Freigeben über

Anleitung: Migration zu Microsoft Entra Cloud Sync bei einer synchronisierten Active Directory-Gesamtstruktur

Dieses Lernprogramm führt Sie durch die Migration zu Microsoft Entra Cloud Sync für eine Active Directory-Testgesamtstruktur, die mit Microsoft Entra Connect Sync synchronisiert wurde.

Dieser Artikel enthält Informationen für eine grundlegende Migration. Lesen Sie die Dokumentation "Migration zu Microsoft Entra Cloud Sync ", bevor Sie versuchen, Ihre Produktionsumgebung zu migrieren.

In diesem Tutorial lernen Sie Folgendes:

  • Beenden Sie den Planer.
  • Erstellen von benutzerdefinierten Benutzereingangs- und Ausgehenden Regeln.
  • Installieren Sie den Bereitstellungs-Agent.
  • Überprüfen Sie die Agentinstallation.
  • Konfigurieren Sie Microsoft Entra Cloud Sync.
  • Starten Sie den Zeitplan neu.

Diagramm zeigt den Flow für die Microsoft Entra-Cloudsynchronisierung.

Überlegungen

Beachten Sie Folgendes, bevor Sie dieses Tutorial durchführen:

  • Stellen Sie sicher, dass Sie mit den Grundlagen von Microsoft Entra Cloud Sync vertraut sind.

  • Stellen Sie sicher, dass Sie Microsoft Entra Connect Sync Version 1.4.32.0 oder höher ausführen und die Synchronisierungsregeln wie dokumentiert konfiguriert haben.

  • Stellen Sie sicher, dass Sie für einen Pilotversuch eine Testorganisationseinheit (OU) oder Gruppe aus dem Synchronisierungsbereich von Microsoft Entra Connect entfernen. Objekte, die Sie aus dem Bereich verschieben, werden in Microsoft Entra ID gelöscht.

    • Benutzerobjekte in Microsoft Entra ID werden vorläufig gelöscht, sodass Sie sie wiederherstellen können.
    • Gruppenobjekte in Microsoft Entra ID werden endgültig gelöscht, sodass Sie sie nicht wiederherstellen können.

    Microsoft Entra Connect Sync führt einen neuen Linktyp ein, der das Löschen in einem Pilotszenario verhindert.

  • Stellen Sie sicher, dass die Objekte im Pilotbereich aufgefüllt wurden ms-ds-consistencyGUID , damit Microsoft Entra Cloud Sync hart mit den Objekten übereinstimmt.

    Microsoft Entra Connect Sync füllt standardmäßig nicht ms-ds-consistencyGUID für Gruppenobjekte auf.

  • Befolgen Sie die Schritte in diesem Lernprogramm genau. Diese Konfiguration ist für erweiterte Szenarien vorgesehen.

Voraussetzungen

Im Folgenden finden Sie die erforderlichen Komponenten für die Durchführung dieses Tutorials:

  • Eine Testumgebung mit Version 1.4.32.0 oder höher der Microsoft Entra Connect-Synchronisierung
  • Eine OU oder Gruppe, die sich im Bereich der Synchronisierung befindet und während des Pilotprojekts verwendet werden kann. Wir empfehlen, mit einer kleinen Gruppe von Objekten zu beginnen.
  • Ein Server, der Windows Server 2022, Windows Server 2019 oder Windows Server 2016 ausführt, um den Bereitstellungs-Agent zu hosten.
  • Als Quellanker für die Microsoft Entra Connect-Synchronisierung muss entweder objectGuid oder ms-ds-consistencyGUID verwendet werden.

Aktualisieren von Microsoft Entra Connect

Sie sollten mindestens Über Microsoft Entra Connect 1.4.32.0 verfügen. Um Microsoft Entra Connect Sync zu aktualisieren, führen Sie die Schritte in Microsoft Entra Connect aus: Upgrade auf die neueste Version.

