Menginstal agen provisi Microsoft Entra

  • Artikel

Artikel ini memandu Anda melalui proses penginstalan untuk agen provisi Microsoft Entra dan cara mengonfigurasinya di pusat admin Microsoft Entra.

Penting

Instruksi penginstalan berikut mengasumsikan bahwa Anda telah memenuhi semua prasyarat.

Catatan

Artikel ini berkaitan dengan pemasangan agen penyedia menggunakan wizard. Untuk informasi tentang menginstal agen provisi Microsoft Entra dengan menggunakan CLI, lihat Menginstal agen provisi Microsoft Entra dengan menggunakan CLI dan PowerShell.

Untuk informasi selengkapnya dan contohnya, lihat video berikut:

Akun Layanan Terkelola Grup

Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan pengelolaan kata sandi otomatis, pengelolaan nama prinsipal layanan (SPN) yang disederhanakan, dan kemampuan untuk mendelegasikan pengelolaan ke administrator lain. GMSA juga memperluas fungsionalitas ini melalui beberapa server. Microsoft Entra Cloud Sync mendukung dan merekomendasikan penggunaan gMSA untuk menjalankan agen. Untuk informasi selengkapnya, lihat Akun Layanan Terkelola Grup.

Memperbarui agen yang ada untuk menggunakan gMSA

Untuk memperbarui agen yang ada untuk menggunakan Akun Layanan Terkelola Grup yang dibuat selama penginstalan, tingkatkan layanan agen ke versi terbaru dengan menjalankan AAD Koneksi ProvisioningAgent.msi. Sekarang jalankan melalui wizard penginstalan lagi dan berikan kredensial untuk membuat akun saat Anda diminta untuk melakukannya.

Memasang agen

  1. Di portal Azure, pilih MICROSOFT Entra ID.
  2. Di sebelah kiri, pilih Microsoft Entra Koneksi.
  3. Di sebelah kiri, pilih Sinkronisasi cloud.

Cuplikan layar UX baru.

  1. Di sebelah kiri, pilih Agen.
  2. Pilih Unduh agen lokal, dan pilih Terima syarat & unduhan.

Cuplikan layar agen unduhan.

  1. Setelah Paket Agen Provisi Microsoft Entra Koneksi selesai diunduh, jalankan file penginstalan AAD Koneksi ProvisioningAgentSetup.exe dari folder unduhan Anda.

Catatan

Saat menginstal untuk penggunaan Cloud Pemerintah AS:
AAD Koneksi ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Lihat "Instal agen di cloud pemerintah AS" untuk informasi selengkapnya.

  1. Pada layar splash, pilih Saya menyetujui lisensi dan ketentuan, lalu pilih Instal.

Cuplikan layar yang memperlihatkan layar percikan Paket Agen Provisi Microsoft Entra Koneksi.

  1. Setelah operasi penginstalan selesai, wizard konfigurasi akan diluncurkan. Pilih Berikutnya untuk memulai konfigurasi. Cuplikan layar selamat datang.
  2. Pada layar Pilih Ekstensi, pilih Provisi berbasis SDM (Workday dan SuccessFactors) / Microsoft Entra Koneksi sinkronisasi cloud dan klik Berikutnya. Cuplikan layar pilih ekstensi.

Catatan

Jika Anda menginstal agen provisi untuk digunakan dengan provisi aplikasi lokal, pilih Provisi aplikasi lokal (ID Microsoft Entra ke aplikasi).

  1. Masuk dengan akun Administrator Global atau Administrator Identitas Hibrid Microsoft Entra Anda. Jika Anda mengaktifkan keamanan yang ditingkatkan Internet Explorer, keamanan tersebut akan memblokir rincian masuk. Jika demikian, tutup penginstalan, nonaktifkan keamanan yang ditingkatkan Internet Explorer, dan mulai ulang penginstalan Microsoft Entra Koneksi Provisioning Agent Package.

