De Microsoft Entra-inrichtingsagent installeren

  • Artikel

In dit artikel wordt u begeleid bij het installatieproces voor de Microsoft Entra-inrichtingsagent en leert u hoe u deze in eerste instantie configureert in het Microsoft Entra-beheercentrum.

Belangrijk

Bij de volgende installatie-instructies wordt ervan uitgegaan dat u aan alle vereisten hebt voldaan.

Notitie

Dit artikel gaat over het installeren van de inrichtingsagent met behulp van de wizard. Zie De Microsoft Entra-inrichtingsagent installeren met behulp van een CLI voor informatie over het installeren van de Microsoft Entra-inrichtingsagent met behulp van een CLI en PowerShell.

Bekijk de volgende video voor meer informatie en een voorbeeld:

Door groep beheerde serviceaccounts

Een beheerd serviceaccount (gMSA) van een groep is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) en de mogelijkheid biedt om het beheer te delegeren aan andere beheerders. Een gMSA breidt deze functionaliteit ook uit over meerdere servers. Microsoft Entra Cloud Sync ondersteunt en raadt het gebruik van een gMSA aan voor het uitvoeren van de agent. Zie Beheerde serviceaccounts voor groepen voor meer informatie.

Een bestaande agent bijwerken om de gMSA te gebruiken

Als u een bestaande agent wilt bijwerken voor het gebruik van het door de groep beheerde serviceaccount dat tijdens de installatie is gemaakt, voert u een upgrade uit van de agentservice naar de nieuwste versie door AAD uit te voeren Verbinding maken ProvisioningAgent.msi. Voer nu de installatiewizard opnieuw uit en geef de referenties op om het account te maken wanneer u hierom wordt gevraagd.

De agent installeren

  1. Selecteer Microsoft Entra-id in de Azure-portal.
  2. Selecteer aan de linkerkant Microsoft Entra Verbinding maken.
  3. Selecteer aan de linkerkant Cloudsynchronisatie.

Screenshot of new UX screen.

  1. Selecteer agent aan de linkerkant.
  2. Selecteer On-premises agent downloaden en selecteer Voorwaarden accepteren en downloaden.

Screenshot of download agent.

  1. Nadat het Microsoft Entra Verbinding maken Provisioning Agent Package is gedownload, voert u het AAD Verbinding maken ProvisioningAgentSetup.exe-installatiebestand uit vanuit de downloadmap.

Notitie

Wanneer u installeert voor het gebruik van de Cloud voor de Amerikaanse overheid:
AAD Verbinding maken ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Zie 'Een agent installeren in de Cloud van de Amerikaanse overheid' voor meer informatie.

  1. Selecteer in het welkomstscherm de optie Ik ga akkoord met de licentie en voorwaarden en selecteer Vervolgens Installeren.

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. Zodra de installatiebewerking is voltooid, wordt de configuratiewizard gestart. Selecteer Volgende om de configuratie te starten. Screenshot of the welcome screen.
  2. Selecteer op het scherm Extensie selecteren de inrichting op basis van HR (Workday en SuccessFactors) / Microsoft Entra Verbinding maken cloudsynchronisatie en klik op Volgende. Screenshot of the select extensions screen.

Notitie

Als u de inrichtingsagent installeert voor gebruik met on-premises app-inrichting, selecteert u On-premises toepassingsinrichting (Microsoft Entra-id voor toepassing).

  1. Meld u aan met uw Microsoft Entra Global Beheer istrator- of Hybrid Identity Beheer istrator-account. Als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, wordt de aanmelding geblokkeerd. Sluit dan de installatie, schakel verbeterde beveiliging van Internet Explorer uit en start de Installatie van het Microsoft Entra-Verbinding maken-inrichtingsagentpakket opnieuw.

Screenshot of the Connect Microsoft Entra ID screen.

  1. Selecteer een beheerd serviceaccount (gMSA) in het scherm Serviceaccount configureren. Dit account wordt gebruikt om de agentservice uit te voeren. Als een beheerd serviceaccount al is geconfigureerd in uw domein door een andere agent en u een tweede agent installeert, selecteert u GMSA maken omdat het systeem het bestaande account detecteert en de vereiste machtigingen voor de nieuwe agent toevoegt om het gMSA-account te gebruiken. Kies een van de volgende opties wanneer u hierom wordt gevraagd:
  • Maak gMSA waarmee de agent het beheerde serviceaccount provAgentgMSA$ voor u kan maken. Het door de groep beheerde serviceaccount (bijvoorbeeld CONTOSO\provAgentgMSA$) wordt gemaakt in hetzelfde Active Directory-domein waaraan de hostserver is toegevoegd. Als u deze optie wilt gebruiken, voert u de referenties van de Active Directory-domeinbeheerder in (aanbevolen).
  • Gebruik aangepaste gMSA en geef de naam op van het beheerde serviceaccount dat u handmatig voor deze taak hebt gemaakt.

Selecteer Volgende om door te gaan.

Screenshot of the Configure Service Account screen.

  1. Ga in het scherm Verbinding maken Active Directory naar de volgende stap als uw domeinnaam wordt weergegeven onder Geconfigureerde domeinen. Anders typt u uw Active Directory-domeinnaam en selecteert u Directory toevoegen.

  2. Meld u aan met uw Active Directory-domeinbeheerdersaccount. Het domeinbeheerdersaccount mag geen verlopen wachtwoord hebben. Als het wachtwoord is verlopen of tijdens de installatie van de agent wordt gewijzigd, moet u de agent opnieuw configureren met de nieuwe referenties. Met deze bewerking wordt uw on-premises adreslijst toegevoegd. Selecteer OK en selecteer vervolgens Volgende om door te gaan.