Sichern Ihrer Microsoft Entra Connect-Konfiguration

Bevor Sie Änderungen vornehmen, sichern Sie Ihre Microsoft Entra Connect-Konfiguration. Auf diese Weise können Sie ein Rollback zu Ihrer vorherigen Konfiguration ausführen. Weitere Informationen finden Sie unter Importieren und Exportieren von Microsoft Entra Connect-Konfigurationseinstellungen.

Beenden des Schedulers

Die Microsoft Entra Connect-Synchronisierung synchronisiert Änderungen in Ihrem lokalen Verzeichnis mithilfe eines Schedulers. Um benutzerdefinierte Regeln zu ändern und hinzuzufügen, möchten Sie den Zeitplan deaktivieren, damit Synchronisierungen nicht ausgeführt werden, während Sie arbeiten und die Änderungen vornehmen. Führen Sie die folgenden Schritte aus, um den Planer zu beenden:

  1. Öffnen Sie auf dem Server, auf dem Microsoft Entra Connect Sync ausgeführt wird, PowerShell mit Administratorrechten.
  2. Führen Sie Stop-ADSyncSyncCycle aus. Drücken Sie die EINGABETASTE.
  3. Führen Sie Set-ADSyncScheduler -SyncCycleEnabled $false aus.

Hinweis

Wenn Sie Einen eigenen benutzerdefinierten Zeitplan für Microsoft Entra Connect Sync ausführen, deaktivieren Sie den benutzerdefinierten Synchronisierungsplaner.

Erstellen einer benutzerdefinierten benutzergebundenen Regel

Im Microsoft Entra Connect-Synchronisierungsregeln-Editor müssen Sie eine eingehende Synchronisierungsregel erstellen, die Benutzer in der zuvor identifizierten OU herausfiltert. Die Eingangssynchronisierungsregel ist eine Verknüpfungsregel mit einem Ziel-Attribut von cloudNoFlow. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Benutzer*innen nicht zu synchronisieren. Weitere Informationen finden Sie unter Migrieren zu Microsoft Entra Cloud Sync , bevor Sie versuchen, Ihre Produktionsumgebung zu migrieren.

  1. Öffnen Sie den Synchronisierungsregeln-Editor über das Anwendungsmenü auf dem Desktop.

    Screenshot des Menüs

  2. Wählen Sie unter Richtung in der Dropdownliste Eingehend aus. Wählen Sie dann " Neue Regel hinzufügen" aus.

    Screenshot, der das Fenster

  3. Geben Sie auf der Seite Beschreibung die folgenden Werte ein, und wählen Sie Weiteraus:

    • Name: Geben Sie der Regel einen aussagekräftigen Namen.
    • Beschreibung: Fügen Sie eine aussagekräftige Beschreibung hinzu.
      • Verbundenes System: Wählen Sie den Microsoft Entra-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel schreiben.
      • Objekttyp des verbundenen Systems: Benutzer auswählen.
      • Metaverse-Objekttyp: Person auswählen.
      • Verknüpfungstyp: Wählen Sie Join aus.
      • Vorrang: Geben Sie einen Wert an, der im System einzigartig ist.
      • Tag: Lassen Sie dieses Feld leer.

    Screenshot der Seite

  4. Geben Sie auf der Seite " Bereichsfilter " die ORGANISATIONS- oder Sicherheitsgruppe ein, auf der Sie das Pilotprojekt basieren möchten. Fügen Sie zum Filtern nach der Organisationseinheit den Teil des Distinguished Name (DN) hinzu, der für die Organisationseinheit steht. Diese Regel gilt für alle Benutzer, die sich in dieser OE befinden. Wenn also der Distinguished Name (DN) mit OU=CPUsers,DC=contoso,DC=com endet, fügen Sie diesen Filter hinzu. Wählen Sie Weiteraus.

    Regel attribute Bediener Wert
    Bereichsorganisationseinheit DN ENDSWITH Distinguished Name der Organisationseinheit.
    Bereichsgruppe ISMEMBEROF Distinguished Name der Sicherheitsgruppe.

    Screenshot, das die Bereichsfilter der Synchronisierungsregel zeigt.

