較之用。

注意

不支援修改導出的 JSON 檔案以變更組態

匯入安裝體驗

匯入安裝體驗會刻意保持簡單,而使用者只需最少的輸入,即可輕鬆地提供現有伺服器的重現性。

以下是唯一可在安裝體驗期間進行的變更。 從 Microsoft Entra 連線 精靈安裝之後,可以進行所有其他變更:

  • Microsoft Entra 認證:預設會建議用來設定原始伺服器的 Azure Global 管理員 istrator 帳戶名稱。 如果您想要將資訊同步處理至新目錄,則必須變更它。
  • 使用者登入:預設會選取針對原始伺服器設定的登入選項,並自動提示輸入設定期間所需的認證或其他資訊。 在罕見的情況下,可能需要使用不同的選項來設定伺服器,以避免變更使用中伺服器的行為。 否則,請選取 [下一步 ] 以使用相同的設定。
  • 內部部署目錄認證:針對同步處理設定中包含的每個內部部署目錄,您必須提供認證來建立同步處理帳戶,或提供預先建立的自定義同步處理帳戶。 此程式與無法新增或移除目錄的全新安裝體驗相同。
  • 組態選項:如同全新安裝,您可以選擇設定初始設定,以決定是否要啟動自動同步處理或啟用預備模式。 主要差異在於預備模式預設會刻意啟用,以允許比較組態和同步處理結果,再主動將結果匯出至 Azure。

顯示 連線 目錄畫面的螢幕快照

注意

只有一部同步處理伺服器可以擔任主要角色,並主動將組態變更導出至 Azure。 所有其他伺服器都必須置於預備模式中。

從現有的伺服器移轉設定

如果現有的伺服器不支援設定管理,您可以選擇就地升級伺服器,或移轉要在新的預備伺服器上使用的設定。

移轉需要執行 PowerShell 腳本,以擷取現有設定以用於新安裝。 使用這個方法來編錄現有伺服器的設定,然後將這些設定套用至新安裝的預備伺服器。 比較原始伺服器的設定與新建立的伺服器,將會快速將伺服器之間的變更可視化。 一如往常,請遵循組織的認證程式,以確保不需要額外的設定。

移轉程序

若要移轉設定:

  1. 在新的預備伺服器上啟動 AzureAD 連線.msi,然後在 Microsoft Entra 連線 的 [歡迎] 頁面上停止

  2. 將 Migrate 設定.ps1 從 Microsoft Entra 連線\Tools 目錄複製到現有伺服器上的位置。 例如 C:\setup,其中 setup 是在現有伺服器上建立的目錄。
    顯示 Microsoft Entra 連線 目錄的螢幕快照。

    注意

    如果您看到訊息:「找不到接受自變數 True 的位置參數」,如下所示:

    錯誤的螢幕快照然後編輯 Migrate 設定.ps1 檔案,並移除$true並執行腳本:編輯組態的螢幕快照

  3. 執行腳本,如下所示,並儲存整個下層伺服器組態目錄。 將此目錄複製到新的預備伺服器。 您必須將整個 Exported-ServerConfiguration-* 資料夾複製到新的伺服器。 顯示 PowerShell 中腳本的螢幕快照。顯示複製 Exported-ServerConfiguration-* 資料夾的螢幕快照。

  4. 按兩下桌面上的圖示,以啟動 Microsoft Entra 連線。 接受 Microsoft 軟體授權條款,然後在下一個頁面上,選取 [ 自定義]。

  5. 選取 [匯 入同步處理設定 ] 複選框。 選取 [流覽 ] 以瀏覽複製的 Exported-ServerConfiguration-* 資料夾。 選取要匯入已移轉設定的MigratedPolicy.json。

    顯示 [匯入同步處理設定] 選項的螢幕快照。

安裝後驗證

比較原本匯入的配置檔案與新部署伺服器的匯出配置檔,是了解預期與所產生部署之間任何差異的重要步驟。 使用您慣用的並存文字比較應用程式會產生立即視覺效果,可快速醒目提示任何想要或意外的變更。

雖然現在已排除許多先前手動設定步驟,但您仍應遵循組織的認證程式,以確保不需要額外的設定。 如果您使用進階設定,但此版本設定管理中目前未擷取的進階設定,可能會發生此設定。

以下是已知的限制:

  • 同步處理規則:自定義規則的優先順序必須介於 0 到 99 的保留範圍內,以避免與 Microsoft 的標準規則發生衝突。 將自定義規則放在保留範圍之外,可能會導致您的自定義規則隨著標準規則新增至組態而改變。 如果您的設定包含修改的標準規則,就會發生類似的問題。 不建議修改標準規則,而且規則放置可能不正確。
  • 裝置回寫:這些設定已編錄。 它們目前不會在設定期間套用。 如果原始伺服器已啟用裝置回寫,您必須在新部署的伺服器上手動設定此功能。
  • 同步處理的物件類型:雖然可以使用 Synchronization Service Manager 限制同步處理的物件類型清單(例如使用者、聯繫人和群組),但這項功能目前不支援透過同步處理設定。 完成安裝之後,您必須手動重新套用進階設定。
  • 自定義執行配置檔:雖然可以使用 Synchronization Service Manager 修改預設的執行配置檔集,但這項功能目前不支援透過同步處理設定。 完成安裝之後,您必須手動重新套用進階設定。
  • 設定布建階層:同步處理服務管理員的這個進階功能不支援透過同步處理設定。 完成初始部署之後,必須手動重新設定。
  • Active Directory 同盟服務 (AD FS) 和 PingFederate 驗證:會自動預先選取與這些驗證功能相關聯的登入方法。 您必須以互動方式提供所有其他必要組態參數。
  • 停用的自定義同步處理規則將會匯入為已啟用:已停用的自定義同步處理規則會匯入為已啟用。 請務必在新的伺服器上停用它。

下一步