Partilhar via

Tutorial: Migrar para o Microsoft Entra Cloud Sync para sincronizar uma floresta do Active Directory

Este tutorial orienta você sobre como migrar para o Microsoft Entra Cloud Sync para uma floresta de teste do Ative Directory que foi sincronizada usando o Microsoft Entra Connect Sync.

Este artigo fornece informações para uma migração básica. Consulte a documentação Migrar para o Microsoft Entra Cloud Sync antes de tentar migrar seu ambiente de produção.

Neste tutorial, você aprenderá a:

  • Pare o agendador.
  • Crie regras personalizadas de entrada e saída do usuário.
  • Instale o agente de provisionamento.
  • Verifique a instalação do agente.
  • Configurar Microsoft Entra Cloud Sync.
  • Reinicie o agendador.

Diagrama que mostra o fluxo do Microsoft Entra Cloud Sync.

Considerações

Antes de tentar este tutorial, considere os seguintes itens:

  • Certifique-se de que está familiarizado com as noções básicas do Microsoft Entra Cloud Sync.

  • Certifique-se de que está a executar o Microsoft Entra Connect Sync versão 1.4.32.0 ou posterior e de que configurou as regras de sincronização conforme documentado.

  • Certifique-se de remover uma unidade organizacional (UO) de teste ou grupo do âmbito de sincronização do Microsoft Entra Connect especificamente para um teste piloto. Mover objetos para fora do escopo leva à exclusão desses objetos no ID do Microsoft Entra.

    • Os objetos de usuário no Microsoft Entra ID são excluídos suavemente, para que você possa restaurá-los.
    • Os objetos de grupo na ID do Microsoft Entra são excluídos automaticamente, portanto, não é possível restaurá-los.

    O Microsoft Entra Connect Sync introduz um novo tipo de link, que impede a exclusão em um cenário piloto.

  • Certifique-se de que os objetos no escopo piloto tenham ms-ds-consistencyGUID preenchido para que o Microsoft Entra Cloud Sync corresponda rigorosamente aos objetos.

    O Microsoft Entra Connect Sync não preenche ms-ds-consistencyGUID por predefinição para objetos de grupo.

  • Siga as etapas neste tutorial com precisão. Esta configuração é para cenários avançados.

Pré-requisitos

A seguir estão os pré-requisitos necessários para concluir este tutorial:

  • Um ambiente de teste com o Microsoft Entra Connect Sync versão 1.4.32.0 ou posterior
  • Uma UO ou grupo que está abrangido pela sincronização e pode ser usado durante o piloto. Recomendamos começar com um pequeno conjunto de objetos.
  • Um servidor que executa o Windows Server 2022, Windows Server 2019 ou Windows Server 2016 para hospedar o agente de provisionamento.
  • A âncora de origem para o Microsoft Entra Connect Sync deve ser objectGuid ou ms-ds-consistencyGUID

Atualizar o Microsoft Entra Connect

No mínimo, você deve ter o Microsoft Entra Connect 1.4.32.0. Para atualizar o Microsoft Entra Connect Sync, siga as etapas em Microsoft Entra Connect: Atualizar para a versão mais recente.

Faça backup da configuração do Microsoft Entra Connect

Antes de fazer alterações, faça backup da configuração do Microsoft Entra Connect. Dessa forma, você pode reverter para a configuração anterior. Para obter mais informações, consulte Importar e exportar definições de configuração do Microsoft Entra Connect.

Pare o agendador

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Para modificar e adicionar regras personalizadas, você deseja desativar o agendador para que as sincronizações não sejam executadas enquanto você estiver trabalhando e fazendo as alterações. Para parar o agendador, use as seguintes etapas:

  1. No servidor que está executando o Microsoft Entra Connect Sync, abra o PowerShell com privilégios administrativos.
  2. Executar Stop-ADSyncSyncCycle. Selecione Enter.
  3. Executar Set-ADSyncScheduler -SyncCycleEnabled $false.

Nota

Se você estiver executando seu próprio agendador personalizado para o Microsoft Entra Connect Sync, desative o agendador de sincronização personalizado.

Criar uma regra de entrada de usuário personalizada

No Editor de Regras de Sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre os usuários na UO identificada anteriormente. A regra de sincronização de entrada é uma regra de junção com um atributo alvo de cloudNoFlow. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para obter mais informações, consulte Migrar para o Microsoft Entra Cloud Sync antes de tentar migrar seu ambiente de produção.

  1. Abra o Editor de Regras de Sincronização no menu do aplicativo na área de trabalho.

    Captura de tela que mostra o menu Editor de Regras de Sincronização.

  2. Em Direção, selecione Entrada na lista suspensa. Em seguida, selecione Adicionar nova regra.

    Captura de ecrã que mostra a janela Ver e gerir as regras de sincronização com Entrada e o botão Adicionar nova regra selecionado.

