Udostępnij przez

Samouczek: jak przejść na usługę Microsoft Entra Cloud Sync dla synchronizowanego lasu Active Directory

Ten samouczek przeprowadzi Cię przez proces migracji do usługi Microsoft Entra Cloud Sync na potrzeby testowego lasu usługi Active Directory, który został zsynchronizowany przy użyciu usługi Microsoft Entra Connect Sync.

Ten artykuł zawiera informacje dotyczące migracji podstawowej. Przed podjęciem próby migracji środowiska produkcyjnego zapoznaj się z dokumentacją migracji do usługi Microsoft Entra Cloud Sync .

Z tego samouczka dowiesz się, jak wykonywać następujące działania:

  • Zatrzymaj proces planowania.
  • Utwórz niestandardowe reguły ruchu przychodzącego i wychodzącego użytkownika.
  • Zainstaluj agenta konfiguracji.
  • Sprawdź instalację agenta.
  • Skonfiguruj usługę Microsoft Entra Cloud Sync.
  • Uruchom ponownie harmonogram.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Kwestie wymagające rozważenia

Przed wypróbowaniem tego samouczka rozważ następujące elementy:

  • Upewnij się, że znasz podstawy usługi Microsoft Entra Cloud Sync.

  • Upewnij się, że używasz programu Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej i że skonfigurowano reguły synchronizacji zgodnie z dokumentacją.

  • Upewnij się, że w przypadku projektu pilotażowego usuń testową jednostkę organizacyjną (OU) lub grupę z zakresu Microsoft Entra Connect Sync. Przeniesienie obiektów poza zakres prowadzi do usunięcia tych obiektów w identyfikatorze Entra firmy Microsoft.

    • Obiekty użytkownika w identyfikatorze Entra firmy Microsoft są usuwane nietrwale, więc można je przywrócić.
    • Obiekty grupy w identyfikatorze Entra firmy Microsoft są trwale usuwane, więc nie można ich przywrócić.

    Usługa Microsoft Entra Connect Sync wprowadza nowy typ linku, który uniemożliwia usunięcie w scenariuszu pilotażowym.

  • Upewnij się, że obiekty w pilotażowym zakresie zostały ms-ds-consistencyGUID wypełnione, aby program Microsoft Entra Cloud Sync dokładnie dopasowywał te obiekty.

    Program Microsoft Entra Connect Sync domyślnie nie wypełnia ms-ds-consistencyGUID dla obiektów grup.

  • Dokładnie wykonaj kroki opisane w tym samouczku. Ta konfiguracja jest przeznaczona dla zaawansowanych scenariuszy.

Wymagania wstępne

Poniżej przedstawiono wymagania wstępne niezbędne do wykonania kroków tego samouczka

  • Środowisko testowe z programem Microsoft Entra Connect Sync w wersji 1.4.32.0 lub nowszej
  • Jednostka organizacyjna lub grupa, która jest w ramach synchronizacji i może być używana podczas pilotażu. Zalecamy rozpoczęcie od małego zestawu obiektów.
  • Serwer z systemem Windows Server 2022, Windows Server 2019 lub Windows Server 2016 do hostowania agenta aprowizacji.
  • Parametr źródłowy dla Microsoft Entra Connect Sync powinien mieć wartość objectGuid lub ms-ds-consistencyGUID

Aktualizowanie programu Microsoft Entra Connect

Co najmniej należy mieć program Microsoft Entra Connect 1.4.32.0. Aby zaktualizować program Microsoft Entra Connect Sync, wykonaj kroki opisane w temacie Microsoft Entra Connect: uaktualnianie do najnowszej wersji.

Tworzenie kopii zapasowej konfiguracji programu Microsoft Entra Connect

Przed wprowadzeniem jakichkolwiek zmian utwórz kopię zapasową konfiguracji programu Microsoft Entra Connect. W ten sposób można przywrócić poprzednią konfigurację. Aby uzyskać więcej informacji, zobacz Importowanie i eksportowanie ustawień konfiguracji programu Microsoft Entra Connect.