Cuplikan layar Koneksi ID Microsoft Entra.

  1. Pada layar Konfigurasi Akun Layanan, pilih Grup Akun Layanan Terkelola (gMSA). Akun ini digunakan untuk menjalankan layanan agen. Jika akun layanan terkelola sudah dikonfigurasi di domain Anda oleh agen lain dan Anda menginstal agen kedua, pilih Buat gMSA karena sistem akan mendeteksi akun yang ada dan menambahkan izin yang diperlukan bagi agen baru untuk menggunakan akun gMSA. Saat diminta, pilih:
  • Buat gMSA yang memungkinkan agen membuat akun layanan terkelola provAgentgMSA$ untuk Anda. Akun layanan terkelola grup (misalnya, CONTOSO\provAgentgMSA$) akan dibuat di domain Direktori Aktif yang sama tempat server host bergabung. Untuk menggunakan opsi ini, masukkan kredensial administrator domain Direktori Aktif (disarankan).
  • Gunakan gMSA kustom dan berikan nama akun layanan terkelola yang telah Anda buat secara manual untuk tugas ini.

Untuk melanjutkan, pilih Berikutnya.

Cuplikan layar Konfigurasi Akun Layanan.

  1. Pada layar Koneksi Active Directory, jika nama domain Anda muncul di bawah Domain yang dikonfigurasi, lewati ke langkah berikutnya. Jika tidak, ketik nama domain Active Directory Anda, dan pilih Tambahkan direktori.

  2. Masuk dengan akun administrator domain Direktori Aktif Anda. Akun administrator domain tidak boleh memiliki kata sandi yang kedaluwarsa. Jika kata sandi kedaluwarsa atau berubah selama penginstalan agen, Anda harus mengonfigurasi ulang agen dengan kredensial baru. Operasi ini akan menambahkan direktori lokal Anda. Pilih OK, lalu pilih Berikutnya untuk melanjutkan.

Cuplikan layar yang memperlihatkan cara memasukkan kredensial admin domain.

  1. Cuplikan layar berikut menunjukkan contoh domain yang dikonfigurasi contoso.com. Untuk melanjutkan, klik Berikutnya.

Cuplikan layar Koneksi Active Directory.

  1. Pada layar Konfigurasi selesai, pilih Konfirmasi. Operasi ini akan mendaftarkan dan memulai ulang agen.

  2. Setelah operasi ini selesai, Anda harus diberi tahu bahwa konfigurasi agen Anda berhasil diverifikasi. Anda dapat memilih Keluar.

Cuplikan layar yang memperlihatkan layar selesai.

  1. Jika Anda masih mendapatkan layar percikan awal, pilih Tutup.

Memverifikasi penginstalan agen

Verifikasi agen terjadi di portal Microsoft Azure dan di server lokal yang menjalankan agen.

Memverifikasi agen portal Microsoft Azure

Untuk memverifikasi bahwa agen sedang didaftarkan oleh ID Microsoft Entra, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.
  2. Pilih Microsoft Entra ID.
  3. Pilih Microsoft Entra Koneksi, lalu pilih Sinkronisasi cloud.Cuplikan layar UX baru.
  4. Pada halaman sinkronisasi cloud, Anda akan melihat agen yang telah Anda instal. Verifikasi bahwa agen ditampilkan dan statusnya sehat.

Di server lokal

Untuk memverifikasi bahwa agen berjalan, ikuti langkah berikut:

  1. Masuk ke server menggunakan akun administrator.
  2. Buka Layanan baik dengan menavigasi ke layanan atau dengan masuk ke Start/Run/Services.msc.
  3. Di bawah Layanan, pastikan Microsoft Entra Koneksi Agent Updater dan Microsoft Entra Koneksi Provisioning Agent ada dan statusnya Berjalan. Cuplikan layar yang memperlihatkan layanan Windows.

