Kurz: Integrace jedné doménové struktury s jedním tenantem Microsoft Entra

  • Článek

Tento kurz vás provede vytvořením prostředí hybridní identity pomocí Synchronizace cloudu Microsoft Entra.

Diagram znázorňující tok Microsoft Entra Cloud Sync

Prostředí, které vytvoříte v tomto kurzu, můžete použít k testování nebo k seznámení se synchronizací cloudu.

Požadavky

V Centru pro správu Microsoft Entra

  1. Vytvořte v tenantovi Microsoft Entra účet globálního Správa istratoru jen pro cloud. Tímto způsobem můžete spravovat konfiguraci vašeho tenanta, pokud vaše místní služby selžou nebo nebudou dostupné. Přečtěte si o přidání globálního účtu globálního Správa istratoru jen pro cloud. Dokončení tohoto kroku je důležité, abyste se ujistili, že se z tenanta nezamknete.
  2. Přidejte do tenanta Microsoft Entra jeden nebo více vlastních názvů domén. Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.

V místním prostředí

  1. Identifikace hostitelského serveru připojeného k doméně s Windows Serverem 2016 nebo novějším s minimálně 4 GB paměti RAM a modulem runtime .NET 4.7.1 nebo novějším

  2. Pokud je mezi vašimi servery a Microsoft Entra ID brána firewall, nakonfigurujte následující položky:

    • Ujistěte se, že agenti můžou provádět odchozí požadavky na ID Microsoft Entra přes následující porty:

      Číslo portu K čemu slouží
      80 Stáhne seznamy odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL.
      443 Přes tento port se zpracovává veškerá odchozí komunikace se službou.
      8080 (volitelné) Agenti hlásí svůj stav každých 10 minut přes port 8080, pokud port 443 není dostupný. Tento stav se zobrazí na portálu.

      Pokud vaše brána firewall vynucuje pravidla v závislosti na zdroji uživatelů, otevřete tyto porty pro přenos ze služeb pro Windows, které běží jako síťové služby.

    • Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení t k *.msappproxy.net a *.servicebus.windows.net. Pokud ne, povolte přístup k rozsahům IP adres datacentra Azure, které se aktualizují každý týden.

    • Vaši agenti potřebují přístup k login.windows.net a login.microsoftonline.com pro počáteční registraci. Otevřete svou bránu firewall také pro tyto adresy URL.

    • Pro ověření certifikátu odblokujte následující adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 a www.microsoft.com:80. Vzhledem k tomu, že se tyto adresy URL používají k ověřování certifikátů u jiných produktů Microsoftu, můžete už tyto adresy URL odblokovat.

Instalace agenta zřizování Microsoft Entra

Pokud používáte kurz základní služby AD a prostředí Azure, bude to DC1. Chcete-li nainstalovat agenta, postupujte takto:

  1. Na webu Azure Portal vyberte ID Microsoft Entra.
  2. Vlevo vyberte Připojení Microsoft Entra.
  3. Na levé straně vyberte cloudovou synchronizaci.

Snímek obrazovky s novým uživatelským prostředím

  1. Na levé straně vyberte Agent.
  2. Vyberte Stáhnout místního agenta a vyberte Přijmout podmínky a stáhnout.

Snímek obrazovky agenta pro stahování

  1. Po dokončení stahování balíčku agenta zřizování Microsoft Entra Připojení spusťte instalační soubor AAD Připojení ProvisioningAgentSetup.exe ze složky pro stahování.

Poznámka:

Při instalaci pro cloud státní správy USA použijte:
AAD Připojení ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Další informace najdete v tématu Instalace agenta v cloudu státní správy USA.

  1. Na úvodní obrazovce vyberte Souhlasím s licencí a podmínkami a pak vyberte Nainstalovat.

Snímek obrazovky znázorňující úvodní obrazovku balíčku agenta zřizování Microsoft Entra Připojení

  1. Po dokončení instalace se spustí průvodce konfigurací. Výběrem možnosti Další spusťte konfiguraci. Snímek obrazovky s úvodní obrazovkou
  2. Na obrazovce Vybrat rozšíření vyberte zřizování řízené hrou (Workday a SuccessFactors) / Microsoft Entra Připojení synchronizaci cloudu a klikněte na Další. Snímek obrazovky s výběrem rozšíření

Poznámka:

Pokud instalujete agenta zřizování pro použití s místním zřizováním aplikací, vyberte místní zřizování aplikací (Microsoft Entra ID pro aplikaci).

  1. Přihlaste se pomocí účtu Microsoft Entra Global Správa istrator nebo hybridní identity Správa istrator. Pokud máte povolené rozšířené zabezpečení Internet Exploreru, zablokuje se přihlášení. Pokud ano, zavřete instalaci, zakažte rozšířené zabezpečení aplikace Internet Explorer a restartujte instalaci balíčku agenta zřizování microsoft Entra Připojení.

