Migrieren eines LDAP-Servers zu einer cloudbasierten Entra ID Identitätsdienst-Instanz

Jamf Pro Dokumentation 11.14.0
Solution
Application
Content Type
Technische Dokumentation
Utilities & Services
version
11.14.0
ft:locale
de-DE
vrm_version
11.14.0

Sie können Ihren LDAP-Server zu Jamf Pro migrieren, um Daten aus Entra ID zu nutzen. Mit den Testfeatures der Entra ID Migration können Sie Werte für Benutzer- und Gruppenzuordnungen verifizieren und sicherstellen, dass Ihre Verzeichnis-Workflows nach der Migration weiterhin richtig funktionieren.

Note:

Wenn die Migration abgeschlossen ist, überschreiben die im Entra ID Migrationsassistenten konfigurierten Zuweisungen die derzeit für den cloudbasierten Entra ID Identitätsdienst konfigurierten Zuweisungen.

Important:
  • Die aktuelle Version des Migrationsassistenten prüft nicht die Payload Anmeldefenster des Computers. Wenn ein Konfigurationsprofil mit der Payload Anmeldefenster in Ihrer Umgebung vorhanden ist, müssen Sie es erneut nach der Migration konfigurieren.
  • Die Migration des LDAP-Servers zu Entra ID ist ein Einweg-Verfahren und kann nicht rückgängig gemacht werden.
  • Das Migrieren der Arbeitsabläufe einer LDAP-Server-Integration zu einer cloudbasierten Entra ID Identitätsdienst bedeutet, dass Ihre Quell-LDAP-Serverkonfiguration als Migriert gekennzeichnet wird. Es werden keine Daten von ihr abgefragt.
  • Die Kommunikation mit dem LDAP-Proxy wird deaktiviert, sobald die Entra ID Migration abgeschlossen ist.
Requirements
  • Bevor Sie mit der Migration beginnen, erstellen und aktivieren Sie die Entra ID Integration in Jamf Pro.
  • Ihre Umgebung muss in der Cloud gehostet sein.
  • Sie müssen mit Ihrer Entra ID Infrastruktur vertraut sein.
  • Bevor Sie mit der Migration beginnen, muss Ihr Entra ID Verzeichnis mithilfe von Entra ID Connect mit Ihrem LDAP-Verzeichnis synchronisiert werden.
  • Vergewissern Sie sich, dass die Verbindung zum cloudbasierten Entra ID Identitätsdienst aktiviert ist, damit Jamf Pro Verzeichnisdaten vom Server abrufen kann.
  1. Klicken Sie in Jamf Pro auf Einstellungen in der Seitenleiste.
  2. Klicken Sie im Abschnitt System auf Cloudbasierte Identitätsdienste .
  3. Klicken Sie auf die Entra ID Instanz, zu der Sie Ihre Verzeichniskonfiguration migrieren möchten.
  4. Klicken Sie auf Migrieren.
  5. Wählen Sie die vorhandene Quell-LDAP-Konfiguration aus.
    Der Migrationsassistent zeigt die aktuell ausgewählte Einstellung für Transitive membership lookups (Transitive Mitgliedschaftssuchen) für Ihre Entra ID Konfiguration. Es wird eine Warnung angezeigt, wenn eine Einstellung für transitive Mitgliedschaftssuchen nicht mit der Sucheinstellung für rekursive Gruppensuchen des LDAP übereinstimmt, da dies die Mitgliedschaftsergebnisse für verschachtelte Gruppen beeinträchtigt.
  6. Klicken Sie auf Weiter.
  7. Geben Sie den in Ihrem Quellverzeichnis einen Benutzernamen in das Feld "Benutzername aus LDAP-Quelle" ein.
  8. Geben Sie den in Entra ID konfigurierten Benutzernamen eines Benutzers in das Feld "Benutzername aus Azure AD" ein.
  9. Klicken Sie auf Testen.
  10. Prüfen Sie, ob die Daten in der Spalte Status übereinstimmen. In der folgenden Tabelle sind die Status aufgelistet, die bei Tests auftreten können:
    StatusBeschreibung

    Übereinstimmung

    Die für die Zuordnungen zurückgegebenen Werte stimmen überein. Die Workflows, in denen sie verwendet werden, bleiben unberührt.

