Поделиться через

Учебник: Миграция на Microsoft Entra Cloud Sync с синхронизированным лесом Active Directory

В этом руководстве описано, как перейти в Microsoft Entra Cloud Sync для тестового леса Active Directory, синхронизированного с помощью Microsoft Entra Connect Sync.

В этой статье содержатся сведения о базовой миграции. Ознакомьтесь с документацией по миграции в Microsoft Entra Cloud Sync , прежде чем пытаться перенести рабочую среду.

В этом руководстве описано, как:

  • Остановите планировщик.
  • Создайте пользовательские настраиваемые правила для входящих и исходящих подключений.
  • Установите агент настройки.
  • Проверьте установку агента.
  • Настройка Microsoft Entra Cloud Sync.
  • Перезапустите планировщик.

Схема, показывающая поток синхронизации Microsoft Entra Cloud Sync.

Рекомендации

Прежде чем начать работу с этим руководством, примите во внимание следующее:

  • Убедитесь, что вы знакомы с основами Microsoft Entra Cloud Sync.

  • Убедитесь, что вы используете службу синхронизации Microsoft Entra Connect версии 1.4.32.0 или более поздней, и вы настроили правила синхронизации как документированные.

  • Убедитесь, что для пилотного проекта вы удалили тестовое подразделение или группу из области синхронизации Microsoft Entra Connect. Перемещение объектов из области приводит к удалению этих объектов в идентификаторе Microsoft Entra.

    • Пользовательские объекты в Microsoft Entra ID удаляются обратимо, поэтому их можно восстановить.
    • Группы объектов в идентификаторе Microsoft Entra жестко удаляются, поэтому их невозможно восстановить.

    Microsoft Entra Connect Sync представляет новый тип ссылки, который предотвращает удаление в пилотном сценарии.

  • Убедитесь, что объекты в пилотной области заполнены ms-ds-consistencyGUID, чтобы Microsoft Entra Cloud Sync точно сопоставляла объекты.

    Синхронизация Microsoft Entra Connect по умолчанию не заполняет ms-ds-consistencyGUID для объектов группы.

  • Следуйте инструкциям, описанным в этом руководстве, точно. Эта конфигурация предназначена для расширенных сценариев.

Предварительные условия

Для работы с этим учебником требуется следующее:

  • Тестовая среда с Microsoft Entra Connect Sync версии 1.4.32.0 или более поздней
  • Подразделение или группа, которая находится в области синхронизации и может использоваться во время пилотного проекта. Мы советуем начинать с небольшого набора объектов.
  • Сервер под управлением Windows Server 2022, Windows Server 2019 или Windows Server 2016 для размещения агента подготовки.
  • Источник привязки для синхронизации Microsoft Entra Connect должен быть либо objectGuid, либо ms-ds-consistencyGUID

Обновление Microsoft Entra Connect

Как минимум, у вас должна быть Microsoft Entra Connect 1.4.32.0. Чтобы обновить синхронизацию Microsoft Entra Connect, выполните действия, описанные в Microsoft Entra Connect: обновление до последней версии.

Резервное копирование конфигурации Microsoft Entra Connect

Перед внесением изменений создайте резервную копию конфигурации Microsoft Entra Connect. Таким образом можно выполнить откат к предыдущей конфигурации. Дополнительные сведения см. в разделе "Импорт и экспорт параметров конфигурации Microsoft Entra Connect".

Остановите планировщик

Microsoft Entra Connect Sync синхронизирует изменения, происходящие в локальном каталоге, с помощью планировщика. Чтобы изменить и добавить пользовательские правила, необходимо отключить планировщик, чтобы синхронизации не выполнялись во время работы и внесения изменений. Чтобы остановить планировщик, выполните следующие действия.

  1. На сервере, на котором выполняется синхронизация Microsoft Entra Connect, откройте PowerShell с правами администратора.
  2. Запустите Stop-ADSyncSyncCycle. Нажмите Enter.
  3. Запустите Set-ADSyncScheduler -SyncCycleEnabled $false.

Примечание.

Если вы используете собственный настраиваемый планировщик для Службы синхронизации Microsoft Entra Connect, отключите настраиваемый планировщик синхронизации.

Создание настраиваемого правила входящего трафика пользователя

В редакторе правил синхронизации Microsoft Entra Connect необходимо создать правило входящей синхронизации, которое будет фильтровать пользователей в организационной единице, которую вы определили ранее. Правило входящей синхронизации — это правило связи с целевым атрибутом cloudNoFlow. Это правило указывает Microsoft Entra Connect не выполнять синхронизацию атрибутов для этих пользователей. Дополнительные сведения см. в разделе "Миграция в Microsoft Entra Cloud Sync ", прежде чем пытаться перенести рабочую среду.

  1. Откройте редактор правил синхронизации из меню приложения на рабочем столе.

    Снимок экрана: меню редактора правил синхронизации.

  2. В поле Направление выберите Входящий из раскрывающегося списка. Затем нажмите кнопку "Добавить новое правило".

