教程 - 为现有的已同步 AD 林迁移到 Microsoft Entra 云同步 - Microsoft Entra ID

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

更新 Microsoft Entra Connect

至少应安装 Microsoft Entra Connect 1.4.32.0。若要更新 Microsoft Entra Connect Sync，请完成 Microsoft Entra Connect：升级到最新版本中的步骤。

备份 Microsoft Entra Connect 配置

在进行任何更改之前，都应该备份 Microsoft Entra Connect 配置。这样，就可以回滚到以前的配置。有关详细信息，请参阅导入和导出 Microsoft Entra Connect 配置设置。

停止计划程序

Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。若要修改和添加自定义规则，可以禁用该计划程序，以便在进行更改时不会运行同步。若要停止计划程序，请执行以下步骤：

在运行 Microsoft Entra Connect Sync 的服务器上，使用管理特权打开 PowerShell。

运行


    Stop-ADSyncSyncCycle

。按 Enter。

运行


    Set-ADSyncScheduler -SyncCycleEnabled $false

。

如果你正在运行自己的用于 Microsoft Entra Connect Sync 的自定义计划程序，请禁用该计划程序。

创建自定义用户入站规则

在 Microsoft Entra Connect 同步规则编辑器中，需要创建入站同步规则，以筛选出之前标识的 OU 中的用户。入站同步规则是目标属性为 cloudNoFlow 的联接规则。此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。有关详细信息，请在尝试迁移生产环境之前参阅迁移到云同步文档。

从桌面上的应用程序菜单启动同步编辑器，如下所示：

在“方向”下拉列表中选择“入站”，然后选择“添加新规则”。

在“说明”页上，输入以下内容并选择“下一步”：

名称： 为规则指定一个有意义的名称

说明： 添加有意义的说明

连接的系统： 选择要为其编写自定义同步规则的 AD 连接器

连接的系统对象类型： 用户

Metaverse 对象类型： 人员

链接类型： 联接

优先顺序： 提供在系统中唯一的值

标记： 将此项留空

在“范围筛选器”页上，输入试运行所依据的 OU 或安全组。若要按 OU 筛选，请添加可分辨名称的 OU 部分。此规则将应用到该 OU 中的所有用户。因此，如果 DN 以“OU=CPUsers,DC=contoso,DC=com”结尾，请添加此筛选器。然后，选择“下一步”。

Attribute

需要针对所有对象类型（用户、组和联系人）遵循相同的步骤。针对配置的每个 AD 连接器/每个 AD 林重复这些步骤。

创建自定义用户出站规则

还需要一个链接类型为 JoinNoFlow 的出站同步规则，以及将 cloudNoFlow 属性设置为 True 的范围筛选器。此规则将告知 Microsoft Entra Connect 不要同步这些用户的属性。有关详细信息，请在尝试迁移生产环境之前参阅迁移到云同步文档。

在“方向”下拉列表中选择“出站”，然后选择“添加规则”。

在“说明”页上，输入以下内容并选择“下一步”：

名称： 为规则指定一个有意义的名称

说明： 添加有意义的说明

连接的系统： 选择要为其编写自定义同步规则的 Microsoft Entra 连接器

连接的系统对象类型： 用户

Metaverse 对象类型： 人员

链接类型： JoinNoFlow

优先顺序： 提供在系统中唯一的值

标记： 将此项留空

在“范围筛选器”页上，选择“cloudNoFlow”、“等于”、“True”。然后，选择“下一步”。

在“联接”规则页上，选择“下一步”。

在“转换”页上选择“添加”。

需要针对所有对象类型（用户、组和联系人）遵循相同的步骤。

安装 Microsoft Entra 预配代理

如果使用的是基本 AD 和 Azure 环境教程，则该服务器是 CP1。若要安装代理，请执行以下步骤：

在 Azure 门户中，选择“ Microsoft Entra ID ”。

在左侧，选择“ Microsoft Entra Connect ”。

在左侧选择“云同步”。

Microsoft Entra Connect 预配代理包 下载后，请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件 。

为美国政府云安装时，请使用：
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
有关详细信息，请参阅“ 在美国政府云中安装代理 ”。

在初始屏幕上选择“我同意许可条款和条件”，然后选择“安装”。

在“配置服务帐户”屏幕上，选择一个组托管服务帐户 (gMSA)。此帐户用于运行代理服务。如果另一个代理已在域中配置托管服务帐户，并且你要安装第二个代理，请选择“ 创建 gMSA ”，因为系统会检测现有帐户，并添加新代理使用 gMSA 帐户所需的权限。在出现提示时，选择下列项之一：

“创建 gMSA”，此选项允许代理为你创建 provAgentgMSA$ 托管服务帐户。组托管服务帐户（例如 CONTOSO\provAgentgMSA$）将在主机服务器加入的同一 Active Directory 域中创建。若要使用此选项，请输入 Active Directory 域管理员凭据（推荐）。

使用自定义 gMSA 并提供你已为此任务手动创建的托管服务帐户的名称。

若要继续操作，请选择“下一步”。

在“连接 Active Directory”屏幕上，如果域名显示在“配置的域”下，请跳到下一步。否则，请键入 Active Directory 域名，然后选择“添加目录”。

使用你的 Active Directory 域管理员帐户登录。域管理员帐户不应具有过期的密码。如果密码在安装期间过期或发生更改，则需要用新凭据重新配置代理。此操作将添加本地目录。选择“确定”，然后选择“下一步”以继续。

使用管理员帐户登录到服务器。

通过导航到“服务”或者转到“启动/运行/服务”，打开“服务”。

确保“ Microsoft Entra Connect Agent Updater ”和“ Microsoft Entra Connect Provisioning Agent ”包含在“ 服务 ”中，并且其状态为“ 正在运行 ”。

验证预配代理版本

若要验证正在运行的代理版本，请执行以下步骤：

导航到“C:\Program Files\Microsoft Azure AD Connect Provisioning Agent”

右键单击“AADConnectProvisioningAgent.exe”并选择属性。

点击“详细信息”选项卡，版本号将显示在“产品版本”旁边。

配置 Microsoft Entra 云同步

使用以下步骤配置预配：

至少以混合管理员的身份登录到 Microsoft Entra 管理中心。

浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步” 。

选择“新配置”。

在“配置”屏幕上，选择你的域以及是否启用密码哈希同步。单击“创建”。

Microsoft Entra Connect Sync 使用计划程序同步本地目录中发生的更改。修改规则后，接下来可以重启计划程序。请使用以下步骤：

在运行 Microsoft Entra Connect Sync 的服务器上，使用管理特权打开 PowerShell

运行 Set-ADSyncScheduler -SyncCycleEnabled $true 。

运行 Start-ADSyncSyncCycle ，然后按 Enter 。

如果你正在运行自己的用于 Microsoft Entra Connect Sync 的自定义计划程序，请弃用该计划程序。

启用计划程序后，除非正在更新任何引用属性（例如 manager ），否则 Microsoft Entra Connect 将停止导出 Metaverse 中带有 cloudNoFlow=true 的对象上的任何更改。如果对象上存在任何引用属性更新，Microsoft Entra Connect 将忽略 cloudNoFlow 信号，并导出对象上的所有更新。

如果试运行不按预期工作，可遵循以下步骤返回到 Microsoft Entra Connect Sync 设置：

在门户中禁用预配配置。

使用同步规则编辑器工具禁用为云预配创建的所有自定义同步规则。禁用后，应会在所有连接器上执行完全同步。

什么是预配？

什么是 Microsoft Entra 云同步？