  5. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

  6. Fügen Sie auf der Seite "Transformationen " eine Konstante Transformation hinzu: Der Quellwert "True" für das "cloudNoFlow"-Attribut. Wählen Sie Hinzufügen aus.

    Screenshot, der die Transformationen der Synchronisierungsregel zeigt.

Führen Sie die gleichen Schritte für alle Objekttypen (Benutzer, Gruppe und Kontakt) aus. Wiederholen Sie die Schritte gemäß dem konfigurierten Active Directory-Connector oder der Active Directory-Gesamtstruktur.

Erstellen einer benutzerdefinierten ausgehenden Regel

Sie benötigen eine ausgehende Synchronisierungsregel mit einem Linktyp JoinNoFlow und einem Bereichsfilter, bei dem das Attribut cloudNoFlow auf True festgelegt ist. Diese Regel weist Microsoft Entra Connect an, Attribute für diese Benutzer*innen nicht zu synchronisieren. Weitere Informationen finden Sie unter Migrieren zu Microsoft Entra Cloud Sync , bevor Sie versuchen, Ihre Produktionsumgebung zu migrieren.

  1. Wählen Sie unter "Richtung" die Option "Ausgehend" aus der Dropdownliste aus. Wählen Sie dann "Regel hinzufügen" aus.

    Screenshot der Regeln für die ausgehende Synchronisierung.

  2. Geben Sie auf der Seite Beschreibung die folgenden Werte ein, und wählen Sie Weiteraus:

    • Name: Geben Sie der Regel einen aussagekräftigen Namen.
    • Beschreibung: Fügen Sie eine aussagekräftige Beschreibung hinzu.
      • Verbundenes System: Wählen Sie den Microsoft Entra-Connector aus, für den Sie die benutzerdefinierte Synchronisierungsregel schreiben.
      • Objekttyp des verbundenen Systems: Benutzer auswählen.
      • Metaverse-Objekttyp: Person auswählen.
      • Linktyp: Wählen Sie JoinNoFlow-aus.
      • Vorrang: Geben Sie einen Wert an, der im System einzigartig ist.
      • Tag: Lassen Sie dieses Feld leer.

    Screenshot der Beschreibung der Synchronisierungsregel.

  3. Wählen Sie auf der Bereichsfilterseite für das Attribut"cloudNoFlow" aus. Wählen Sie für Wert die Option Wahr aus. Wählen Sie Weiteraus.

    Screenshot: Benutzerdefinierte Regel

  4. Wählen Sie auf der Seite Verknüpfungsregeln die Option Weiter aus.

  5. Wählen Sie auf der Seite Transformationen die Option Hinzufügen aus.

Führen Sie die gleichen Schritte für alle Objekttypen (Benutzer, Gruppe und Kontakt) aus.

Installieren des Microsoft Entra-Bereitstellungs-Agenten

Wenn Sie das Lernprogramm "Basic Active Directory und Azure-Umgebung" verwenden, nutzen Sie CP1. Führen Sie die folgenden Schritte aus, um den Agent zu installieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Wählen Sie im linken Bereich Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  3. Wählen Sie im linken Bereich Agents aus.

  4. Wählen Sie On-Premises-Agent herunterladen aus, und wählen Sie dann Bedingungen akzeptieren und herunterladen.

    Screenshot, der zeigt, wie der Agent heruntergeladen wird.

  5. Nachdem Sie das Microsoft Entra Connect-Bereitstellungs-Agent-Paket heruntergeladen haben, führen Sie die AADConnectProvisioningAgentSetup.exe Installationsdatei aus Ihrem Downloadordner aus.

  6. Wählen Sie auf dem geöffneten Bildschirm die Ich stimme den Lizenzbedingungen zu-Checkbox aus, und wählen Sie dann Installieren.

    Screenshot der Lizenzierungsbedingungen des Microsoft Entra-Bereitstellungs-Agent-Pakets.

  7. Nach Abschluss der Installation wird der Konfigurations-Assistent geöffnet. Wählen Sie Weiter aus, um die Konfiguration zu starten.

    Screenshot, der den Willkommensbildschirm zeigt.

