Migrar para o Microsoft Entra Cloud Sync para uma floresta do AD sincronizada existente

  • Artigo

Este tutorial orienta você sobre como migrar para a sincronização na nuvem para uma floresta de teste do Ative Directory que já está sincronizada usando o Microsoft Entra Connect Sync.

Nota

Este artigo fornece informações para uma migração básica e você deve revisar a documentação Migrando para sincronização na nuvem antes de tentar migrar seu ambiente de produção.

Diagrama que mostra o fluxo do Microsoft Entra Cloud Sync.

Considerações

Antes de tentar este tutorial, considere os seguintes itens:

  1. Certifique-se de que está familiarizado com as noções básicas de sincronização na nuvem.

  2. Verifique se você está executando o Microsoft Entra Connect Sync versão 1.4.32.0 ou posterior e se configurou as regras de sincronização conforme documentado.

  3. Ao pilotar, você removerá uma UO ou grupo de teste do escopo do Microsoft Entra Connect Sync. Mover objetos para fora do escopo leva à exclusão desses objetos no ID do Microsoft Entra.

    • Objetos de usuário, os objetos no Microsoft Entra ID são excluídos suavemente e podem ser restaurados.
    • Objetos de grupo, os objetos no Microsoft Entra ID são excluídos e não podem ser restaurados.

    Um novo tipo de link foi introduzido no Microsoft Entra Connect Sync, o que impedirá a exclusão em um cenário piloto.

  4. Certifique-se de que os objetos no escopo piloto tenham ms-ds-consistencyGUID preenchido para que a sincronização na nuvem corresponda aos objetos.

Nota

O Microsoft Entra Connect Sync não preenche ms-ds-consistencyGUID por padrão para objetos de grupo.

  1. Esta configuração é para cenários avançados. Certifique-se de seguir as etapas documentadas neste tutorial com precisão.

Pré-requisitos

A seguir estão os pré-requisitos necessários para concluir este tutorial:

  • Um ambiente de teste com o Microsoft Entra Connect Sync versão 1.4.32.0 ou posterior
  • Uma UO ou grupo que está no escopo de sincronização e pode ser usado o piloto. Recomendamos começar com um pequeno conjunto de objetos.
  • Um servidor executando o Windows Server 2016 ou posterior que hospedará o agente de provisionamento.
  • A âncora de origem para o Microsoft Entra Connect Sync deve ser objectGuid ou ms-ds-consistencyGUID

Atualizar o Microsoft Entra Connect

Como mínimo, você deve ter o Microsoft Entra Connect 1.4.32.0. Para atualizar o Microsoft Entra Connect Sync, conclua as etapas em Microsoft Entra Connect: Atualizar para a versão mais recente.

Faça backup da configuração do Microsoft Entra Connect

Antes de fazer qualquer alteração, você deve fazer backup da configuração do Microsoft Entra Connect. Dessa forma, você pode reverter para a configuração anterior. Consulte Importar e exportar definições de configuração do Microsoft Entra Connect para obter mais informações.

Pare o agendador

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Para modificar e adicionar regras personalizadas, você deseja desativar o agendador para que as sincronizações não sejam executadas enquanto você estiver trabalhando fazendo as alterações. Para parar o agendador, use as seguintes etapas:

  1. No servidor que está executando o Microsoft Entra Connect Sync, abra o PowerShell com privilégios administrativos.
  2. Execute o Stop-ADSyncSyncCycle. Pressione Enter.
  3. Execute o Set-ADSyncScheduler -SyncCycleEnabled $false.

Nota

Se você estiver executando seu próprio agendador personalizado para o Microsoft Entra Connect Sync, desative o agendador.

Criar regra de entrada de usuário personalizada

No editor de Regras de Sincronização do Microsoft Entra Connect, você precisa criar uma regra de sincronização de entrada que filtre os usuários na UO identificada anteriormente. A regra de sincronização de entrada é uma regra de junção com um atributo de destino do cloudNoFlow. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para obter mais informações, consulte Migrando para a documentação de sincronização na nuvem antes de tentar migrar seu ambiente de produção.

