SharePoint 移轉識別對應工具
使用 SharePoint 移轉評定工具的身分識別對應功能來協助您的身分識別移轉。
注意事項
若要下載 SharePoint 移轉工具,請選取: 下載 SharePoint 移轉評估工具
簡介
身分識別移轉是將身分識別從 SharePoint 內部部署環境對應至目標狀態Microsoft Entra識別碼的程式。
由於從 AD 到 Microsoft Entra 識別碼的使用者和群組同步處理對許多客戶而言都是新的,因此請務必指派適當的資源。 執行所有內部規劃,並執行與整體內部部署移轉計畫一致的所有身分識別移轉相關工作。
身分識別專案最重要的目標是驗證所有需要的使用者和群組都已同步至Microsoft Entra識別碼。 如果您先移轉而不進行這項分析,使用者可能會失去內容的存取權。
如需與一次性身分識別移轉程式相關聯之程式、角色和責任、成品和控制項的相關資訊,請參閱這份檔。
概觀
身分識別移轉的目標是要同步處理所有可能的使用者,並處置任何剩餘未對應的記錄,並說明為何不會同步處理這些記錄。 此同步處理和處置程式必須在準備使用者接受度測試之前完成,也就是 試執行 1。 所有未對應的記錄都必須有有效的理由,並由 Microsoft 專案小組核准。
執行三個不同的掃描以執行身分識別對應:
程序
針對可存取 FullIdentityReport.csv 報表中 SharePoint 的使用者和群組,使用此程式。
請小心確保所有必要的使用者和群組都包含在Microsoft Entra同步處理中。 如果 SharePoint 內容是由尚未移轉的使用者所擁有,則不會移轉其使用者權限。
目標是要同步處理 100% 可存取來源 SharePoint 環境的身分識別,或提供任何未同步處理身分識別的原因。
需要初始準備所有使用者和群組,以判斷要移轉的使用者和群組。
在理想情況下,所有使用者和群組都會將 TypeOfMatch 設定為 ExactMatch 或 PartialMatch。
如果有例外狀況,請在 FullIdentityReport.csv 檔案的 MappingRationale 欄位中記下以供追蹤之用。
步驟:
將評定工具下載到 SharePoint 伺服器陣列中的電腦。 若要下載,請前往這裡: SharePoint 移轉評定工具
同意允許工具存取您的Microsoft Entra識別碼。
執行: SMAT.exe -GenerateIdentityMapping
在 Excel 中開啟FullIdentityReport.csv 。
篩選 TypeOfMatch = NoMatch。 這些使用者和群組在移轉後將無法存取內容。 例如,contoso\johndoe 會列為 NoMatch。 AclExists 為 True。 移轉後,contoso\johndoe 可在來源上存取的任何內容,在移轉後將無法用於該帳戶。 網站擁有者必須將 contoso\johndoe 的Microsoft Entra帳戶新增回許可權,才能解決問題。
篩選 TypeOfMatch = PartialMatch。 請確定我們找到的相符專案正確無誤。 如果多人的顯示名稱相同或使用者主體名稱從來源變更為目標,部分相符專案可能會不正確。
建置計畫以補救間距。 例如,如果您使用 Windows 身分識別,而且有 TypeOfMatch 設定為 NoMatch 或 PartialMatch 的使用者和群組,則您通常會想要將其他使用者和群組同步至Microsoft Entra識別碼,然後重新執行身分識別對應程式。
將其他使用者和群組同步至Microsoft Entra識別碼。
重複執行,直到您取得正確代表移轉後預期的 FullIdentityReport.csv。
預檢驗證檢查
此工具會執行預檢驗證檢查,以確保操作員可以存取Microsoft Entra識別碼。 需要存取Microsoft Entra識別碼,才能執行身分識別對應程式。
出現提示時,輸入Microsoft Entra認證。 如有需要,登入提示會要求同意。 此應用程式需要 Azure 租使用者管理員同意,才能讀取Microsoft Entra識別碼。
如果您的登入失敗或無法提供同意,您會看到下列失敗:
如果您在提示字元中表示否,則工具會結束,而不會執行任何身分識別對應掃描。
如果您選擇繼續進行身分識別對應程式,則會在執行Microsoft Entra識別碼掃描時,再收到一個提示。 如果您無法在該時間點進行驗證或同意,Microsoft Entra識別碼掃描會失敗。 您仍會收到報告,但不會執行對應。 產生的輸出代表可存取來源 SharePoint 環境的所有身分識別。
組態檔
您可以在 ScanDef.json 檔案中設定身分識別對應掃描。 此檔案位於與 SMAT.exe 相同的目錄中。
同意讀取目錄資料
若要產生身分識別對應報告,您必須同意允許評估工具讀取Microsoft Entra目錄。 有兩種方法可用。
選項 1: 使用 -ConfigureIdentityMapping 參數執行評定工具。
此選項可讓評定工具存取您租使用者的企業應用程式區段。 它可讓租使用者中的任何人執行工具,以在 Microsoft 365 中執行身分識別對應以進行移轉。
從這裡下載評定工具: SharePoint 移轉評定工具
執行:SMAT.exe -ConfigureIdentityMapping
注意事項
不需要在 SharePoint 環境中執行此步驟。 您可以在任何可存取 Azure 租使用者的電腦上執行上述命令。