  3. Na página Descrição , insira os seguintes valores e selecione Avançar:

    • Nome: dê à regra um nome significativo.
    • Descrição: adicione uma descrição significativa.
      • Sistema conectado: escolha o conector do Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada.
      • Tipo de objeto do sistema conectado: Selecione o usuário.
      • Tipo de objeto do metaverso: Selecione a pessoa.
      • Tipo de link: Selecione Aderir.
      • Precedência: Forneça um valor exclusivo no sistema.
      • Tag: Deixe este campo vazio.

    Captura de ecrã que mostra a página Criar regra de sincronização de entrada - Descrição com valores introduzidos.

  4. Na página Filtro de escopo , insira a UO ou o grupo de segurança no qual você deseja basear o piloto. Para filtrar por UO, adicione a parte da UO do nome distinto. Esta regra aplica-se a todos os utilizadores que estão nessa UO. Portanto, se o nome distinto (DN) terminar com OU=CPUsers,DC=contoso,DC=com, você adicionará esse filtro. Em seguida, selecione Avançar.

    Regra Atributo Operador Valor
    Escopo da Unidade Organizacional DN ENDSWITH Nome Distinto da UO.
    Grupo de Definição de Escopo ISMEMBEROF Nome distinto do grupo de segurança.

    Captura de tela que mostra os filtros de escopo da regra de sincronização.

  5. Na página Regras de adesão , selecione Avançar.

  6. Na página Transformações , adicione uma transformação constante: valor de origem de True para o atributo cloudNoFlow. Selecione Adicionar.

    Captura de tela que mostra as transformações da regra de sincronização.

Siga as mesmas etapas para todos os tipos de objeto (usuário, grupo e contato). Repita os passos de acordo com o conector do Active Directory configurado ou a floresta do Active Directory.

Criar uma regra de saída de usuário personalizada

Você precisa de uma regra de sincronização de saída com um tipo de link de JoinNoFlow e um filtro de escopo que tenha o atributo cloudNoFlow definido como True. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para obter mais informações, consulte Migrar para o Microsoft Entra Cloud Sync antes de tentar migrar seu ambiente de produção.

  1. Em Direção, selecione Saída na lista suspensa. Em seguida, selecione Adicionar regra.

    Captura de ecrã que mostra as regras de sincronização de saída.

  2. Na página Descrição , insira os seguintes valores e selecione Avançar:

    • Nome: dê à regra um nome significativo.
    • Descrição: adicione uma descrição significativa.
      • Sistema conectado: escolha o conector do Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada.
      • Tipo de objeto do sistema conectado: Selecione o usuário.
      • Tipo de objeto do metaverso: Selecione a pessoa.
      • Tipo de link: Selecione JoinNoFlow.
      • Precedência: Forneça um valor exclusivo no sistema.
      • Tag: Deixe este campo vazio.

    Captura de ecrã que mostra a descrição da regra de sincronização.

  3. Na página Filtro de escopo , para o Atributo, selecione cloudNoFlow. Em Valor, selecione Verdadeiro. Em seguida, selecione Avançar.

    Captura de tela que mostra uma regra personalizada.

  4. Na página Regras de adesão , selecione Avançar.

  5. Na página Transformações , selecione Adicionar.

Siga as mesmas etapas para todos os tipos de objeto (usuário, grupo e contato).

Instalar o agente de provisionamento do Microsoft Entra

Se estiver a usar o tutorial Básico do Active Directory e do ambiente do Azure, use CP1. Para instalar o agente, siga estas etapas.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. No painel esquerdo, selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. No painel esquerdo, selecione Agentes.

  4. Selecione Baixar agente local e, em seguida, selecione Aceitar termos & download.

    Captura de tela que mostra o download do agente.

  5. Depois de baixar o Microsoft Entra Connect Provisioning Agent Package, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe na pasta de downloads.

  6. No ecrã que se abre, selecione a caixa de verificação Concordo com os termos e condições da licença e, em seguida, selecione Instalar.

    Captura de tela que mostra os termos de licenciamento do Microsoft Entra Provisioning Agent Package.

  7. Após a conclusão da instalação, o assistente de configuração é aberto. Selecione Avançar para iniciar a configuração.

    Captura de tela que mostra a tela de boas-vindas.

  8. Entre com uma conta com, pelo menos, a função de administrador de Identidade Híbrida . Se você tiver a segurança reforçada do Internet Explorer habilitada, ela bloqueará a entrada. Em caso afirmativo, feche a instalação, desative a segurança reforçada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra.

    Captura de ecrã que mostra o ecrã Connect Microsoft Entra ID.