    Neu

    Die Entra ID Zuordnung gab einen Wert zurück, der nicht in der Quellkonfiguration verwendet wurde. Prüfen Sie die Einstellungen für Ihre Umgebung, um sicherzustellen, dass verzeichnisbezogene Workflows nicht beeinträchtigt werden.

    Konflikt

    Die zurückgegebenen Werte der Zuordnungen weichen voneinander ab. Die Workflows, die sie verwenden, werden beeinträchtigt und möglicherweise nicht abgeschlossen.

    Konflikte durch Groß- und Kleinschreibung

    Bei für Gruppenattributen zurückgegebenen Werten ist die Groß- und Kleinschreibung zu beachten, weswegen es zu Nichtübereinstimmungen kommt. Die Workflows, die sie verwenden, werden beeinträchtigt und möglicherweise nicht abgeschlossen.

    Nichtübereinstimmung

    Die zurückgegebenen Werte der Zuordnungen weichen voneinander ab. Die intrnenJamf Pro Workflows, in denen sie verwendet werden, bleiben unberührt. Zu den wahrscheinlichen Ursachen zählen Unterschiede in der Groß- und Kleinschreibung oder Nichtübereinstimmungen in Bezug auf Duplikate innerhalb von Erweiterungsattributen mit mehreren Werten.
    Note:

    Jamf pro wird nach einer Migration nicht beeinträchtigt, aber eine Nichtübereinstimmung kann sich auf Systeme auswirken, die für ihre Workflows auf Jamf Pro Daten angewiesen sind.

    Dies unterscheidet sich von einem Konflikt durch Groß- und Kleinschreibung, bei dem sich eine Änderung der Groß- und Kleinschreibung auf interne Jamf Pro Workflows auswirken kann.

    Leer

    Entra ID Zuordnungen geben keine Werte zurück. Prüfen Sie die Einstellungen für Ihre Umgebung, um sicherzustellen, dass verzeichnisbezogene Workflows nicht beeinträchtigt werden.

    Wenn die Schlüsseldaten nicht wie erwartet übereinstimmen, bearbeiten Sie die Entra ID Attribute, bis die Werte für Ihre Umgebung angemessen sind.
    Note:

    Die Werte müssen für Quell- und Zielkonfigurationen gleich sein, mit Ausnahme der ID, die wahrscheinlich nicht übereinstimmen wird.

    Jamf empfiehlt das Testen verschiedener Entra ID Zuordnungen, um die Anzahl der Konflikte und Nichtübereinstimmungen zu reduzieren.

    Jamf empfiehlt, mindestens drei Benutzer und drei Gruppen zu testen. Sie können einen optionalen Bericht mit der Zusammenfassung der Migration erstellen, einschließlich Standortdaten. So können Sie die Einstellungen prüfen und verifizieren, wie Werte für Benutzer und Gruppen in der neuen Konfiguration zugeordnet sind. Den Bericht finden Sie in den Details unter Verlauf in Ihrer Entra ID Identitätsdienst-Instanz oder in den Jamf Pro Mitteilungen.

  11. Klicken Sie auf Weiter.
  12. Geben Sie den in Ihrem Quellverzeichnis den Namen einer Gruppe in das Feld "Gruppenname aus LDAP-Quelle" ein.
  13. Geben Sie den Namen einer Entra ID Gruppe in das Feld "Gruppenname aus Azure AD" ein.
  14. Klicken Sie auf Testen.
  15. Prüfen Sie, ob die Daten in der Spalte Status übereinstimmen.
    Wenn die Schlüsseldaten nicht wie erwartet übereinstimmen, bearbeiten Sie die Entra ID Attribute, bis die Werte Ihrer Umgebung entsprechen.
    Note:

    Die Aktivierung von Transitiven Gruppen für SSO im Rahmen der Entra ID-Integration kann sich auf den Zugriff für Benutzer auswirken. Wenn Sie vor der Migration Entra ID SSO verwendet und Transitive Gruppen für SSO aktiviert haben, überprüfen Sie, ob die vor der Migration gewährten gruppenbasierten Berechtigungen noch korrekt sind.