    Снимок экрана, показывающий окно

  3. На странице описания введите следующие значения и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя.
    • Описание. Добавление понятного описания.
      • Подключенная система: выберите соединитель Microsoft Entra, для которого вы пишете настраиваемое правило синхронизации.
      • Тип подключенного системного объекта: выберите пользователя.
      • Тип объекта metaverse: select person.
      • Тип ссылки: выберите Присоединить.
      • Приоритет. Укажите значение, уникальное в системе.
      • Тег. Оставьте это поле пустым.

    Снимок экрана, показывающий правило создания входящей синхронизации — описание страницы с введенными значениями.

  4. На странице фильтра области применения введите организационную единицу или группу безопасности, на основе которой вы хотите построить пилотный проект. Чтобы отфильтровать по подразделению, добавьте часть различимого имени, относящуюся к подразделению. Это правило применяется ко всем пользователям, которые находятся в этой организационной единице. Таким образом, если различающееся имя (DN) заканчивается OU=CPUsers,DC=contoso,DC=com, добавьте этот фильтр. Затем нажмите кнопку "Далее".

    Правило Атрибут Оператор Значение
    Определение рамок организационного элемента (ОЕ) DN ENDSWITH Уникальное имя организационной единицы.
    Группа для определения области ISMEMBEROF Отличительное имя группы безопасности.

    Снимок экрана, который показывает фильтры охвата правил синхронизации.

  5. На странице правил присоединения нажмите кнопку "Далее".

  6. На странице "Преобразования" добавьте преобразование Константы: исходное значение True для атрибута cloudNoFlow. Нажмите кнопку "Добавить".

    Снимок экрана: преобразования правил синхронизации.

Выполните те же действия для всех типов объектов (пользователь, группа и контакт). Повторите шаги в соответствии с настроенным соединителем Active Directory или лесом Active Directory.

Создание настраиваемого правила исходящего трафика пользователя

Вам потребуется исходящее правило синхронизации с типом связи JoinNoFlow и фильтром области, в котором атрибут cloudNoFlow установлен на True. Это правило указывает Microsoft Entra Connect не выполнять синхронизацию атрибутов для этих пользователей. Дополнительные сведения см. в разделе "Миграция в Microsoft Entra Cloud Sync ", прежде чем пытаться перенести рабочую среду.

  1. В разделе "Направление" выберите исходящий трафик из раскрывающегося списка. Затем нажмите кнопку "Добавить правило".

    Снимок экрана: правила синхронизации исходящего трафика.

  2. На странице описания введите следующие значения и нажмите кнопку "Далее".

    • Имя: присвойте правилу понятное имя.
    • Описание. Добавление понятного описания.
      • Подключенная система: выберите соединитель Microsoft Entra, для которого вы пишете настраиваемое правило синхронизации.
      • Тип подключенного системного объекта: выберите пользователя.
      • Тип объекта metaverse: select person.
      • Тип ссылки: Select JoinNoFlow.
      • Приоритет. Укажите значение, уникальное в системе.
      • Тег. Оставьте это поле пустым.

    Снимок экрана: описание правила синхронизации.

  3. На странице фильтра охвата для атрибута выберите cloudNoFlow. Для параметра "Значение" выберите "True". Затем нажмите кнопку "Далее".

    Снимок экрана, показывающий пользовательское правило.

  4. На странице правил присоединения нажмите кнопку "Далее".

  5. На странице "Преобразования" нажмите кнопку "Добавить".

Выполните те же действия для всех типов объектов (пользователь, группа и контакт).

Установка агента подготовки Microsoft Entra

Если вы используете учебник по базовой среде Active Directory и Azure , используйте CP1. Чтобы установить агент, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора гибридных идентификаторов.

  2. На левой панели выберите Entra Connect и нажмите кнопку "Облачная синхронизация".

    Снимок экрана: экран

  3. На левой панели выберите "Агенты".

  4. Выберите "Скачать локальный агент" и нажмите кнопку "Принять условия" и "Скачать".

    Снимок экрана: скачивание агента.

  5. После скачивания пакета агента подготовки Microsoft Entra Connect запустите файл установки AADConnectProvisioningAgentSetup.exe из папки загрузки.

  6. На открываемом экране установите флажок "Я согласен с условиями лицензии " и нажмите кнопку "Установить".

    Снимок экрана, показывающий условия лицензирования пакета Microsoft Entra Provisioning Agent.

  7. После завершения установки откроется мастер настройки. Выберите «Далее», чтобы начать конфигурацию.

    Снимок экрана: экран приветствия.

  8. Войдите в систему, используя учетную запись, которая имеет как минимум роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите расширенную безопасность Internet Explorer и перезапустите установку пакета агента подготовки Microsoft Entra.

    Снимок экрана: экран идентификатора Microsoft Entra Connect.

