本教程引导您如何迁移到 Microsoft Entra Cloud Sync,以同步 Microsoft Entra Connect Sync 提供的 Active Directory 测试用林。
本文提供有关基本迁移的信息。 在尝试迁移生产环境之前,请查看 迁移到 Microsoft Entra Cloud Sync 文档。
本教程中,您将学习如何:
- 停止调度器。
- 创建自定义用户入站和出站规则。
- 安装预配代理。
- 验证代理安装。
- 配置 Microsoft Entra Cloud Sync。
- 重启计划程序。
注意事项
在尝试学习本教程之前,请注意以下各项:
确保熟悉 Microsoft Entra Cloud Sync 的基础知识。
确保您正在运行 Microsoft Entra Connect Sync 版本 1.4.32.0 或更高,并已按照文档配置同步规则。
确保在试点阶段,将一个测试组织单位(OU)或组从 Microsoft Entra Connect 同步范围中移除。 将对象移出范围会导致在 Microsoft Entra ID 中删除这些对象。
- Microsoft Entra ID 中的用户对象是软删除的,因此你可以还原它们。
- 硬删除Microsoft Entra ID 中的组对象,因此无法还原它们。
Microsoft Entra Connect Sync 引入了新的链接类型,这可以防止在试点方案中删除。
确保试点范围中的对象已
ms-ds-consistencyGUID填充,以便Microsoft Entra Cloud Sync 与对象硬匹配。Microsoft Entra Connect Sync 默认不会填充
ms-ds-consistencyGUID组对象。请精确按照本教程的步骤进行操作。 此配置适用于高级方案。
先决条件
以下是完成本教程所需的先决条件
- 装有 Microsoft Entra Connect Sync 版本 1.4.32.0 或更高版本的测试环境
- 处于同步范围内的 OU 或组,可在试点期间使用。 我们建议从少量的对象开始。
- 运行 Windows Server 2016 或更高版本的服务器,用于托管预配代理。
- Microsoft Entra Connect Sync 的源定位点应为 objectGuid 或 ms-ds-consistencyGUID
更新 Microsoft Entra Connect
至少应Microsoft Entra Connect 1.4.32.0。 若要更新 Microsoft Entra Connect 同步,请按照 Microsoft Entra Connect:升级到最新版本中的步骤作。
备份 Microsoft Entra Connect 配置
在进行任何更改之前,请备份 Microsoft Entra Connect 配置。 这样,就可以回滚到以前的配置。 有关详细信息,请参阅 导入和导出Microsoft Entra Connect 配置设置。
停止计划程序
Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。 若要修改和添加自定义规则,需要禁用计划程序,以便在工作并进行更改时同步不会运行。 若要停止计划程序,请执行以下步骤:
- 在运行Microsoft Entra Connect Sync 的服务器上,使用管理权限打开 PowerShell。
- 运行
Stop-ADSyncSyncCycle。 选择 Enter。 - 运行
Set-ADSyncScheduler -SyncCycleEnabled $false。
注意
如果要为 Microsoft Entra Connect Sync 运行自己的自定义计划程序,请禁用自定义同步计划程序。
创建自定义用户入站规则
在Microsoft Entra Connect 同步规则编辑器中,需要创建一个入站同步规则,用于筛选出之前标识的 OU 中的用户。 入站同步规则是一种联接规则,其目标属性为cloudNoFlow。 此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。 有关详细信息,请参阅在尝试迁移生产环境之前 迁移到 Microsoft Entra Cloud Sync 。
从桌面上的应用程序菜单中打开同步规则编辑器。
在 “方向”下,从下拉列表中选择 “入站 ”。 然后选择“ 添加新规则”。
在 “说明 ”页上,输入以下值,然后选择“ 下一步” :
- 名称:为规则指定有意义的名称。
-
说明:添加有意义的说明。
- 连接系统:选择要为其编写自定义同步规则的 Microsoft Entra 连接器。
- 连接的系统对象类型:选择 用户。
- Metaverse 对象类型:选择 人员。
- 链接类型:选择 “联接”。
- 优先级:提供系统中唯一的值。
- 标记:将此字段留空。
在 范围筛选器 页上,输入要基于试点的 OU 或安全组。 若要按 OU 筛选,请添加可分辨名称的 OU 部分。 此规则适用于该 OU 中的所有用户。 因此,如果可分辨名(DN)以
OU=CPUsers,DC=contoso,DC=com结尾,则添加此筛选器。 然后,选择“下一步”。规则 特征 操作员 值 范围 OU DNENDSWITHOU 的可分辨名称。 范围组 ISMEMBEROF安全组的可分辨名称。 
在“联接”规则页上,选择“下一步”。
在转换页上,为 cloudNoFlow 属性添加常量转换:源值为 True。 选择 “添加”。
对所有对象类型(用户、组和联系人)执行相同的步骤。 根据配置的 Active Directory 目录连接器或 Active Directory 目录林重复这些步骤。
创建自定义用户出站规则
您需要一个链接类型为 JoinNoFlow 的出站同步规则,并且范围筛选器的 cloudNoFlow 属性设置为 True。 此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。 有关详细信息,请参阅在尝试迁移生产环境之前 迁移到 Microsoft Entra Cloud Sync 。
在 “方向”下,从下拉列表中选择“ 出站 ”。 然后选择 “添加规则”。
在 “说明 ”页上,输入以下值,然后选择“ 下一步” :
- 名称:为规则指定有意义的名称。
-
说明:添加有意义的说明。
- 连接系统:选择要为其编写自定义同步规则的 Microsoft Entra 连接器。
- 连接的系统对象类型:选择 用户。
- Metaverse 对象类型:选择 人员。
- 链接类型:选择 JoinNoFlow。
- 优先级:提供系统中唯一的值。
- 标记:将此字段留空。
在范围筛选器页上,针对属性选择cloudNoFlow。 对于 值,请选择 真。 然后,选择“下一步”。
在“ 加入规则 ”页上,选择“ 下一步”。
在“转换”页上选择“添加”。
对所有对象类型(用户、组和联系人)执行相同的步骤。