  8. Melden Sie sich mit einem Konto mit mindestens der Rolle des Hybrididentitätsadministrators an. Wenn Sie die erweiterte Sicherheit von Internet Explorer aktiviert haben, wird die Anmeldung blockiert. Wenn ja, schließen Sie die Installation, deaktivieren Sie die erweiterte Sicherheit von Internet Explorer, und starten Sie die Installation des Microsoft Entra-Bereitstellungs-Agent-Pakets neu.

    Screenshot, der den Bildschirm

  9. Wählen Sie im Bildschirm Dienstkonto konfigurieren ein gruppenverwaltetes Dienstkonto (gMSA) aus. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet. Wenn ein verwaltetes Dienstkonto bereits von einem anderen Agent in Ihrer Domäne konfiguriert ist und Sie einen zweiten Agent installieren, wählen Sie "gMSA erstellen" aus. Das System erkennt das vorhandene Konto und fügt die erforderlichen Berechtigungen für den neuen Agent hinzu, um das gMSA-Konto zu verwenden. Wenn Sie dazu aufgefordert werden, wählen Sie eine von zwei Optionen aus:

    • gMSA erstellen: Lassen Sie den Agenten das verwaltete Dienstkonto provAgentgMSA$ für Sie erstellen. Das gruppenverwaltete Dienstkonto (z. B. #B0) wird in derselben Active Directory-Domäne erstellt, in der der Hostserver mitglied ist. Um diese Option zu verwenden, geben Sie die Anmeldeinformationen des Active Directory-Domänenadministratorkontos ein (empfohlen).
    • Verwenden Sie benutzerdefinierte gMSA: Geben Sie den Namen des verwalteten Dienstkontos an, das Sie für diese Aufgabe manuell erstellt haben.

    Screenshot, der zeigt, wie Sie das Verwaltete Dienstkonto der Gruppe konfigurieren.

  10. Wählen Sie zum Fortsetzen des Vorgangs Weiter aus.

  11. Wenn Ihr Domänenname im Bildschirm Active Directory verbinden unter Konfigurierte Domänen angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Geben Sie andernfalls Ihren Active Directory-Domänennamen ein, und wählen Sie Verzeichnis hinzufügen aus.

    Screenshot, der konfigurierte Domänen zeigt.

  12. Melden Sie sich mit Ihrem Active Directory-Domänenadministratorkonto an. Das Kennwort des Domänenadministratorkontos darf nicht abgelaufen sein. Wenn das Kennwort während der Agentinstallation abgelaufen ist oder sich ändert, konfigurieren Sie den Agent mit den neuen Anmeldeinformationen neu. Dadurch wird Ihr lokales Verzeichnis hinzugefügt. Wählen Sie OK aus, und wählen Sie dann Weiter aus, um fortzufahren.

  13. Klicken Sie auf Weiter, um fortzufahren.

  14. Wählen Sie auf dem Bildschirm Konfiguration abgeschlossen die Option Bestätigen aus. Damit wird der Agent registriert und neu gestartet.

    Screenshot: Abschlussbildschirm

  15. Nach Abschluss des Vorgangs wird eine Benachrichtigung angezeigt, dass die Agentkonfiguration erfolgreich überprüft wurde. Wählen Sie Beenden aus. Wenn der Startbildschirm weiterhin angezeigt wird, wählen Sie Schließen aus.

Überprüfen der Agentinstallation

Die Agentüberprüfung erfolgt im Azure-Portal und auf dem lokalen Server, auf dem der Agent ausgeführt wird.

Überprüfen des Agents im Azure-Portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Microsoft Entra-ID den Agent registriert:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Wählen Sie Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  3. Klicken Sie auf der Seite "CloudSynchronisierung" auf "Agents", um die agents anzuzeigen, die Sie installiert haben. Überprüfen Sie, ob der Agent angezeigt wird und der Status aktiv ist.

Überprüfen des Agents auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird.

  1. Melden Sie sich beim Server mit einem Administratorkonto an.

  2. Gehen Sie zu Services. Sie können auch Start/Run/Services.msc verwenden, um darauf zuzugreifen.

  3. Stellen Sie unter "Dienste" sicher, dass microsoft Azure AD Connect Agent Updater und Microsoft Azure AD Connect Provisioning Agent vorhanden sind und dass der Status "Ausgeführt" ist.

