Oktatóanyag: Egyetlen erdő integrálása egyetlen Microsoft Entra-bérlővel

  • Cikk

Ez az oktatóanyag bemutatja, hogyan hozhat létre hibrid identitáskörnyezetet a Microsoft Entra Cloud Sync használatával.

A Microsoft Entra Cloud Sync folyamatot bemutató ábra.

Az oktatóanyagban létrehozott környezetet tesztelésre vagy a felhőszinkronizálás megismerésére használhatja.

Előfeltételek

A Microsoft Entra Felügyeleti központban

  1. Csak felhőalapú globális Rendszergazda istrator-fiókot hozhat létre a Microsoft Entra-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások meghibásodnak vagy elérhetetlenné válnak. Megtudhatja, hogyan adhat hozzá csak felhőalapú globális Rendszergazda istrator-fiókot. A lépés végrehajtása kritikus fontosságú annak biztosításához, hogy ne zárják ki a bérlőből.
  2. Adjon hozzá egy vagy több egyéni tartománynevet a Microsoft Entra-bérlőhöz. A felhasználók ezen tartománynevek egyikével jelentkezhetnek be.

A helyszíni környezetben

  1. Azonosítsa a Windows Server 2016 vagy újabb rendszert futtató tartományhoz csatlakoztatott gazdagépkiszolgálót legalább 4 GB RAM és .NET 4.7.1+ futtatókörnyezettel

  2. Ha tűzfal van a kiszolgálók és a Microsoft Entra ID között, konfigurálja a következő elemeket:

    • Győződjön meg arról, hogy az ügynökök kimenő kéréseket intézhetnek a Microsoft Entra-azonosítóhoz az alábbi portokon keresztül:

      Portszám Használat célja
      80 Letölti a visszavont tanúsítványok listáját (CRLs) a TLS/SSL-tanúsítvány érvényesítése közben
      443 Kezeli a szolgáltatással folytatott összes kimenő kommunikációt
      8080 (nem kötelező) Az ügynökök 10 percenként jelentik az állapotukat a 8080-s porton keresztül, ha a 443-as port nem érhető el. Ez az állapot megjelenik a portálon.

      Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.

    • Ha a tűzfal vagy a proxy lehetővé teszi a biztonságos utótagok megadását, akkor adjon hozzá t kapcsolatokat a *.msappproxy.net és a *.servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure adatközpont hetente frissített IP-tartományaihoz.

    • Az ügynököknek hozzáférésre van szükségük login.windows.net és login.microsoftonline.com a kezdeti regisztrációhoz. Nyissa meg a tűzfalat ezekre az URL-ekre vonatkozóan is.

    • A tanúsítványérvényesítéshez oldja fel a következő URL-címek letiltását: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 és www.microsoft.com:80. Mivel ezeket az URL-címeket más Microsoft-termékekkel végzett tanúsítványérvényesítéshez használják, előfordulhat, hogy már feloldotta ezeket az URL-címeket.

A Microsoft Entra kiépítési ügynök telepítése

Ha alapszintű AD- és Azure-környezeti oktatóanyagot használ, az DC1 lesz. Az ügynök telepítéséhez kövesse az alábbi lépéseket:

  1. Az Azure Portalon válassza a Microsoft Entra-azonosítót.
  2. A bal oldalon válassza a Microsoft Entra Csatlakozás lehetőséget.
  3. A bal oldalon válassza a Felhőszinkronizálás lehetőséget.

Képernyőkép az új UX képernyőről.

  1. A bal oldalon válassza az Ügynök lehetőséget.
  2. Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.

Képernyőkép a letöltési ügynökről.

  1. Miután a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag letöltése befejeződött, futtassa az AAD Csatlakozás ProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.

Feljegyzés

Az USA kormányzati felhőszolgáltatásának telepítésekor:
AAD Csatlakozás ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.

  1. A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.

Képernyőkép a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag kezdőképernyőjéről.