Zatrzymaj harmonogram

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Aby zmodyfikować i dodać reguły niestandardowe, chcesz wyłączyć harmonogram, aby synchronizacje nie działały podczas pracy i wprowadzania zmian. Aby zatrzymać harmonogram, wykonaj następujące czynności:

  1. Na serwerze z uruchomioną usługą Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administracyjnymi.
  2. Uruchom program Stop-ADSyncSyncCycle. Wybierz Enter.
  3. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $false.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla programu Microsoft Entra Connect Sync, wyłącz niestandardowy harmonogram synchronizacji.

Utwórz niestandardową regułę przychodzącego ruchu użytkownika

W Edytorze reguł synchronizacji programu Microsoft Entra Connect należy utworzyć regułę synchronizacji ruchu przychodzącego, która filtruje użytkowników w zidentyfikowanych wcześniej jednostkach organizacyjnych. Reguła synchronizacji przychodzącej to reguła kojarzenia, której atrybut docelowy jest cloudNoFlow. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do usługi Microsoft Entra Cloud Sync przed podjęciem próby migracji środowiska produkcyjnego.

  1. Otwórz Edytor reguł synchronizacji z menu aplikacji na pulpicie.

    Zrzut ekranu przedstawiający menu Edytor reguł synchronizacji.

  2. W obszarze Kierunek wybierz pozycję Przychodzące z listy rozwijanej. Następnie wybierz pozycję Dodaj nową regułę.

    Zrzut ekranu przedstawiający okno Wyświetlania i Zarządzania Regułami Synchronizacji z wybraną opcją Przychodzące oraz przyciskiem

  3. Na stronie Opis wprowadź następujące wartości i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę.
    • Opis: Dodaj znaczący opis.
      • Połączony System: wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji.
      • Typ obiektu systemu połączonego: wybierz użytkownika.
      • Typ obiektu Metaverse: wybierz osobę.
      • typ łącza: wybierz Dołącz.
      • Priorytet: Podaj wartość unikatową w systemie.
      • Tag: pozostaw to pole puste.

    Zrzut ekranu przedstawiający stronę Tworzenie reguły synchronizacji ruchu przychodzącego — opis z wprowadzonymi wartościami.

  4. Na stronie Filtr określania zakresu wprowadź jednostkę organizacyjną lub grupę zabezpieczeń, na której chcesz oprzeć pilotaż. Aby filtrować według jednostki organizacyjnej, dodaj część nazwy wyróżniającej jednostki organizacyjnej. Ta reguła dotyczy wszystkich użytkowników, którzy znajdują się w tej jednostki organizacyjnej. Dlatego jeśli nazwa wyróżniająca (DN) kończy się ciągiem OU=CPUsers,DC=contoso,DC=com, należy dodać ten filtr. Następnie kliknij przycisk Dalej.

    Reguła Atrybut Obsługujący Wartość
    Określanie zakresu OU DN ENDSWITH Nazwa wyróżniająca jednostki organizacyjnej (OU).
    Grupa ds. określania zakresu ISMEMBEROF Nazwa rozróżniająca grupy zabezpieczeń.

    Zrzut ekranu przedstawiający filtry określania zakresu reguły synchronizacji.

  5. Na stronie Reguły dołączania wybierz pozycję Dalej.

  6. Na stronie Przekształcenia dodaj stałą transformację: Wartość źródłowa True dla atrybutu cloudNoFlow. Wybierz Dodaj.

    Zrzut ekranu przedstawiający przekształcenia reguły synchronizacji.

Wykonaj te same kroki dla wszystkich typów obiektów (użytkownik, grupa i kontakt). Powtórz kroki zgodnie ze skonfigurowanym łącznikiem usługi Active Directory lub lasem usługi Active Directory.

Tworzenie niestandardowej reguły wychodzącej dla użytkownika

Potrzebna jest reguła synchronizacji wychodzącej z typem łącza JoinNoFlow oraz filtrem określania zakresu, w którym atrybut cloudNoFlow jest ustawiony na True. Ta reguła informuje firmę Microsoft Entra Connect, aby nie synchronizować atrybutów dla tych użytkowników. Aby uzyskać więcej informacji, zobacz Migrowanie do usługi Microsoft Entra Cloud Sync przed podjęciem próby migracji środowiska produkcyjnego.