出現 [Azure 登入] 對話方塊的提示時,請輸入您的 Azure 租使用者系統管理員認證。
當系統提示您同意時,請選取 [ 接受]。
SMAT.exe 應用程式表示應用程式已成功註冊。 SharePoint 系統管理員現在可以執行身分識別對應程式。
選項 2:以具有 Azure 租使用者管理員許可權的使用者身分執行評定工具。
具有 Azure 租使用者系統管理員許可權的使用者可以執行此工具,並只提供自己同意。
從這裡下載評定工具: SharePoint 移轉評定工具
在命令列中,輸入
Run SMAT.exe -GenerateIdentityMapping出現 [Azure 登入] 對話方塊的提示時,請輸入您的 Azure 租使用者管理員認證。
當系統提示您同意時,請選取 [ 確定]。 這只會同意應用程式進行提供的登入。
身分識別對應將會執行並產生所需的報告。
移除同意
請遵循下列步驟,從您的 Azure 租使用者中移除 SharePoint 身分識別對應應用程式的同意。 執行這些步驟之後,您必須在下次執行身分識別對應程式時提供同意。
以組織系統管理員身分登入。
找出企業應用程式。
選取 [所有應用程式]。
在應用程式清單中,選取 [SharePoint 身分識別對應工具],然後選取 [ 刪除]。
產生的報表
-GenerateIdentityMapping 參數會產生兩份報告。 每個報表都會當做身分識別對應程式的一部分使用。
這兩份報告都指出使用者已授與 SharePoint 內容的許可權。
FullIdentityReport.csv
FullIdentityReport.csv包含我們探索到的所有身分識別資料傾印,這些資料與 SharePoint 環境中列為作用中的使用者和群組有關。 此報告的目的是要瞭解所有可存取 SharePoint 的使用者和群組,以及這些身分識別是否具有相關聯的Microsoft Entra識別。
如果在 Active Directory 中找不到身分識別,Active Directory 欄位會是空的。 FoundInAD欄位為 false,而 ReasonNotFoundInAD會包含原因代碼。
如果在Microsoft Entra識別碼中找不到身分識別,Microsoft Entra識別碼欄位將會是空的。 FoundInAzureAD 欄位會是 false,而 ReasonNotFoundInAzureAD 將包含原因代碼。
| 資料行名稱 | Source | 描述 |
|---|---|---|
| UniqueID |
SharePoint |
針對 Windows 帳戶,這會是安全識別碼 (SID) 。 對於非 Windows 帳戶,這會是用於 ACL SharePoint 的宣告。 |
| TypeOfMatch |
評定工具 |
ExactMatch - 來源身分識別是 Windows 帳戶,我們能夠將 SharePoint 中的 SID 與 Microsoft Entra 識別碼中的 OnPremisesSecurityIdentifier 進行比對。 PartialMatch - 比對是以 UserPrincipalName、Email或顯示名稱為基礎。 針對群組,我們只會在 [顯示名稱] 上進行部分比對。 NoMatch - 無法比對身分識別與任何資訊。 |
| IsGroup |
SharePoint |
如果身分識別是群組,則為 True。 |
| ACLExists |
SharePoint |
如果身分識別與 SharePoint 中的許可權相關聯,則為 True。 這表示身分識別可以存取某些內容。 |
| MySiteExists |
SharePoint |
如果身分識別是使用者,且該使用者有與其設定檔相關聯的「我的網站/OneDrive」,則為 True。 |
| ClaimType |
SharePoint |
與身分識別相關聯的宣告驗證模式類型。 這會是下列其中一個值 Classic - 這些是傳統 Windows 帳戶。 不涉及任何宣告,且使用者是使用Windows 安全性識別碼 [SID] 進行 ACL。 Windows - Windows 宣告。 TrustedSTS - SAML 宣告提供者。 表單 - 使用表單驗證。 ASPNetMembership - .NET 成員資格提供者。 ASPNetRole - .NET 角色提供者。 ClaimProvider - 宣告型提供者。 LocalSTs - 本機 SharePoint 權杖服務。 https://social.technet.microsoft.com/wiki/contents/articles/13921.sharepoint-20102013-claims-encoding.aspx |
| SharePointLoginName |
SharePoint |
與 SharePoint 中找到的身分識別相關聯的登入名稱。 |
| SharePointDisplayName |
SharePoint |
與 SharePoint 中找到的身分識別相關聯的顯示名稱。 |
| SharePointProfileEmail |
SharePoint |
Email與使用者相關聯的位址。 只有在身分識別為使用者、使用者具有 SharePoint 設定檔,且該設定檔已設定電子郵件時,才會填入此值。 |
| ActiveDirectoryDisplayName |
Active Directory |