安装 Microsoft Entra 预配代理
如果使用 基本 Active Directory 和 Azure 环境 教程,请使用 CP1。 若要安装代理,请执行以下步骤。
在 Azure 门户中,选择 Microsoft Entra ID。
在左侧窗格中,选择“Microsoft Entra Connect”,然后选择“云同步”。
在左侧窗格中,选择“代理”。
选择“下载本地代理”,然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后,请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。
注意
为美国政府云执行安装时,请使用 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment。 有关详细信息,请参阅在 美国政府云中安装代理。
在打开的屏幕上,选中“我同意许可条款和条件”复选框,然后选择“安装”。
在安装完成后,会打开配置向导。 选择“下一步”以开始配置。
在“选择扩展”屏幕上,选择“HR 驱动的预配(Workday 和 SuccessFactors)/Azure AD Connect 云同步”,然后选择“下一步”。
注意
如果安装预配代理以用于 Microsoft Entra 本地应用程序预配,请选择本地应用程序预配(Microsoft Entra ID 到应用程序)。
使用至少具有 混合标识管理员 角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性,那么它会阻止登录。 如果是,请关闭安装, 禁用 Internet Explorer 增强的安全性,并重启 Microsoft Entra Connect 预配代理包安装。
在“配置服务帐户”屏幕上,选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果已在域中由另一个代理配置托管服务帐户,并且你要安装第二个代理,请选择“创建 gMSA”。 系统检测现有帐户,并添加新代理使用 gMSA 帐户所需的权限。 出现提示时,请选择下面两个选项之一:
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
CONTOSO\provAgentgMSA$)是在主机服务器加入的同一 Active Directory 域中创建的。 若要使用此选项,请输入 Active Directory 域管理员凭据(推荐)。 - 使用自定义 gMSA:提供你已为此任务手动创建的托管服务帐户的名称。
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
若要继续操作,请选择“下一步”。
在“连接 Active Directory”屏幕上,如果域名显示在“配置的域”下,请跳到下一步。 否则,请输入你的 Active Directory 域名,然后选择“添加目录”。
使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改,请使用新凭据重新配置代理。 此操作将添加本地目录。 选择“确定”,然后选择“下一步”以继续。
以下屏幕截图显示了为 contoso.com 配置的域示例。 选择“下一步”继续。
在“配置完成”屏幕上,选择“确认”。 此操作注册并重新启动代理。
操作完成后,会显示一条通知,指出代理配置已成功验证。 选择 “退出”。
如果仍然显示初始屏幕,请单击“关闭”。
验证代理安装
代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。
在 Azure 门户中验证代理
若要验证 Microsoft Entra ID 是否注册代理,请执行以下步骤:
登录到 Azure 门户。
选择“Microsoft Entra ID”。
选择“Microsoft Entra Connect”,然后选择“云同步”。
在“云同步”页上,你会看到已安装的代理。 验证代理是否显示以及状态是否为“正常”。
验证本地服务器上的代理
若要验证代理是否正在运行,请执行以下步骤:
使用管理员帐户登录到服务器。
转到“服务”。 还可以使用 Start/Run/Services.msc 来访问它。
确保“Microsoft Entra Connect 代理更新程序”和“Microsoft Entra Connect 预配代理”包含在“服务”中,并且其状态为“正在运行”。
验证预配代理版本
若要验证正在运行的代理版本,请执行以下步骤:
- 转到 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent。
- 右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
- 选择“详细信息”选项卡。版本号显示在产品版本旁边。
配置 Microsoft Entra 云同步
若要配置预配,请执行以下步骤:
以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
选择“新配置”。
在配置屏幕上,选择域以及是否启用密码哈希同步。然后选择“ 创建”。
在开始使用屏幕上,选择添加范围筛选器图标旁边的添加范围筛选器。 或在“ 管理”下的左窗格中,选择“ 范围筛选器”。
选择范围筛选器。 对于本教程,请选择 “所选组织单位”。 此筛选器将配置范围限定为适用于特定的 OU。
在框中,输入 OU=CPUsers,DC=contoso,DC=com。
选择 “添加>保存”。
启动计划程序
Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。 修改规则后,可以重启计划程序。
- 在运行Microsoft Entra Connect Sync 的服务器上,使用管理员权限打开 PowerShell。
- 运行
Set-ADSyncScheduler -SyncCycleEnabled $true。 - 运行
Start-ADSyncSyncCycle。 然后选择 Enter。
注意
如果要为 Microsoft Entra Connect Sync 运行自己的自定义计划程序,请重新允许自定义同步计划程序。
启用计划程序后,Microsoft Entra Connect 停止导出 metaverse 中对象 cloudNoFlow=true 的任何更改,除非更新了任何引用属性(例如 manager)。 如果对象上有任何引用属性更新,Microsoft Entra Connect 将 cloudNoFlow 忽略信号并导出对象上的所有更新。
故障排除
如果试点无法按预期工作,请返回到 Microsoft Entra Connect 同步设置。
- 在门户中禁用预配配置。
- 使用同步规则编辑器工具禁用为云预配创建的所有自定义同步规则。 禁用会导致所有连接器完全同步。