  1. W obszarze Kierunek wybierz pozycję Wychodzący z listy rozwijanej. Następnie wybierz pozycję Dodaj regułę.

    Zrzut ekranu przedstawiający reguły synchronizacji wychodzących.

  2. Na stronie Opis wprowadź następujące wartości i wybierz pozycję Dalej:

    • Nazwa: nadaj regule zrozumiałą nazwę.
    • Opis: Dodaj znaczący opis.
      • Połączony System: wybierz łącznik Microsoft Entra, dla którego piszesz niestandardową regułę synchronizacji.
      • Typ obiektu systemu połączonego: wybierz użytkownika.
      • Typ obiektu Metaverse: wybierz osobę.
      • Typ łącza: wybierz JoinNoFlow.
      • Priorytet: Podaj wartość unikatową w systemie.
      • Tag: pozostaw to pole puste.

    Zrzut ekranu przedstawiający opis reguły synchronizacji.

  3. Na stronie Filtr określania zakresu w polu Atrybut wybierz wartość cloudNoFlow. Dla wartościwybierz True. Następnie kliknij przycisk Dalej.

    Zrzut ekranu przedstawiający regułę niestandardową.

  4. Na stronie reguły dołączania wybierz pozycję Dalej.

  5. Na stronie Przekształcenia wybierz pozycję Dodaj.

Wykonaj te same kroki dla wszystkich typów obiektów (użytkownik, grupa i kontakt).

Zainstaluj agenta wdrażania Microsoft Entra

Jeśli używasz samouczka Podstawowe środowisko Active Directory i Azure, użyj CP1. Aby zainstalować agenta, wykonaj następujące kroki.

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. W okienku po lewej stronie wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. W okienku po lewej stronie wybierz pozycję Agenci.

  4. Wybierz opcję Pobierz agenta lokalnego, a następnie wybierz opcję Zaakceptuj warunki oraz pobierz.

    Zrzut ekranu przedstawiający pobieranie agenta.

  5. Po pobraniu pakietu agenta aprowizowania Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu Pobrane.

  6. Na wyświetlonym ekranie zaznacz pole wyboru Wyrażam zgodę na postanowienia licencyjne, a następnie wybierz pozycję Zainstaluj.

    Zrzut ekranu przedstawiający postanowienia licencyjne pakietu Microsoft Entra Provisioning Agent.

  7. Po zakończeniu instalacji kreator konfiguracji zostanie otwarty. Wybierz przycisk Dalej , aby rozpocząć konfigurację.

    Zrzut ekranu przedstawiający ekran powitalny.

  8. Zaloguj się przy użyciu konta z co najmniej rolą Administrator tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta microsoft Entra Provisioning Agent.

    Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID.

  9. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz Utwórz konto usługi gMSA. System wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta usługi gMSA. Po wyświetleniu monitu wybierz jedną z dwóch opcji:

    • Utwórz gMSA: Pozwól agentowi stworzyć provAgentgMSA$ konto zarządzanej usługi dla Ciebie. Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) jest tworzone w tej samej domenie usługi Active Directory, w której jest przyłączony serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
    • Użyj niestandardowego gMSA: Należy podać nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

    Zrzut ekranu przedstawiający sposób konfigurowania konta usługi zarządzanej przez grupę.

  10. Aby kontynuować, kliknij przycisk Dalej.

  11. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wprowadź nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

    Zrzut ekranu przedstawiający skonfigurowane domeny.

  12. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmienia się podczas instalacji agenta, skonfiguruj ponownie agenta przy użyciu nowych poświadczeń. Ta operacja dodaje lokalny katalog. Wybierz OK, a następnie wybierz Dalej, aby kontynuować.

  13. Wybierz przycisk Dalej, aby kontynuować.

  14. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Operacja ta rejestruje agenta i uruchamia go ponownie.