  1. Inicie o editor de sincronização a partir do menu do aplicativo na área de trabalho, conforme mostrado abaixo:

    Captura de ecrã do menu do editor de regras de sincronização.

  2. Selecione Entrada na lista suspensa Direção e selecione Adicionar nova regra.

    Captura de tela que mostra a janela

  3. Na página Descrição, digite o seguinte e selecione Avançar:

    • Nome: dê à regra um nome significativo
    • Descrição: adicionar uma descrição significativa
    • Sistema conectado: escolha o conector do AD para o qual você está escrevendo a regra de sincronização personalizada
    • Tipo de objeto do sistema conectado: Usuário
    • Tipo de objeto do metaverso: Pessoa
    • Tipo de link: Junte-se
    • Precedência: Forneça um valor que seja exclusivo no sistema
    • Tag: Deixe isso vazio

    Captura de ecrã que mostra a página

  4. Na página Filtro de escopo, insira a UO ou o grupo de segurança no qual você deseja que o piloto se baseie. Para filtrar a UO, adicione a parte da UO do nome distinto. Esta regra será aplicada a todos os utilizadores que estejam nessa UO. Portanto, se o DN terminar com "OU=CPUsers,DC=contoso,DC=com, você adicionará esse filtro. Em seguida, selecione Seguinte.

    Regra Atributo Operador Value
    Escopo da UO DN ENDSWITH Nome distinto da UO.
    Grupo de escopo ISMEMBRO da Nome distinto do grupo de segurança.

    Captura de tela que mostra a página Criar regra de sincronização de entrada - Filtro de escopo com um valor de filtro de escopo inserido.

  5. Na página Regras de adesão , selecione Avançar.

  6. Na página Transformações, adicione um atributo Constant transformation: flow True to cloudNoFlow. Selecione Adicionar.

    Captura de tela que mostra a página Criar regra de sincronização de entrada - Transformações com um fluxo de transformação constante adicionado.

As mesmas etapas precisam ser seguidas para todos os tipos de objeto (usuário, grupo e contato). Repita as etapas por Conector AD configurado / por floresta do AD.

Criar regra de saída de usuário personalizada

Você também precisará de uma regra de sincronização de saída com um tipo de link de JoinNoFlow e o filtro de escopo que tem o atributo cloudNoFlow definido como True. Esta regra diz ao Microsoft Entra Connect para não sincronizar atributos para esses usuários. Para obter mais informações, consulte Migrando para a documentação de sincronização na nuvem antes de tentar migrar seu ambiente de produção.

  1. Selecione Saída na lista suspensa Direção e selecione Adicionar regra.

    Captura de ecrã que mostra a Direção de Saída selecionada e o botão Adicionar nova regra realçado.

  2. Na página Descrição, digite o seguinte e selecione Avançar:

    • Nome: dê à regra um nome significativo
    • Descrição: adicionar uma descrição significativa
    • Sistema conectado: escolha o conector do Microsoft Entra para o qual você está escrevendo a regra de sincronização personalizada
    • Tipo de objeto do sistema conectado: Usuário
    • Tipo de objeto do metaverso: Pessoa
    • Tipo de link: JoinNoFlow
    • Precedência: Forneça um valor que seja exclusivo no sistema
    • Tag: Deixe isso vazio

    Captura de ecrã que mostra a página Descrição com as propriedades introduzidas.

  3. Na página Filtro de escopo, escolha cloudNoFlow igual a True. Em seguida, selecione Seguinte.

    Captura de tela que mostra uma regra personalizada.

  4. Na página Regras de adesão , selecione Avançar.

  5. Na página Transformações, selecione Adicionar.

As mesmas etapas precisam ser seguidas para todos os tipos de objeto (usuário, grupo e contato).

Instalar o agente de provisionamento do Microsoft Entra

Se você estiver usando o tutorial do ambiente Basic AD e Azure, será CP1. Para instalar o agente, siga estes passos:

  1. No portal do Azure, selecione Microsoft Entra ID.
  2. À esquerda, selecione Microsoft Entra Connect.
  3. À esquerda, selecione Cloud sync.

Captura de tela da nova tela UX.