  16. Klicken Sie auf Weiter, um die Zuordnungen der Erweiterungsattribute zu testen.
    Note:

    Wenn Sie die Erweiterungsattribute nicht testen möchten, klicken Sie auf Überspringen und fahren Sie mit Schritt 21 fort.

  17. Geben Sie den in Ihrem Quellverzeichnis einen Benutzernamen in das Feld "Benutzername aus LDAP-Quelle" ein.
  18. Geben Sie den in Entra ID konfigurierten Benutzernamen eines Benutzers in das Feld "Benutzername aus Azure AD" ein.
  19. Klicken Sie auf Testen.
    Note:

    the user's single device.Die Benutzerdaten basieren auf dem letzten Check-In des einzelnen Benutzergeräts. Jamf Prospeichert Benutzererweiterungsattribute innerhalb eines Eintrags für das Gerät, und der Migrationsassistent zeigt die Daten für das Gerät des Benutzers an, mit dem der letzte Check-In durchgeführt wurde. So wird sichergestellt, dass die aktuellsten Benutzerdaten verglichen werden.

  20. Klicken Sie auf Weiter.
    Note:

    Die für Benutzer und Gruppen verwendeten Zuordnungen werden im Verlauf der Entra ID Integration gespeichert. Wenn Sie den Migrationsassistenten verlassen, müssen diese Zuordnungen aus dem Verlauf der Entra ID Integration abgerufen und für die zukünftige Verwendung manuell übernommen werden.

  21. (Optional) Klicken Sie auf Generieren, um einen Bericht zu erstellen, der die zugeordneten Daten nach Abschluss des Migrationsassistenten zusammenfasst.

    Während der Berichterstellung wird ein Dialogfenster angezeigt.

    Best Practice:
    Beachten Sie Folgendes, wenn Sie den Bericht überprüfen:

    • Die vorderste Tabelle des Berichts (CSV-Datei) bietet Informationen, die Ihnen helfen, die Daten zu interpretieren.

    • Im Bericht sind nur problematische Einträge aufgelistet. Leere Registerkarten und eine geringere Zeilenanzahl in den verfügbaren Tabellen bedeuten, dass eine erfolgreichere Migration wahrscheinlicher ist.

    • Die Spalten sind paarweise angeordnet und stellen LDAP-basierte Daten in Jamf Pro sowie Daten aus Entra ID dar.

    • Die Objekte sind auf Grundlage ihres Schweregrads farbcodiert. Dabei weisen rote Elemente auf eine Nichtübereinstimmung hin, die Jamf Pro beeinträchtigt, und gelbe Elemente auf eine Nichtübereinstimmung, die Jamf Pro nicht betrifft. Objekte in weiß zeigen, dass zwar eine Übereinstimmung vorhanden ist, aber nicht übereinstimmende Daten an anderen Stellen der Zeile vorliegen.

  22. Klicken Sie auf Speichern und migrieren.
  23. Klicken Sie auf Migrieren.
    Nach Abschluss der Migration wird die LDAP-Serverkonfiguration als „Migriert“ gekennzeichnet.
Note:

Die Aktivierung von Transitiven Gruppen für SSO im Rahmen der Entra ID-Integration kann sich auf den Zugriff für Benutzer auswirken. Wenn Sie vor der Migration Entra ID SSO verwendet und Transitive Gruppen für SSO aktiviert haben, überprüfen Sie, ob die vor der Migration gewährten gruppenbasierten Berechtigungen noch korrekt sind.