Snímek obrazovky s Připojení ID Microsoft Entra

  1. Na obrazovce Konfigurovat účet služby vyberte skupinu Účet spravované služby (gMSA). Tento účet slouží ke spuštění služby agenta. Pokud už je účet spravované služby ve vaší doméně nakonfigurovaný jiným agentem a instalujete druhého agenta, vyberte Vytvořit gMSA , protože systém zjistí existující účet a přidá požadovaná oprávnění pro nového agenta, aby používal účet gMSA. Po zobrazení výzvy zvolte jednu z těchto:
  • Vytvořte gMSA , který umožňuje agentovi vytvořit účet spravované služby provAgentgMSA$ za vás. Účet spravované služby skupiny (například CONTOSO\provAgentgMSA$) se vytvoří ve stejné doméně služby Active Directory, do které je hostitelský server připojený. Pokud chcete tuto možnost použít, zadejte přihlašovací údaje správce domény služby Active Directory (doporučeno).
  • Použijte vlastní účet gMSA a zadejte název účtu spravované služby, který jste pro tuto úlohu vytvořili ručně.

Pokračujte výběrem tlačítka Next (Další).

Snímek obrazovky Konfigurovat účet služby

  1. Pokud se na obrazovce Připojení Active Directory zobrazí název vaší domény v části Nakonfigurované domény, přejděte k dalšímu kroku. V opačném případě zadejte název domény služby Active Directory a vyberte Přidat adresář.

  2. Přihlaste se pomocí účtu správce domény služby Active Directory. Účet správce domény by neměl mít heslo, jehož platnost vypršela. V případě, že vypršela platnost hesla nebo se během instalace agenta změní, budete muset agenta znovu nakonfigurovat pomocí nových přihlašovacích údajů. Tato operace přidá místní adresář. Vyberte OK a pak pokračujte výběrem možnosti Další .

Snímek obrazovky, který ukazuje, jak zadat přihlašovací údaje správce domény

  1. Následující snímek obrazovky ukazuje příklad contoso.com nakonfigurované domény. Pokračujte výběrem tlačítka Další.

Snímek obrazovky Připojení Active Directory

  1. Na obrazovce Dokončení konfigurace vyberte Potvrdit. Tato operace zaregistruje a restartuje agenta.

  2. Po dokončení této operace byste měli být upozorněni, že konfigurace agenta byla úspěšně ověřena. Můžete vybrat Možnost Ukončit.

Snímek obrazovky znázorňující obrazovku dokončení

  1. Pokud se vám stále zobrazuje úvodní obrazovka, vyberte Zavřít.

Ověření instalace agenta

K ověření agenta dochází na webu Azure Portal a na místním serveru, na kterém běží agent.

Ověření agenta na webu Azure Portal

Pokud chcete ověřit, že agent je zaregistrovaný pomocí ID Microsoft Entra, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Vyberte Microsoft Entra ID.
  3. Vyberte Microsoft Entra Připojení a pak vyberte Cloud sync.Snímek obrazovky s novým uživatelským prostředím
  4. Na stránce synchronizace cloudu uvidíte agenty, které jste nainstalovali. Ověřte, že se agent zobrazí a stav je v pořádku.

Na místním serveru

Pokud chcete ověřit, že je agent spuštěný, postupujte takto:

  1. Přihlaste se k serveru pomocí účtu správce.
  2. Otevřete služby tak, že na ni přejdete nebo přejdete na Start/Run/Services.msc.
  3. V části Služby se ujistěte, že je k dispozici Microsoft Entra Připojení Agent Updater a Microsoft Entra Připojení Provisioning Agent a stav Spuštěno. Snímek obrazovky znázorňující služby systému Windows

Ověření verze agenta zřizování

Pokud chcete ověřit, že je spuštěná verze agenta, postupujte takto:

  1. Přejděte na C:\Program Files\Microsoft Azure AD Připojení Provisioning Agent.
  2. Klikněte pravým tlačítkem na AAD Připojení ProvisioningAgent.exe a vyberte vlastnosti.
  3. Klikněte na kartu podrobností a vedle verze produktu se zobrazí číslo verze.

Konfigurace Microsoft Entra Cloud Sync

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Pomocí následujících kroků nakonfigurujte a spusťte zřizování:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní Správa istrator.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Připojení> Cloud synchronizace.Snímek obrazovky domovské stránky synchronizace cloudu
  1. Výběr nové konfigurace
  2. Na konfigurační obrazovce zadejte e-mail s oznámením, přesuňte selektor na Povolit a vyberte Uložit.
  3. Stav konfigurace by teď měl být v pořádku.

Ověřte, že se uživatelé vytvářejí a dochází k synchronizaci.

Teď ověříte, že uživatelé, které jste měli v místním adresáři, které jsou v rozsahu synchronizace, byly synchronizovány a teď existují ve vašem tenantovi Microsoft Entra. Dokončení operace synchronizace může trvat několik hodin. Pokud chcete ověřit, že jsou uživatelé synchronizovaní, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator.
  2. Přejděte na Uživatele identity>.
  3. Ověřte, že se v našem tenantovi zobrazují noví uživatelé.

Testování přihlašování pomocí jednoho z vašich uživatelů

  1. Přejděte na https://myapps.microsoft.com.

  2. Přihlaste se pomocí uživatelského účtu vytvořeného ve vašem tenantovi. Budete se muset přihlásit pomocí následujícího formátu: (user@domain.onmicrosoft.com). Použijte stejné heslo, které uživatel používá k přihlášení místně.

Snímek obrazovky znázorňující portál moje aplikace se přihlášenými uživateli

Nyní jste úspěšně nakonfigurovali hybridní prostředí identit pomocí Microsoft Entra Cloud Sync.

Další kroky