Screenshot that shows how to enter the domain admin credentials.

  1. In de volgende schermopname ziet u een voorbeeld van contoso.com geconfigureerd domein. Selecteer Volgende om door te gaan.

Screenshot of the Connect Active Directory screen.

  1. Selecteer Bevestigen in het scherm Configuratie voltooid. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.

  2. Zodra deze bewerking is voltooid, wordt u gewaarschuwd dat de configuratie van uw agent is geverifieerd. U kunt Afsluiten selecteren.

Screenshot that shows the finish screen.

  1. Als u nog steeds het eerste welkomstscherm krijgt, selecteert u Sluiten.

De installatie van de agent controleren

Verificatie van de agent vindt plaats in de Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.

Verificatie van Azure Portal-agent

Voer de volgende stappen uit om te controleren of de agent wordt geregistreerd door Microsoft Entra ID:

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Microsoft Entra ID.
  3. Selecteer Microsoft Entra Verbinding maken en selecteer vervolgens Cloudsynchronisatie.Screenshot of new UX screen.
  4. Op de cloudsynchronisatiepagina ziet u de agents die u hebt geïnstalleerd. Controleer of de agent wordt weergegeven en of de status in orde is.

Op de lokale server

Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:

  1. Meld u aan bij de server met een beheerdersaccount.
  2. Open Services door ernaar te navigeren of door naar Start/Run/Services.msc te gaan.
  3. Controleer onder Services of Microsoft Entra Verbinding maken Agent Updater en Microsoft Entra Verbinding maken Provisioning Agent aanwezig zijn en de status Wordt uitgevoerd. Screenshot that shows the Windows services.

De versie van de inrichtingsagent controleren

Voer de volgende stappen uit om te controleren of de versie van de agent wordt uitgevoerd:

  1. Navigeer naar C:\Program Files\Microsoft Azure AD Verbinding maken Provisioning Agent
  2. Klik met de rechtermuisknop op AAD Verbinding maken ProvisioningAgent.exe en selecteer eigenschappen.
  3. Klik op het tabblad Details en het versienummer wordt weergegeven naast productversie.

Belangrijk

Nadat u de agent hebt geïnstalleerd, moet u deze configureren en inschakelen voordat gebruikers worden gesynchroniseerd. Zie Een nieuwe configuratie maken voor Microsoft Entra Cloud Sync als u een nieuwe agent wilt configureren.

Wachtwoord terugschrijven inschakelen in cloudsynchronisatie

U kunt wachtwoord terugschrijven inschakelen in SSPR rechtstreeks in de portal of via PowerShell.

Wachtwoord terugschrijven inschakelen in de portal

Als u wachtwoord terugschrijven wilt gebruiken en de selfservice voor wachtwoordherstel (SSPR) wilt inschakelen om de cloudsynchronisatieagent te detecteren, voert u de volgende stappen uit:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteit Beheer istrator.
  2. Selecteer aan de linkerkant Beveiliging, selecteer Wachtwoord opnieuw instellen en kies vervolgens On-premises integratie.
  3. Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers in.
  4. (optioneel) Als Microsoft Entra Verbinding maken inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Cloud Sync.
  5. Schakel de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord opnieuw in te stellen op Ja.
  6. Selecteer Opslaan wanneer u klaar bent.

PowerShell gebruiken

Als u wachtwoord terugschrijven wilt gebruiken en de selfservice voor wachtwoordherstel (SSPR) wilt inschakelen om de cloudsynchronisatieagent te detecteren, gebruikt u de Set-AADCloudSyncPasswordWritebackConfiguration cmdlet en de referenties van de globale beheerder van de tenant:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Zie zelfstudie: Selfservice voor wachtwoordherstel terugschrijven inschakelen naar een on-premises omgeving (preview) voor meer informatie over het gebruik van wachtwoord terugschrijven met Microsoft Entra Cloud Sync.

Een agent installeren in de Cloud van de Amerikaanse overheid

De Microsoft Entra-inrichtingsagent wordt standaard geïnstalleerd in de standaardOmgeving van Azure. Als u de agent installeert voor gebruik door de Amerikaanse overheid, moet u deze wijziging aanbrengen in stap 7 van de voorgaande installatieprocedure:

  • In plaats van het bestand Openen te selecteren, selecteert u Uitvoeren>starten en gaat u naar het AAD Verbinding maken ProvisioningAgentSetup.exe-bestand. Voer in het vak Uitvoeren, na het uitvoerbare bestand, ENVIRONMENTNAME=AzureUSGovernment in en selecteer VERVOLGENS OK.

    Screenshot that shows how to install an agent in the US government cloud.

Wachtwoord-hash-synchronisatie en FIPS met cloudsynchronisatie

Als uw server is vergrendeld volgens de Federal Information Processing Standard (FIPS), is MD5 (message-digest algorithm 5) uitgeschakeld.

Ga als volgt te werk om MD5 in te schakelen voor wachtwoord-hashsynchronisatie:

  1. Ga naar %programfiles%\Microsoft Azure AD Connect inrichtingsagent.
  2. Open AAD Verbinding maken ProvisioningAgent.exe.config.
  3. Ga naar het configuratie-/runtime-knooppunt boven aan het bestand.
  4. Voeg het <enforceFIPSPolicy enabled="false"/> knooppunt toe.
  5. Sla uw wijzigingen op.

Ter referentie moet uw code eruitzien als het volgende codefragment:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Zie Microsoft Entra wachtwoordhashsynchronisatie, versleuteling en FIPS-naleving voor informatie over beveiliging en FIPS.

Volgende stappen