Installer l’agent de provisionnement Microsoft Entra

  • Article

Cet article vous guide tout au long du processus d’installation de l’agent de provisionnement Microsoft Entra et explique comment le configurer initialement dans le centre d’administration Microsoft Entra.

Important

Les instructions d’installation suivantes supposent que vous avez respecté tous les prérequis.

Notes

Cet article traite de l’installation de l’agent d’approvisionnement à l’aide de l’Assistant. Pour plus d’informations sur l’installation de l’agent de provisionnement Microsoft Entra à l’aide d’une interface CLI, consultez Installer l’agent de provisionnement Microsoft Entra à l’aide d’une interface CLI et de PowerShell.

Pour plus d’informations et voir un exemple, regardez la vidéo suivante :

Group Managed Service Accounts

Un compte de service managé de groupe (gMSA) est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Un compte gMSA étend également cette fonctionnalité sur plusieurs serveurs. Microsoft Entra Cloud Sync prend en charge et recommande l’utilisation d’un compte gMSA pour l’exécution de l’agent. Pour plus d’informations, consultez Comptes de service administrés de groupe.

Mettre à jour un agent existant pour utiliser le compte gMSA

Pour mettre à jour un agent existant afin d’utiliser le compte gMSA créé pendant l’installation, mettez à niveau le service de l’agent avec la dernière version en exécutant AADConnectProvisioningAgent.msi. À présent, réexécutez l’Assistant d’installation et fournissez les informations d’identification pour créer le compte lorsque vous y êtes invité.

Installer l’agent

  1. Dans le portail Azure, sélectionnez Microsoft Entra ID.
  2. Sur la gauche, sélectionnez Microsoft Entra Connect.
  3. À gauche, sélectionnez Synchronisation cloud.

Screenshot of new UX screen.

  1. Sélectionnez Agent à gauche.
  2. Sélectionnez Télécharger l’agent local, puis Accepter les conditions générales et télécharger.

Screenshot of download agent.

  1. Une fois le téléchargement du package de l’agent de provisionnement Microsoft Entra Connect terminé, exécutez le fichier d’installation AADConnectProvisioningAgentSetup.exe à partir de votre dossier de téléchargements.

Remarque

Lors de l’installation pour l’utilisation du cloud du gouvernement des États-Unis :
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Pour plus d’informations, consultez « Installer un agent dans le cloud du gouvernement des États-Unis ».

  1. Dans l’écran de démarrage, sélectionnez J’accepte la licence et les conditions, puis Installer.

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. Une fois l’opération d’installation terminée, l’Assistant Configuration démarre. Sélectionnez Suivant pour démarrer la configuration. Screenshot of the welcome screen.
  2. Dans l’écran Sélectionner une extension, sélectionnez Approvisionnement piloté par les RH (Workday et SuccessFactors)/Synchronisation cloud Microsoft Entra Connect, puis cliquez sur Suivant. Screenshot of the select extensions screen.

Remarque

Si vous installez l’agent d’approvisionnement pour l’utiliser avec l’approvisionnement d’applications locales, sélectionnez Provisionnement d’applications locales (Microsoft Entra ID vers application).

  1. Connectez-vous avec votre compte d’administrateur général Microsoft Entra ou d’administrateur d’identité hybride. Si vous avez la sécurité renforcée d’Internet Explorer activée, la connexion est bloquée. Si c’est le cas, fermez l’installation, désactivez la sécurité renforcée d’Internet Explorer et redémarrez l’installation du Package de l’agent d’approvisionnement Microsoft Entra Connect.

Screenshot of the Connect Microsoft Entra ID screen.

  1. Dans l’écran Configurer le compte de service, sélectionnez un compte de service administré de groupe (gMSA). Ce compte est utilisé pour exécuter le service d’agent. Si un compte de service géré est déjà configuré dans votre domaine par un autre agent et que vous installez un deuxième agent, sélectionnez Créer gMSA, car le système détecte le compte existant et ajoute les autorisations requises pour que le nouvel agent utilise le compte gMSA. Lorsque vous y êtes invité, choisissez :
  • Créer un gMSA qui permet à l’agent de créer le compte de service administré provAgentgMSA$ pour vous. Le compte de service administré de groupe (par exemple, CONTOSO\provAgentgMSA$) est créé dans le domaine Active Directory auquel est joint le serveur hôte. Pour utiliser cette option, entrez les informations d’identification de l’administrateur de domaine Active Directory (recommandé).
  • Utilisez le gMSA personnalisé et indiquez le nom du compte de service géré que vous avez créé manuellement pour cette tâche.

Pour continuer, sélectionnez suivant.

Screenshot of the Configure Service Account screen.

  1. Dans l’écran Connecter Active Directory, si votre nom de domaine apparaît sous Domaines configurés, passez à l’étape suivante. Sinon, tapez votre nom de domaine Active Directory et sélectionnez Ajouter un annuaire.

  2. Ensuite, connectez-vous avec votre compte d’administrateur de domaine Active Directory. Le mot de passe du compte d’administrateur de domaine ne doit pas avoir expiré. En cas d’expiration ou de changement du mot de passe lors de l’installation de l’agent, vous devez reconfigurer l’agent avec les nouvelles informations d’identification. Cette opération ajoute votre annuaire local. Sélectionnez OK, puis Suivant pour continuer.

Screenshot that shows how to enter the domain admin credentials.

