Installare l'agente di provisioning di Microsoft Entra

  • Articolo

Questo articolo illustra il processo di installazione per l'agente di provisioning di Microsoft Entra e come configurarlo inizialmente nell'interfaccia di amministrazione di Microsoft Entra.

Importante

Le istruzioni di installazione seguenti presuppongono che siano stati soddisfatti tutti i prerequisiti.

Nota

Questo articolo illustra come installare l'agente di provisioning tramite la procedura guidata. Per informazioni sull'installazione dell'agente di provisioning di Microsoft Entra tramite un'interfaccia della riga di comando, vedere Installare l'agente di provisioning di Microsoft Entra usando un'interfaccia della riga di comando e PowerShell.

Per altre informazioni e un esempio, vedere il video seguente:

Account del servizio gestito di gruppo

Un account del servizio gestito del gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Un account del servizio gestito del gruppo estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e consiglia l'uso di un account del servizio gestito del gruppo per l'esecuzione dell'agente. Per altre informazioni, vedere Account del servizio gestito di gruppo.

Aggiornare un agente esistente per l'uso dell'account del servizio gestito del gruppo

Per aggiornare un agente esistente per usare l'account del servizio gestito del gruppo creato durante l'installazione, aggiornare il servizio agente alla versione più recente eseguendo AAD Connessione ProvisioningAgent.msi. Eseguire di nuovo l'installazione guidata e specificare le credenziali per creare l'account quando viene richiesto di farlo.

Installare l'agente

  1. Nel portale di Azure selezionare Microsoft Entra ID.
  2. A sinistra selezionare Microsoft Entra Connessione.
  3. A sinistra selezionare Sincronizzazione cloud.

Screenshot della nuova schermata dell'esperienza utente.

  1. A sinistra selezionare Agente.
  2. Selezionare Scarica agente locale e selezionare Accetta termini e download.

Screenshot dell'agente di download.

  1. Al termine del download del pacchetto microsoft Entra Connessione Provisioning Agent, eseguire il file di installazione di AAD Connessione ProvisioningAgentSetup.exe dalla cartella dei download.

Nota

Quando si esegue l'installazione per il cloud del governo degli Stati Uniti, usare:
AAD Connessione ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Per altre informazioni, vedere "Installare un agente nel cloud del governo degli Stati Uniti".

  1. Nella schermata iniziale selezionare Accetto la licenza e le condizioni e quindi selezionare Installa.

Screenshot che mostra la schermata iniziale microsoft Entra Connessione pacchetto dell'agente di provisioning.

  1. Al termine dell'operazione di installazione, verrà avviata la configurazione guidata. Selezionare Avanti per avviare la configurazione. Screenshot della schermata iniziale.
  2. Nella schermata Seleziona estensione selezionare Provisioning basato su risorse umane (Workday e SuccessFactors) /Microsoft Entra Connessione sincronizzazione cloud e fare clic su Avanti. Screenshot della schermata di selezione delle estensioni.

Nota

Se si installa l'agente di provisioning per l'uso con il provisioning delle app locale, selezionare Provisioning di applicazioni locali (MICROSOFT Entra ID all'applicazione).

  1. Accedere con l'account Microsoft Entra Global Amministrazione istrator o Hybrid Identity Amministrazione istrator. Se è abilitata la sicurezza avanzata di Internet Explorer, blocca l'accesso. In tal caso, chiudere l'installazione, disabilitare la sicurezza avanzata di Internet Explorer e riavviare l'installazione di Microsoft Entra Connessione Provisioning Agent Package.

Screenshot della schermata Connessione MICROSOFT Entra ID.

  1. Nella schermata Configura account del servizio selezionare un account del servizio gestito del gruppo. Questo account viene usato per eseguire il servizio agente. Se un account del servizio gestito è già configurato nel dominio da un altro agente e si sta installando un secondo agente, selezionare Crea account del servizio gestito del gruppo perché il sistema rileverà l'account esistente e aggiungerà le autorizzazioni necessarie per il nuovo agente per usare l'account del servizio gestito del gruppo. Quando richiesto, scegliere uno dei seguenti:
  • Creare gMSA che consente all'agente di creare automaticamente l'account del servizio gestito provAgentgMSA$ . L'account del servizio gestito del gruppo , ad esempio CONTOSO\provAgentgMSA$, verrà creato nello stesso dominio di Active Directory in cui il server host è stato aggiunto. Per usare questa opzione, immettere le credenziali di amministratore di dominio di Active Directory (scelta consigliata).
  • Usare l'account del servizio gestito del servizio gestito personalizzato e specificare il nome dell'account del servizio gestito creato manualmente per questa attività.

Per continuare, selezionare Avanti.

Screenshot della schermata Configura account del servizio.

  1. Nella schermata Connessione Active Directory, se il nome di dominio viene visualizzato in Domini configurati, passare al passaggio successivo. In caso contrario, digitare il nome di dominio di Active Directory e selezionare Aggiungi directory.

  2. Accedere con l'account amministratore di dominio di Active Directory. L'account amministratore di dominio non deve avere una password scaduta. Se la password è scaduta o cambia durante l'installazione dell'agente, sarà necessario riconfigurare l'agente con le nuove credenziali. Questa operazione aggiungerà la directory locale. Selezionare OK, quindi selezionare Avanti per continuare.

Screenshot che mostra come immettere le credenziali di amministratore del dominio.