  9. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в вашем домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA". Система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из двух вариантов:

    • Создание gMSA: Позвольте агенту создать управляемую учетную запись службы provAgentgMSA$. Учетная запись управляемой групповой службы (например, CONTOSO\provAgentgMSA$) создается в том же домене Active Directory, где присоединен сервер. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
    • Используйте настраиваемую gMSA: укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.

    Снимок экрана: настройка управляемой учетной записи службы группы.

  10. Чтобы продолжить, нажмите кнопку "Далее".

  11. На экране Connect Active Directory , если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и выберите "Добавить каталог".

    Снимок экрана: настроенные домены.

  12. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или он изменился во время установки агента, необходимо перенастроить агента с новыми учетными данными. Эта операция добавляет ваш локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".

  13. Нажмите кнопку "Далее ", чтобы продолжить.

  14. На полном экране "Конфигурация" нажмите кнопку "Подтвердить". Эта операция регистрирует и перезапускает агент.

    Снимок экрана: экран завершения.

  15. После завершения операции вы увидите уведомление о том, что конфигурация агента успешно проверена. Нажмите кнопку "Выйти". Если вы по-прежнему получаете начальный экран, нажмите кнопку "Закрыть".

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, на котором выполняется агент.

Проверка агента на портале Azure

Чтобы удостовериться, что Microsoft Entra ID регистрирует агента, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора гибридных идентификаторов.

  2. Выберите Entra Connect и выберите "Облачная синхронизация".

    Снимок экрана: экран

  3. На странице "Облачная синхронизация" щелкните "Агенты ", чтобы просмотреть установленные агенты. Убедитесь, что агент отображается и что состояние активно.

Проверка агента на локальном сервере

Чтобы убедиться, что агент работает, выполните следующие действия.

  1. Войдите на сервер, используя учетную запись администратора.

  2. Перейдите к службам. Вы также можете использовать start/Run/Services.msc , чтобы добраться до него.

  3. В разделе Службы убедитесь, что Microsoft Azure AD Connect Agent Updater и Microsoft Azure AD Connect Provisioning Агент присутствуют и что статус Запущено.

    Снимок экрана: службы Windows.

Проверьте версию агента обеспечения

Чтобы проверить версию запущенного агента, выполните следующие шаги.

  1. Перейдите в раздел C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Щелкните правой кнопкой мыши AADConnectProvisioningAgent.exe и выберите пункт "Свойства".
  3. Перейдите на вкладку "Сведения ". Номер версии отображается рядом с версией продукта.

Настройка Microsoft Entra Cloud Sync

Чтобы настроить настройку, выполните следующие шаги.

  1. Войдите в Центр администрирования Microsoft Entra как минимум в роли Администратора гибридных идентификаторов.

  2. Перейдите к Entra ID>Entra Connect>облачная синхронизация.

    Снимок экрана: домашняя страница Microsoft Entra Connect Cloud Sync.

  1. Выберите новую конфигурацию.

    Снимок экрана: добавление конфигурации.

  2. На экране конфигурации выберите домен и включите синхронизацию хэша паролей. Затем нажмите кнопку "Создать".

    Снимок экрана: новая конфигурация.

  3. На экране "Начало работы" выберите "Добавить фильтры области" рядом с иконкой "Добавить фильтры области". Или на левой панели в разделе Управление выберите фильтры ограничения.

    Снимок экрана: фильтры области.

  4. Выберите фильтр области видимости. В этом руководстве выберите Выбранные организационные единицы. Этот фильтр ограничивает конфигурацию для применения к конкретным организационным единицам.

  5. В поле введите OU=CPUsers,DC=contoso,DC=com. Снимок экрана, показывающий фильтр области применения.

  6. Нажмите кнопку "Добавить>сохранить".

Запустите планировщик

Microsoft Entra Connect Sync синхронизирует изменения, происходящие в локальном каталоге с помощью планировщика. Теперь, когда вы изменили правила, можно перезапустить планировщик.

  1. На сервере, на котором выполняется синхронизация Microsoft Entra Connect, откройте PowerShell с правами администратора.
  2. Запустите Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Запустите Start-ADSyncSyncCycle. Затем выберите Enter.

Примечание.

Если вы используете собственный настраиваемый планировщик для Microsoft Entra Connect синхронизации, включите повторно настраиваемый планировщик синхронизации.

После включения планировщика Microsoft Entra Connect перестает экспортировать любые изменения объектов с cloudNoFlow=true в метавселенной, если не обновляется какой-либо ссылочный атрибут (например, manager). Если в объекте есть какое-либо обновление ссылочного атрибута, Microsoft Entra Connect игнорирует cloudNoFlow сигнал и экспортирует все обновления в объекте.

Устранение неполадок

Если пилотный проект не работает должным образом, вернитесь к настройке синхронизации Microsoft Entra Connect.

  1. Отключите конфигурацию обеспечения на портале.
  2. Используйте редактор правил синхронизации, чтобы отключить все пользовательские правила синхронизации, созданные для облачного управления. Отключение приводит к полной синхронизации всех соединителей.

Связанный контент

  • Last updated on