  1. La capture d’écran suivante montre un exemple de domaine configuré contoso.com. Sélectionnez Suivant pour continuer.

Screenshot of the Connect Active Directory screen.

  1. Dans l’écran Configuration terminée, cliquez sur Confirmer. Cette opération inscrit et redémarre l’agent.

  2. Une fois cette opération terminée, vous devez être averti que La configuration de votre agent a été vérifiée. Vous pouvez sélectionner Quitter.

Screenshot that shows the finish screen.

  1. Si vous voyez encore l’écran de démarrage initial, sélectionnez Fermer.

Vérifier l’installation de l’agent

La vérification de l’agent se produit dans le portail Azure et sur le serveur local qui exécute l’agent.

Vérification de l’agent dans le portail Azure

Pour vérifier que l’agent est inscrit par Microsoft Entra ID, procédez comme suit :

  1. Connectez-vous au portail Azure.
  2. Sélectionnez Microsoft Entra ID.
  3. Sélectionnez Microsoft Entra Connect, puis sélectionnezSynchronisation cloud. Screenshot of new UX screen.
  4. Dans la page Synchronisation cloud, vous voyez les agents que vous avez installés. Vérifiez que l’agent est affiché et que l’état est sain.

Sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

  1. Connectez-vous au serveur avec un compte Administrateur.
  2. Ouvrez Services en y accédant ou en allant dans Start/Run/Services.msc.
  3. Sous Services, assurez-vous que le Programme de mise à jour de l’agent Microsoft Entra Connect et l’Agent d’approvisionnement Microsoft Entra Connect sont présents, et que leur état est En cours d’exécution. Screenshot that shows the Windows services.

Vérifier la version de l’agent d’approvisionnement

Pour vérifier que la version de l’agent est en cours d’exécution, procédez comme suit :

  1. Accédez à « C:\Program Files\Microsoft Azure AD Connect Provisioning Agent »
  2. Cliquez avec le bouton droit sur « AADConnectProvisioningAgent.exe » et sélectionnez les propriétés.
  3. Cliquez sur l’onglet Détails et le numéro de version s’affiche à côté de la version du produit.

Important

Une fois que vous avez installé l’agent, vous devez le configurer et l’activer avant qu’il ne commence à synchroniser les utilisateurs. Pour configurer un nouvel agent, consultez Création d’une configuration pour la synchronisation cloud Microsoft Entra.

Activer la réécriture du mot de passe dans la synchronisation cloud

Vous pouvez activer la réécriture du mot de passe dans SSPR directement dans le portail ou via PowerShell.

Activer la réécriture du mot de passe dans le portail

Pour utiliser la réécriture du mot de passe et activer le service de réinitialisation de mot de passe en libre-service (SSPR) afin de détecter l’agent de synchronisation cloud, à l’aide du portail, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur de sécurité.
  2. Sur la gauche, sélectionnez Protection, puis Réinitialisation du mot de passe et choisissez Intégration locale.
  3. Cocher l’option Activer la mettre à jour du mot de passe pour les utilisateurs synchronisés.
  4. (facultatif) Si des agents de provisionnement Microsoft Entra Connect sont détectés, vous pouvez également vérifier l’option Écrire des mots de passe avec la synchronisation cloud Microsoft Entra.
  5. Activez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
  6. Quand vous êtes prêt, sélectionnez Enregistrer.

Utilisation de PowerShell

Pour utiliser la réécriture du mot de passe et activer le service de réinitialisation de mot de passe en libre-service (SSPR) pour détecter l’agent de synchronisation cloud, utilisez l’applet de commande Set-AADCloudSyncPasswordWritebackConfiguration et les informations d’identification de l’administrateur général du locataire :

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Pour plus d’informations sur l’utilisation de la réécriture de mot de passe avec la synchronisation cloud Microsoft Entra, consultez Tutoriel : Activer l’écriture différée de réinitialisation de mot de passe en libre-service de synchronisation cloud dans un environnement local (préversion).

Installer un agent dans le cloud US Government

Par défaut, l’agent de provisionnement Microsoft Entra est installé dans l’environnement Azure. Si vous installez l’agent pour l’usage du gouvernement des États-Unis, apportez cette modification à l’étape 7 de la procédure d’installation précédente :

  • Au lieu de sélectionner Ouvrir le fichier, sélectionnez Démarrer>Exécuter, puis accédez au fichier AADConnectProvisioningAgentSetup.exe. Dans la zone Exécuter, après l’exécutable, entrez ENVIRONMENTNAME=AzureUSGovernment et sélectionnez OK.

    Screenshot that shows how to install an agent in the US government cloud.

Synchronisation de hachage du mot de passe et FIPS avec synchronisation cloud

Si votre serveur a été verrouillé selon la norme FIPS (Federal Information Processing Standard), MD5 (message-digest algorithm 5) est désactivé.

Pour activer MD5 pour la synchronisation de hachage de mot de passe, procédez comme suit :

  1. Accédez à %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Ouvrez AADConnectProvisioningAgent.exe.config.
  3. Accédez au nœud configuration/runtime en haut du fichier.
  4. Ajoutez le nœud <enforceFIPSPolicy enabled="false"/>.
  5. Enregistrez vos modifications.

Pour référence, votre code devrait se présenter comme l’extrait suivant :

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Pour plus d’informations sur la sécurité et FIPS, voir Synchronisation, chiffrement et conformité à la norme FIPS du hachage de mot de passe Microsoft Entra.

Étapes suivantes