  1. A telepítési művelet befejeződése után a konfigurációs varázsló elindul. Válassza a Tovább gombot a konfiguráció elindításához. Képernyőkép az üdvözlőképernyőről.
  2. A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Csatlakozás felhőszinkronizálást, és kattintson a Tovább gombra. Képernyőkép a Bővítmények kiválasztása képernyőről.

Feljegyzés

Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).

  1. Jelentkezzen be a Microsoft Entra Global Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator-fiókjával. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag telepítését.

Képernyőkép a Microsoft Entra-azonosító Csatlakozás képernyőről.

  1. A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
  • Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
  • Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.

A folytatáshoz kattintson a Tovább gombra.

Képernyőkép a Szolgáltatásfiók konfigurálása képernyőről.

  1. Ha a tartománynév a Konfigurált tartományok területen jelenik meg az Csatlakozás Active Directory képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.

  2. Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosult, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.

Képernyőkép a tartományi rendszergazda hitelesítő adatainak megadásáról.

  1. Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.

Képernyőkép a Csatlakozás Active Directory képernyőről.

  1. A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.

  2. A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.

Képernyőkép a befejezési képernyőről.

  1. Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.

Ügynök telepítésének ellenőrzése

Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.

Azure Portal-ügynök ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki a Microsoft Entra ID.
  3. Válassza a Microsoft Entra Csatlakozás, majd a Felhőszinkronizálás lehetőséget.Képernyőkép az új UX képernyőről.
  4. A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.

A helyi kiszolgálón

Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
  2. Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
  3. A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Agent Updater és a Microsoft Entra Csatlakozás Kiépítési ügynök jelen van, és az állapot fut. Képernyőkép a Windows-szolgáltatásokról.

A kiépítési ügynök verziójának ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök verziója fut-e, kövesse az alábbi lépéseket:

  1. Keresse meg a "C:\Program Files\Microsoft Azure AD Csatlakozás Kiépítési ügynök" lehetőséget
  2. Kattintson a jobb gombbal az "AAD Csatlakozás ProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
  3. Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.

A Microsoft Entra Cloud Sync konfigurálása

Tipp.

A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.

A kiépítés konfigurálásához és elindításához kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid Rendszergazda istratorként.
  2. Keresse meg az Identity>Hybrid Management>Microsoft Entra Csatlakozás> Cloud szinkronizálását.Képernyőkép a felhőszinkronizálás kezdőlapjáról.
  1. Új konfiguráció kiválasztása
  2. A konfigurációs képernyőn írjon be egy értesítési e-mailt, helyezze át a választót az engedélyezéshez, majd válassza a Mentés lehetőséget.
  3. A konfigurációs állapotnak most kifogástalannak kell lennie.

A felhasználók létrehozásának és szinkronizálásának ellenőrzése

Most ellenőrizni fogja, hogy a helyszíni címtárban a szinkronizálás hatókörébe tartozó felhasználók szinkronizálva lettek-e, és már léteznek-e a Microsoft Entra-bérlőben. A szinkronizálási művelet végrehajtása eltarthat néhány óráig. A felhasználók szinkronizálásának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
  2. Tallózással keresse meg az Identitásfelhasználók elemet>.
  3. Ellenőrizze, hogy megjelenik-e az új felhasználók a bérlőnkben

Bejelentkezés tesztelése az egyik felhasználóval

  1. Nyissa meg a következő címet a böngészőben: https://myapps.microsoft.com

  2. Jelentkezzen be a bérlőben létrehozott felhasználói fiókkal. A következő formátumban kell bejelentkeznie: (user@domain.onmicrosoft.com). Használja ugyanazt a jelszót, amelyet a felhasználó a helyszíni bejelentkezéshez használ.

Képernyőkép az alkalmazások portáljáról bejelentkezett felhasználókkal.

Most sikeresen konfigurált egy hibrid identitáskörnyezetet a Microsoft Entra Cloud Sync használatával.

Következő lépések