在 Active Directory 中找到的顯示名稱。 |
| ActiveDirectoryDomain |
Active Directory |
身分識別所在的功能變數名稱。 |
| SamAccountName |
Active Directory |
身分識別的帳戶名稱。 群組的這個值會是空的。 |
| GroupType |
Active Directory |
群組的類型。 這對使用者而言是空的。 |
| GroupMemberCount |
Active Directory |
群組中的成員數目。 這不會反映巢狀群組計數。 例如,如果有包含其他三個群組的群組,這會顯示為 3。 使用者的這個值是空的。 |
| DistinguishedName |
Active Directory |
與 Active Directory 中身分識別相關聯的辨別名稱。 範例:CN=Bob Smith,OU=UserAccounts,DC=contoso,DC=com |
| AccountEnabled |
Active Directory |
如果在 Active Directory 中啟用帳戶,則為 True。 這對於群組而言是空的。 |
| LastLoginTimeInAD |
Active Directory |
使用者帳戶上次登入 Active Directory 的日期和時間。 這不會指出登入已與 SharePoint 相關聯,但可用來判斷這是否為作用中的使用者帳戶。 這對於群組而言是空的。 |
| FoundInAD |
Active Directory |
如果在 Active Directory 中找到身分識別,則為 True。 |
| ReasonNotFoundInAD |
Active Directory |
為什麼我們在 Active Directory 中找不到帳戶。 這是下列其中一項:BadCredentials - 提供的使用者名稱/密碼對網域無效。 DomainSidMatchNotFound - 在 SharePoint 中找到的 SID 具有不符合任何找到網域的網域 SID。 InvalidSecurityIdentifier - 在 SharePoint 中找到的 SID 無效。 OnPremisesSidTranslationFailed - SID 似乎無效,我們嘗試強制翻譯,但失敗。 UnableToConnect - 無法連線到網域。 UnableToDetermine - 我們無法判斷從網域傳回的 AD 屬性。 UnknownException - 發生非預期的錯誤。 詳細資料會記錄在 SMAT.log 檔案中。 UserNotFoundInRemoteAd - 我們找到有效的網域,但無法使用 SID 找到身分識別。 如果 FoundInAD 為 true,則這是空的。 |
| AzureObjectID |
Active Directory |
Microsoft Entra識別碼中身分識別的物件識別碼。 |
| AzureUserPrincipalName |
Active Directory |
身分識別的使用者主體名稱。 這只會針對使用者填入。 |
| AzureDisplayName |
Active Directory |
顯示識別碼中與身分識別相關聯的名稱Microsoft Entra。 |
| FoundInAzureAD |
Active Directory |
如果身分識別位於Microsoft Entra識別碼中,則為 True。 |
| ReasonNotFoundInAzureAD |
Active Directory |
我們在識別碼中找不到帳戶的原因Microsoft Entra。 原因可能是:PrincipalNotFound - 無法在Microsoft Entra識別碼中找到身分識別。 AdalExceptionFound - 驗證無法Microsoft Entra識別碼。 UnknownException - 發生非預期的錯誤。 詳細資料位於 SMAT.log 檔案中。 如果 FoundInAzureAd 為 true,則為空白。 |
| MappingRationale |
Active Directory |
使用此開啟筆記欄位來追蹤未對應的使用者。 |
| SanID |
評定工具 |
識別對應程式之特定執行的唯一識別碼。 每次執行工具時,它都會產生不同的識別碼。 |
IdentityMapping.csv
IdentityMapping.csv 是預先產生的身分識別對應檔案。 所有身分識別都會在 檔案中表示。 未對應的身分識別具有 TargetIdentity 的空白值。
| 資料行名稱 | 描述 |
|---|---|
| UniqueIdentity |
用來識別來源環境中物件的唯一值。 針對 Windows 身分識別,這是安全識別碼 (SID) 。 針對所有其他身分識別類型,這是在 SharePoint 中找到的宣告。 |
| TargetIdentity |
要對應來源身分識別的身分識別。 對於使用者而言,此值是Microsoft Entra識別碼中使用者的使用者主體名稱。 針對群組,此值是Microsoft Entra識別碼中群組的物件識別碼。 |
| IsGroup |
如果資料列代表群組,則為 True。 |
另請參閱
其他資源
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應