  1. Lo screenshot seguente mostra un esempio di contoso.com dominio configurato. Selezionare Avanti per continuare.

Screenshot della schermata Connessione Active Directory.

  1. Nella schermata Configurazione completata selezionare Conferma. Questa operazione registrerà e riavvierà l'agente.

  2. Al termine dell'operazione, si dovrebbe ricevere una notifica che la configurazione dell'agente è stata verificata correttamente. È possibile selezionare Esci.

Screenshot che mostra la schermata di fine.

  1. Se si ottiene ancora la schermata iniziale, selezionare Chiudi.

Verificare l'installazione dell'agente

La verifica dell'agente si esegue nel portale di Azure e nel server locale che esegue l'agente.

Verifica dell'agente nel portale di Azure

Per verificare che l'agente sia registrato da Microsoft Entra ID, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Selezionare Microsoft Entra ID.
  3. Selezionare Microsoft Entra Connessione e quindi selezionare Sincronizzazione cloud.Screenshot della nuova schermata dell'esperienza utente.
  4. Nella pagina di sincronizzazione cloud verranno visualizzati gli agenti installati. Verificare che l'agente sia visualizzato e che lo stato sia integro.

Nel server locale

Per verificare che l'agente sia in esecuzione, seguire questa procedura:

  1. Accedere al server con un account amministratore.
  2. Aprire Servizi passando a esso o passando a Start/Run/Services.msc.
  3. In Servizi verificare che Microsoft Entra Connessione Agent Updater e Microsoft Entra Connessione Provisioning Agent siano presenti e che lo stato sia In esecuzione. Screenshot che mostra i servizi di Windows.

Verificare la versione dell'agente di provisioning

Per verificare che la versione dell'agente in esecuzione, seguire questa procedura:

  1. Passare a 'C:\Programmi\Microsoft Azure AD Connessione Provisioning Agent'
  2. Fare clic con il pulsante destro del mouse su "AAD Connessione ProvisioningAgent.exe" e selezionare proprietà.
  3. Fare clic sulla scheda dei dettagli e il numero di versione verrà visualizzato accanto a Versione prodotto.

Importante

Dopo aver installato l'agente, è necessario configurarlo e abilitarlo prima di avviare la sincronizzazione degli utenti. Per configurare un nuovo agente, vedere Creare una nuova configurazione per Microsoft Entra Cloud Sync.

Abilitare il writeback delle password nella sincronizzazione cloud

È possibile abilitare il writeback delle password nella reimpostazione della password direttamente nel portale o tramite PowerShell.

Abilitare il writeback delle password nel portale

Per usare il writeback delle password e abilitare il servizio di reimpostazione della password self-service per rilevare l'agente di sincronizzazione cloud tramite il portale, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'identità ibrida Amministrazione istrator.
  2. A sinistra selezionare Protezione, selezionare Reimpostazione password, quindi scegliere Integrazione locale.
  3. Selezionare l'opzione Abilita il writeback delle password per gli utenti sincronizzati.
  4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connessione, è anche possibile controllare l'opzione Writeback password con Microsoft Entra Cloud Sync.
  5. Selezionare l'opzione Consenti agli utenti di sbloccare gli account senza reimpostare la password su .
  6. Al termine, selezionare Salva.

Tramite PowerShell

Per usare il writeback delle password e abilitare il servizio di reimpostazione della password self-service per rilevare l'agente di sincronizzazione cloud, usare il Set-AADCloudSyncPasswordWritebackConfiguration cmdlet e le credenziali di amministratore globale del tenant:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Per altre informazioni sull'uso del writeback delle password con Microsoft Entra Cloud Sync, vedere Esercitazione: Abilitare il writeback della reimpostazione della password self-service per la sincronizzazione cloud in un ambiente locale.

Installare un agente nel cloud del governo degli Stati Uniti

Per impostazione predefinita, l'agente di provisioning Di Microsoft Entra viene installato nell'ambiente Azure predefinito. Se si installa l'agente per l'uso del governo degli Stati Uniti, apportare questa modifica nel passaggio 7 della procedura di installazione precedente:

  • Invece di selezionare Apri file, selezionare Avvia>esecuzione e quindi passare al file AAD Connessione ProvisioningAgentSetup.exe. Nella casella Esegui immettere ENVIRONMENTNAME=AzureUSGovernment dopo l'eseguibile e quindi selezionare OK.

    Screenshot che mostra come installare un agente nel cloud us government.

Sincronizzazione dell'hash delle password e FIPS con sincronizzazione cloud

Se il server è stato bloccato in base allo standard FIPS (Federal Information Processing Standard), MD5 (algoritmo message-digest 5) è disabilitato.

Per abilitare MD5 per la sincronizzazione dell'hash delle password, eseguire le operazioni seguenti:

  1. Passare a %programfiles%\Microsoft Azure AD Connessione Provisioning Agent.
  2. Aprire AAD Connessione ProvisioningAgent.exe.config.
  3. Passare al nodo di configurazione/runtime nella parte superiore del file.
  4. Aggiungere il <enforceFIPSPolicy enabled="false"/> nodo.
  5. Salva le modifiche.

Per riferimento, il codice dovrebbe essere simile al frammento di codice seguente:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Per informazioni sulla sicurezza e sulla conformità FIPS, vedere Sincronizzazione, crittografia e conformità dell'hash delle password di Microsoft Entra.

Passaggi successivi