    Zrzut ekranu przedstawiający ekran zakończenia.

  15. Po zakończeniu operacji zostanie wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Wybierz pozycję Zakończ. Jeśli ekran początkowy nadal jest wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym z uruchomionym agentem.

Zweryfikuj agenta w portalu Azure

Aby sprawdzić, czy identyfikator Entra firmy Microsoft rejestruje agenta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. Na stronie Synchronizacja w chmurze kliknij pozycję Agenci , aby wyświetlić zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest aktywny.

Weryfikowanie agenta na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.

  2. Przejdź do Services. Możesz również użyć Start/Run/Services.msc, aby uzyskać do niego dostęp.

  3. W obszarze Usługi upewnij się, że Microsoft Azure AD Connect Agent Updater i Agent aprowizacji Microsoft Azure AD Connect są obecne i że ich stan to Uruchomiony.

    Zrzut ekranu przedstawiający usługi systemu Windows.

Zweryfikuj wersję agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Kliknij prawym przyciskiem myszy AADConnectProvisioningAgent.exe i wybierz pozycję właściwości .
  3. Wybierz kartę Szczegóły. Numer wersji jest wyświetlany obok wersji produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować prowizjonowanie, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. Wybierz pozycję Nowa konfiguracja.

    Zrzut ekranu przedstawiający dodawanie konfiguracji.

  2. Na ekranie konfiguracji wybierz domenę i określ, czy włączyć synchronizację skrótów haseł. Następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający nową konfigurację.

  3. Na ekranie Wprowadzenie wybierz pozycję Dodaj filtry określania zakresu obok ikony Dodaj filtry określania zakresu . Lub w lewym panelu pod Zarządzaj wybierz Filtry określania zakresu.

    Zrzut ekranu przedstawiający filtry określania zakresu.

  4. Wybierz filtr zakresu. Na potrzeby tego samouczka wybierz pozycję Wybrane jednostki organizacyjne. Ten filtr określa zakres konfiguracji, która ma być stosowana do określonych jednostek organizacyjnych.

  5. W polu wprowadź OU=CPUsers,DC=contoso,DC=com. Zrzut ekranu przedstawiający filtr określania zakresu.

  6. Wybierz pozycję Dodaj>Zapisz.

Uruchamianie harmonogramu

Program Microsoft Entra Connect Sync synchronizuje zmiany występujące w katalogu lokalnym przy użyciu harmonogramu. Po zmodyfikowaniu reguł możesz ponownie uruchomić harmonogram.

  1. Na serwerze z uruchomioną usługą Microsoft Entra Connect Sync otwórz program PowerShell z uprawnieniami administratora.
  2. Uruchom program Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Uruchom program Start-ADSyncSyncCycle. Następnie wybierz pozycję Wprowadź.

Uwaga

Jeśli używasz własnego niestandardowego harmonogramu dla programu Microsoft Entra Connect Sync, można ponownie przywrócić niestandardowy harmonogram synchronizacji.

Po włączeniu harmonogramu program Microsoft Entra Connect przestaje eksportować wszelkie zmiany w obiektach z cloudNoFlow=true w metaverse, chyba że aktualizowany jest którykolwiek z atrybutów odwołania (takich jak manager). Jeśli w obiekcie dokonano jakiejkolwiek aktualizacji atrybutu odniesienia, program Microsoft Entra Connect ignoruje cloudNoFlow sygnał i eksportuje wszystkie aktualizacje na obiekcie.

Rozwiązywanie problemów

Jeśli pilotaż nie działa zgodnie z oczekiwaniami, wróć do konfiguracji programu Microsoft Entra Connect Sync.

  1. Wyłącz konfigurację aprowizacji w portalu.
  2. Użyj narzędzia Edytor reguł synchronizacji, aby wyłączyć wszystkie niestandardowe reguły synchronizacji utworzone na potrzeby aprowizacji w chmurze. Wyłączenie powoduje pełną synchronizację wszystkich łączników.

Powiązana zawartość

  • Last updated on