  1. À esquerda, selecione Agente.
  2. Selecione Baixar agente local e selecione Aceitar termos & download.

Screenshot do agente de descarregamento.

  1. Depois que o pacote do Microsoft Entra Connect Provisioning Agent for baixado, execute o arquivo de instalação AADConnectProvisioningAgentSetup.exe na pasta de downloads.

Nota

Ao instalar para o uso do US Government Cloud:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Consulte "Instalar um agente na nuvem do governo dos EUA" para obter mais informações.

  1. No ecrã inicial, selecione Concordo com a licença e as condições e, em seguida, selecione Instalar.

Captura de tela que mostra a tela inicial do Microsoft Entra Connect Provisioning Agent Package.

  1. Quando a operação de instalação for concluída, o assistente de configuração será iniciado. Selecione Avançar para iniciar a configuração. Captura de ecrã do ecrã de boas-vindas.
  2. Na tela Select Extension, selecione HR-driven provisioning (Workday and SuccessFactors) / Microsoft Entra Connect cloud sync e selecione Next. Captura de tela da tela de seleção de extensões.

Nota

Se você estiver instalando o agente de provisionamento para uso com o provisionamento de aplicativo local, selecione Provisionamento de aplicativo local (ID do Microsoft Entra para aplicativo).

  1. Entre com uma conta com, pelo menos, a função de Administrador de Identidade Híbrida . Se você tiver a segurança reforçada do Internet Explorer habilitada, ela bloqueará a entrada. Em caso afirmativo, feche a instalação, desative a segurança reforçada do Internet Explorer e reinicie a instalação do Pacote do Agente de Provisionamento do Microsoft Entra Connect.

Captura de ecrã do ecrã Connect Microsoft Entra ID.

  1. Na tela Configurar Conta de Serviço, selecione uma Conta de Serviço Gerenciado (gMSA) do grupo. Essa conta é usada para executar o serviço do agente. Se uma conta de serviço gerenciado já estiver configurada em seu domínio por outro agente e você estiver instalando um segundo agente, selecione Criar gMSA porque o sistema deteta a conta existente e adiciona as permissões necessárias para que o novo agente use a conta gMSA. Quando solicitado, escolha:
  • Crie gMSA que permite que o agente crie a conta de serviço gerenciado provAgentgMSA$ para você. A conta de serviço gerenciado de grupo (por exemplo, CONTOSO\provAgentgMSA$) será criada no mesmo domínio do Ative Directory em que o servidor host ingressou. Para usar essa opção, insira as credenciais de administrador de domínio do Ative Directory (recomendado).
  • Use gMSA personalizado e forneça o nome da conta de serviço gerenciado que você criou manualmente para essa tarefa.

Para continuar, selecione Seguinte.

Captura de ecrã do ecrã Configurar Conta de Serviço.

  1. No ecrã Ligar o Ative Directory, se o seu nome de domínio aparecer em Domínios configurados, avance para o passo seguinte. Caso contrário, digite seu nome de domínio do Ative Directory e selecione Adicionar diretório.

  2. Entre com sua conta de administrador de domínio do Ative Directory. A conta de administrador de domínio não deve ter uma senha expirada. Caso a senha tenha expirado ou seja alterada durante a instalação do agente, você precisará reconfigurar o agente com as novas credenciais. Esta operação adiciona o diretório local. Selecione OK e, em seguida, selecione Avançar para continuar.

Captura de ecrã que mostra como introduzir as credenciais de administrador do domínio.

  1. A captura de tela a seguir mostra um exemplo de contoso.com domínio configurado. Selecione Seguinte para continuar.

Captura de ecrã do ecrã Ligar o Ative Directory.

  1. Na tela Configuração concluída, selecione Confirmar. Esta operação registra e reinicia o agente.

  2. Quando essa operação for concluída, você deverá ser notificado de que a configuração do seu agente foi verificada com êxito. Você pode selecionar Sair.

Captura de tela que mostra a tela de conclusão.

  1. Se você ainda receber a tela inicial inicial, selecione Fechar.

Verificar a instalação do agente

A verificação do agente ocorre no portal do Azure e no servidor local que está executando o agente.