  9. Na tela Configurar Conta de Serviço , selecione uma Conta de Serviço Gerenciado (gMSA) do grupo. Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciado já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA. O sistema deteta a conta existente e adiciona as permissões necessárias para que o novo agente use a conta gMSA. Quando lhe for pedido, escolha uma de duas opções:

    • Criar gMSA: Deixe o agente criar a conta de serviço gerenciado provAgentgMSA$ para você. A conta de serviço gerenciado de grupo (por exemplo, CONTOSO\provAgentgMSA$) é criada no mesmo domínio do Ative Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Ative Directory (recomendado).
    • Usar gMSA personalizado: forneça o nome da conta de serviço gerenciado que você criou manualmente para esta tarefa.

    Captura de tela que mostra como configurar a Conta de Serviço Gerenciado do grupo.

  10. Para continuar, selecione Avançar.

  11. No ecrã Ligar o Ative Directory , se o seu nome de domínio aparecer em Domínios configurados, avance para o passo seguinte. Caso contrário, insira o nome de domínio do Ative Directory e selecione Adicionar diretório .

    Captura de tela que mostra domínios configurados.

  12. Entre com sua conta de administrador de domínio do Ative Directory. A conta de administrador de domínio não deve ter uma senha expirada. Se a senha tiver expirado ou for alterada durante a instalação do agente, reconfigure o agente com as novas credenciais. Esta operação adiciona o seu diretório local. Selecione OK e, em seguida, selecione Avançar para continuar.

  13. Selecione Avançar para continuar.

  14. Na tela Configuração concluída , selecione Confirmar. Esta operação registra e reinicia o agente.

    Captura de tela que mostra a tela de conclusão.

  15. Após a conclusão da operação, você verá uma notificação de que a configuração do agente foi verificada com êxito. Selecione Sair. Se você ainda receber a tela inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que executa o agente.

Verificar o agente no portal do Azure

Para verificar se o Microsoft Entra ID registra o agente, execute estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Selecione Entra Connect e, em seguida, selecione Cloud Sync.

    Captura de ecrã que mostra o ecrã Introdução.

  3. Na página Cloud Sync , clique em Agentes para ver os agentes que você instalou. Verifique se o agente aparece e se o status está ativo.

Verifique o agente no servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.

  2. Vá para Serviços. Você também pode usar Start/Run/Services.msc para acessá-lo.

  3. Em Serviços, verifique se o Microsoft Azure AD Connect Agent Updater e o Microsoft Azure AD Connect Provisioning Agent estão presentes e se o status é Em Execução.

    Captura de ecrã que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente em execução, siga estas etapas:

  1. Vá para C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent.
  2. Clique com o botão direito do mouse emAADConnectProvisioningAgent.exe e selecione Propriedades.
  3. Selecione a guia Detalhes . O número da versão aparece ao lado da versão do produto.

Configurar o Microsoft Entra Cloud Sync

Para configurar o provisionamento, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Identidade Híbrida.

  2. Navegue até Entra ID>Entra Connect>Cloud sync.

    Captura de tela que mostra a página inicial do Microsoft Entra Connect Cloud Sync.

  1. Selecione Nova configuração.

    Captura de tela que mostra a adição de uma configuração.

  2. Na tela de configuração, selecione seu domínio e se deseja habilitar a sincronização de hash de senha. Em seguida, selecione Criar.

    Captura de tela que mostra uma nova configuração.

  3. Na tela Introdução , selecione Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo . Ou, no painel esquerdo, em Gerenciar, selecione Filtros de escopo.

    Captura de ecrã que mostra os filtros de escopo.

  4. Selecione o filtro de escopo. Para este tutorial, selecione Unidades organizacionais selecionadas. Esse filtro define o escopo da configuração a ser aplicada a UOs específicas.

  5. Na caixa, digite OU=CPUsers,DC=contoso,DC=com. Captura de tela que mostra o filtro de escopo.

  6. Selecione Adicionar>Salvar.

Iniciar o agendador

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Agora que você modificou as regras, você pode reiniciar o agendador.

  1. No servidor que está executando o Microsoft Entra Connect Sync, abra o PowerShell com privilégios de administrador.
  2. Executar Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Executar Start-ADSyncSyncCycle. Em seguida, selecione Enter.

Nota

Se você estiver executando seu próprio agendador personalizado para o Microsoft Entra Connect Sync, reative o agendador de sincronização personalizado.

Depois que o agendador é habilitado, o Microsoft Entra Connect para de exportar quaisquer alterações em objetos com cloudNoFlow=true no metaverso, a menos que qualquer atributo de referência (como manager) esteja sendo atualizado. Se houver alguma atualização de atributo de referência no objeto, o Microsoft Entra Connect ignorará o cloudNoFlow sinal e exportará todas as atualizações no objeto.

Solução de problemas

Se o piloto não funcionar como esperado, volte para a configuração do Microsoft Entra Connect Sync.

  1. Desative a configuração de provisionamento no portal.
  2. Use a ferramenta Editor de regras de sincronização para desabilitar todas as regras de sincronização personalizadas que você criou para o provisionamento na nuvem. A desativação causa uma sincronização completa em todos os conectores.

Conteúdo relacionado

  • Last updated on