    Screenshot: Windows-Dienste

Überprüfen der Version des Bereitstellungs-Agents

Führen Sie die folgenden Schritte aus, um die Version des ausgeführten Agents zu überprüfen:

  1. Wechseln Sie zu C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klicken Sie mit der rechten Maustaste auf AADConnectProvisioningAgent.exe , und wählen Sie "Eigenschaften" aus.
  3. Wählen Sie die Registerkarte Details aus. Die Versionsnummer wird neben der Produktversion angezeigt.

Konfigurieren der Microsoft Entra-Cloudsynchronisierung

Führen Sie die folgenden Schritte aus, um die Bereitstellung zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie Neue Konfiguration aus.

    Screenshot, der das Hinzufügen einer Konfiguration zeigt.

  2. Wählen Sie auf dem Konfigurationsbildschirm Ihre Domäne aus, und wählen Sie aus, ob die Kennworthashsynchronisierung aktiviert werden soll. Wählen Sie dann "Erstellen" aus.

    Screenshot einer neuen Konfiguration.

  3. Wählen Sie auf dem Bildschirm " Erste Schritte " die Option " Bereichsfilter hinzufügen " neben dem Symbol " Bereichsfilter hinzufügen " aus. Oder wählen Sie im linken Bereich unter "Verwalten" die Option "Bereichsdefinitionsfilter" aus.

    Screenshot mit den Bereichsfiltern.

  4. Wählen Sie den Bereichsfilter aus. Wählen Sie für dieses Lernprogramm "Ausgewählte Organisationseinheiten" aus. Dieser Filter beschreibt die Konfiguration, die auf bestimmte Organisationseinheiten angewendet werden soll.

  5. Geben Sie in das Feld OU=CPUsers,DC=contoso,DC=com ein. Screenshot, der den Bereichsfilter zeigt.

  6. Wählen Sie aus. Fügen Sie>hinzu. Speichern Sie.

Starten des Schedulers

Microsoft Entra Connect Sync synchronisiert Änderungen, die in Ihrem lokalen Verzeichnis mithilfe eines Schedulers auftreten. Nachdem Sie die Regeln geändert haben, können Sie den Scheduler neu starten.

  1. Öffnen Sie auf dem Server, auf dem Microsoft Entra Connect Sync ausgeführt wird, PowerShell mit Administratorrechten.
  2. Führen Sie Set-ADSyncScheduler -SyncCycleEnabled $true aus.
  3. Führen Sie Start-ADSyncSyncCycle aus. Drücken Sie dann die EINGABETASTE.

Hinweis

Wenn Sie Einen eigenen benutzerdefinierten Zeitplan für Microsoft Entra Connect Sync ausführen, können Sie den benutzerdefinierten Synchronisierungsplaner erneut aktivieren.

Nachdem der Scheduler aktiviert wurde, beendet Microsoft Entra Connect das Exportieren von Änderungen an Objekten mit cloudNoFlow=true in der Metaverse, es sei denn, es wird ein Verweis-Attribut (z. B. manager) aktualisiert. Wenn eine Aktualisierung des Referenzattributes für das Objekt vorhanden ist, ignoriert Microsoft Entra Connect das cloudNoFlow Signal und exportiert alle Aktualisierungen des Objekts.

Problembehandlung

Wenn das Pilotprojekt nicht wie erwartet funktioniert, kehren Sie zum Microsoft Entra Connect Sync-Setup zurück.

  1. Deaktivieren Sie die Bereitstellungskonfiguration im Portal.
  2. Verwenden Sie das Tool für den Synchronisierungsregel-Editor, um alle benutzerdefinierten Synchronisierungsregeln zu deaktivieren, die Sie für die Cloudbereitstellung erstellt haben. Durch das Deaktivieren wird eine vollständige Synchronisierung für alle Connectors verursacht.

Verwandte Inhalte

  • Last updated on