Oktatóanyag: Egyetlen erdő integrálása egyetlen Microsoft Entra-bérlővel
Ez az oktatóanyag bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet a Microsoft Entra Cloud Sync használatával.
Az oktatóanyagban létrehozott környezetet tesztelésre vagy a felhőszinkronizálás megismerésére használhatja.
Előfeltételek
A Microsoft Entra Felügyeleti központban
- Csak felhőalapú globális Rendszergazda istrator-fiókot hozhat létre a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan adhat hozzá csak felhőalapú globális Rendszergazda istrator-fiókot. A lépés végrehajtása kritikus fontosságú annak biztosításához, hogy ne zárják ki a bérlőből.
- Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.
A helyszíni környezetben
Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót legalább 4 GB RAM és .NET 4.7.1+ futtatókörnyezettel
Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:
Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:
Portszám Használat célja 80 Letölti a visszavont tanúsítványok listáját (CRLs) a TLS/SSL-tanúsítvány érvényesítése közben 443 Kezeli a szolgáltatással folytatott összes kimenő kommunikációt 8080 (nem kötelező) Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot megjelenik a portálon. Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.
Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, akkor adjon hozzá t kapcsolatokat a *.msappproxy.net és a *.servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure adatközpont hetente frissített IP-tartományaihoz.
Az ügynököknek hozzáférésre van szükségük login.windows.net és login.microsoftonline.com a kezdeti regisztrációhoz. Nyissa meg a tűzfalat ezekre az URL-ekre vonatkozóan is.
A tanúsítványérvényesítéshez oldja fel a következő URL-címek letiltását: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 és www.microsoft.com:80. Mivel ezeket az URL-címeket más Microsoft-termékekkel végzett tanúsítványérvényesítéshez használják, előfordulhat, hogy már feloldotta ezeket az URL-címeket.
A Microsoft Entra kiépítési ügynök telepítése
Ha alapszintű AD- és Azure-környezeti oktatóanyagot használ, az DC1 lesz. Az ügynök telepítéséhez kövesse az alábbi lépéseket:
- Az Azure Portalon válassza a Microsoft Entra-azonosítót.
- A bal oldalon válassza a Microsoft Entra Csatlakozás lehetőséget.
- A bal oldalon válassza a Felhőszinkronizálás lehetőséget.
- A bal oldalon válassza az Ügynök lehetőséget.
- Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.
- Miután a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag letöltése befejeződött, futtassa az AAD Csatlakozás ProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.
Feljegyzés
Az USA kormányzati felhőszolgáltatásának telepítésekor:
AAD Csatlakozás ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.
- A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.
- A telepítési művelet befejeződése után a konfigurációs varázsló elindul. Válassza a Tovább gombot a konfiguráció elindításához.
- A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Csatlakozás felhőszinkronizálást, és kattintson a Tovább gombra.
Feljegyzés
Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).
- Jelentkezzen be a Microsoft Entra Global Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator-fiókjával. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag telepítését.
- A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
- Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
- Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.
A folytatáshoz kattintson a Tovább gombra.
Ha a tartománynév a Konfigurált tartományok területen jelenik meg az Csatlakozás Active Directory képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.
Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosult, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.
- Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.
A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.
A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.
- Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.
Ügynök telepítésének ellenőrzése
Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.
Azure Portal-ügynök ellenőrzése
Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:
- Jelentkezzen be az Azure Portalra.
- Válassza ki a Microsoft Entra ID.
- Válassza a Microsoft Entra Csatlakozás, majd a Felhőszinkronizálás lehetőséget.
- A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.
A helyi kiszolgálón
Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:
- Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
- Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
- A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Agent Updater és a Microsoft Entra Csatlakozás Kiépítési ügynök jelen van, és az állapot fut.
A kiépítési ügynök verziójának ellenőrzése
Annak ellenőrzéséhez, hogy az ügynök verziója fut-e, kövesse az alábbi lépéseket:
- Keresse meg a "C:\Program Files\Microsoft Azure AD Csatlakozás Kiépítési ügynök" lehetőséget
- Kattintson a jobb gombbal az "AAD Csatlakozás ProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
- Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.
A Microsoft Entra Cloud Sync konfigurálása
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A kiépítés konfigurálásához és elindításához kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid Rendszergazda istratorként.
- Keresse meg az Identity>Hybrid Management>Microsoft Entra Csatlakozás> Cloud szinkronizálását.
- Új konfiguráció kiválasztása
- A konfigurációs képernyőn írjon be egy értesítési e-mailt, helyezze át a választót az engedélyezéshez, majd válassza a Mentés lehetőséget.
- A konfigurációs állapotnak most kifogástalannak kell lennie.
A felhasználók létrehozásának és szinkronizálásának ellenőrzése
Most ellenőrizni fogja, hogy a helyszíni címtárban a szinkronizálás hatókörébe tartozó felhasználók szinkronizálva lettek-e, és már léteznek-e a Microsoft Entra-bérlőben. A szinkronizálási művelet végrehajtása eltarthat néhány óráig. A felhasználók szinkronizálásának ellenőrzéséhez kövesse az alábbi lépéseket:
- Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
- Tallózással keresse meg az Identitásfelhasználók elemet>.
- Ellenőrizze, hogy megjelenik-e az új felhasználók a bérlőnkben
Bejelentkezés tesztelése az egyik felhasználóval
Nyissa meg a következő címet a böngészőben: https://myapps.microsoft.com
Jelentkezzen be a bérlőben létrehozott felhasználói fiókkal. A következő formátumban kell bejelentkeznie: (user@domain.onmicrosoft.com). Használja ugyanazt a jelszót, amelyet a felhasználó a helyszíni bejelentkezéshez használ.
Most sikeresen konfigurált egy hibrid identitáskörnyezetet a Microsoft Entra Cloud Sync használatával.