Memverifikasi versi agen provisi

Untuk memverifikasi bahwa versi agen yang berjalan, ikuti langkah-langkah berikut:

  1. Navigasi ke 'C:\Program Files\Microsoft Azure AD Koneksi Provisioning Agent'
  2. Klik kanan pada 'AAD Koneksi ProvisioningAgent.exe' dan pilih properti.
  3. Klik tab detail dan nomor versi akan ditampilkan di samping Versi produk.

Penting

Setelah menginstal agen, Anda harus mengonfigurasi dan mengaktifkannya sebelum akan mulai menyinkronkan pengguna. Untuk mengonfigurasi agen baru, lihat Membuat konfigurasi baru untuk Microsoft Entra Cloud Sync.

Mengaktifkan tulis balik kata sandi dalam sinkronisasi cloud

Anda dapat mengaktifkan tulis balik kata sandi di SSPR langsung di portal atau melalui PowerShell.

Mengaktifkan tulis balik kata sandi di portal

Untuk menggunakan tulis balik kata sandi dan mengaktifkan layanan pengaturan ulang kata sandi mandiri (SSPR) untuk mendeteksi agen sinkronisasi cloud, menggunakan portal, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Di sebelah kiri, pilih Perlindungan, pilih Reset kata sandi, lalu pilih Integrasi lokal.
  3. Centang opsi untuk Mengaktifkan tulis balik kata sandi untuk pengguna yang disinkronkan .
  4. (opsional) Jika Microsoft Entra Koneksi agen provisi terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Cloud Sync.
  5. Memeriksa opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.
  6. Jika sudah siap, pilih Simpan.

Menggunakan PowerShell

Untuk menggunakan tulis balik kata sandi dan mengaktifkan layanan pengaturan ulang kata sandi mandiri (SSPR) untuk mendeteksi agen sinkronisasi cloud, gunakan Set-AADCloudSyncPasswordWritebackConfiguration cmdlet dan kredensial administrator global penyewa:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Untuk informasi selengkapnya tentang menggunakan tulis balik kata sandi dengan Microsoft Entra Cloud Sync, lihat Tutorial: Mengaktifkan penulisan ulang pengaturan ulang kata sandi mandiri sinkronisasi cloud ke lingkungan lokal .

Menginstal agen di cloud pemerintah AS

Secara default, agen provisi Microsoft Entra diinstal di lingkungan Azure default. Jika Anda menginstal agen untuk penggunaan pemerintah AS, lakukan perubahan ini di langkah 7 dari prosedur penginstalan sebelumnya:

  • Alih-alih memilih Buka file, pilih Mulai>Jalankan, lalu buka file AAD Koneksi ProvisioningAgentSetup.exe. Dalam kotak Jalankan , setelah yang dapat dieksekusi, masukkan ENVIRONMENTNAME=AzureUSGovernment, lalu pilih OK.

    Cuplikan layar yang memperlihatkan cara menginstal agen di cloud pemerintah AS.

Sinkronisasi hash kata sandi dan FIPS dengan sinkronisasi cloud

Jika server Anda telah dikunci sesuai dengan Standar Pemrosesan Informasi Federal (FIPS), MD5 (algoritma hash pesan 5) dinonaktifkan.

Untuk mengaktifkan MD5 untuk sinkronisasi hash kata sandi, lakukan hal berikut:

  1. Pergi ke %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Buka AAD Koneksi ProvisioningAgent.exe.config.
  3. Pergi ke node konfigurasi/runtime di bagian atas file.
  4. Tambahkan simpul <enforceFIPSPolicy enabled="false"/> .
  5. Simpan perubahan.

Sebagai referensi, kode Anda akan terlihat seperti cuplikan berikut:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Untuk informasi tentang keamanan dan FIPS, lihat Sinkronisasi hash kata sandi Microsoft Entra, enkripsi, dan kepatuhan FIPS.

Langkah berikutnya