Verificação do agente do portal do Azure

Para verificar se o agente está a ser registado pelo Microsoft Entra ID, siga estes passos:

  1. Inicie sessão no portal do Azure.
  2. Selecione Microsoft Entra ID.
  3. Selecione Microsoft Entra Connect e, em seguida, selecione Cloud sync. Captura de tela da nova tela UX.
  4. Na página de sincronização na nuvem, você verá os agentes instalados. Verifique se o agente é exibido e se o status está íntegro.

No servidor local

Para verificar se o agente está em execução, siga estas etapas:

  1. Entre no servidor com uma conta de administrador.
  2. Abra Serviços navegando até ele ou indo para Start/Run/Services.msc.
  3. Em Serviços, verifique se o Microsoft Entra Connect Agent Updater e o Microsoft Entra Connect Provisioning Agent estão presentes e se o status é Em Execução. Captura de ecrã que mostra os serviços do Windows.

Verificar a versão do agente de provisionamento

Para verificar a versão do agente que está sendo executada, execute estas etapas:

  1. Navegue até 'C:\Arquivos de Programas\Microsoft Azure AD Connect Provisioning Agent'
  2. Clique com o botão direito do rato em 'AADConnectProvisioningAgent.exe' e selecione as propriedades.
  3. Clique na guia de detalhes e o número da versão será exibido ao lado de Versão do produto.

Configurar o Microsoft Entra Cloud Sync

Use as seguintes etapas para configurar o provisionamento:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador Híbrido.
  2. Navegue até Gerenciamento híbrido de>identidade>Microsoft Entra Connect>Cloud sync.Captura de ecrã da página inicial de sincronização na nuvem.
  1. Selecione Nova configuração. Captura de ecrã a mostrar a adição de uma configuração.
  2. No ecrã de configuração, selecione o domínio e se quer ativar a sincronização do hash de palavras-passe. Clique em Criar.

Captura de ecrã de uma nova configuração.

  1. A tela Introdução será aberta.

  2. Na tela Introdução, clique em Adicionar filtros de escopo ao lado do ícone Adicionar filtros de escopo ou clique em Filtros de escopo à esquerda em Gerenciar.

Captura de tela dos filtros de escopo.

  1. Selecione o filtro de escopo. Para este tutorial, selecione:
    • Unidades organizacionais selecionadas: escopos da configuração a ser aplicada a UOs específicas.
  2. Na caixa, digite "OU=CPUsers,DC=contoso,DC=com".

Captura de tela do filtro de escopo.

  1. Clique em Adicionar. Clique em Guardar.

Iniciar o agendador

O Microsoft Entra Connect Sync sincroniza as alterações que ocorrem no diretório local usando um agendador. Agora que você modificou as regras, pode reiniciar o agendador. Utilize os passos seguintes:

  1. No servidor que está executando o Microsoft Entra Connect Sync, abra o PowerShell com privilégios administrativos
  2. Execute o Set-ADSyncScheduler -SyncCycleEnabled $true.
  3. Execute Start-ADSyncSyncCyclee, em seguida, prima Enter.

Nota

Se você estiver executando seu próprio agendador personalizado para o Microsoft Entra Connect Sync, habilite o agendador.

Quando o agendador estiver habilitado, o Microsoft Entra Connect interromperá a exportação de quaisquer alterações em objetos com cloudNoFlow=true no metaverso, a menos que qualquer atributo de referência (como manager) esteja sendo atualizado. Caso haja alguma atualização de atributo de referência no objeto, o Microsoft Entra Connect ignorará o cloudNoFlow sinal e exportará todas as atualizações no objeto.

Ocorreu um problema.

Caso o piloto não funcione como esperado, você pode voltar para a configuração do Microsoft Entra Connect Sync seguindo as etapas abaixo:

  1. Desative a configuração de provisionamento no portal.
  2. Desative todas as regras de sincronização personalizadas criadas para o Cloud Provisioning usando a ferramenta Editor de regras de sincronização. A desativação deve causar sincronização total em todos os conectores.

Próximos passos