Samouczek: integrowanie pojedynczego lasu z jedną dzierżawą firmy Microsoft Entra

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces tworzenia środowiska tożsamości hybrydowej przy użyciu usługi Microsoft Entra Cloud Sync.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Możesz użyć środowiska utworzonego w tym samouczku na potrzeby testowania lub zapoznania się z synchronizacją w chmurze.

Wymagania wstępne

W centrum administracyjnym firmy Microsoft Entra

  1. Utwórz konto globalnego Administracja istratora tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się więcej o dodawaniu konta globalnego Administracja istratora tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W środowisku lokalnym

  1. Identyfikowanie przyłączonego do domeny serwera hosta z systemem Windows Server 2016 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego platformy .NET 4.7.1 lub nowszej

  2. Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
      443 Obsługa komunikacji wychodzącej do usługi
      8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu.

      Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia t do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

    • Agenci muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

    • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www.microsoft.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Instalowanie agenta aprowizacji firmy Microsoft

Jeśli używasz samouczka podstawowego usługi AD i środowiska platformy Azure, będzie to DC1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Połączenie.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po zakończeniu pobierania pakietu microsoft Entra Połączenie Provisioning Agent uruchom plik instalacyjny usługi AAD Połączenie ProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AAD Połączenie ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny Pakietu agenta aprowizacji firmy Microsoft Połączenie.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizacja oparta na hr (Workday i SuccessFactors) / Microsoft Entra Połączenie synchronizacji w chmurze, a następnie kliknij przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta usługi Microsoft Entra Global Administracja istrator lub konta Administracja istrator tożsamości hybrydowej. Jeśli masz włączone ulepszone zabezpieczenia programu Internet Explorer, zablokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji firmy Microsoft Połączenie.

Zrzut ekranu przedstawiający ekran Połączenie Identyfikator entra firmy Microsoft.

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykryje istniejące konto i dodaj wymagane uprawnienia dla nowego agenta do korzystania z konta usługi gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na Połączenie ekranie usługi Active Directory, jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. W przypadku wygaśnięcia hasła lub zmian podczas instalacji agenta należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja spowoduje dodanie katalogu lokalnego. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Połączenie Active Directory.

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja spowoduje zarejestrowanie i ponowne uruchomienie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Połączenie, a następnie wybierz pozycję Synchronizacja w chmurze.Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Połączenie Agent Updater i microsoft Entra Połączenie Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić, czy wersja agenta jest uruchomiona, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AAD Połączenie ProvisioningAgent.exe" i wybierz właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Wykonaj następujące kroki, aby skonfigurować i uruchomić aprowizację:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej hybrydowego Administracja istratora.
  2. Przejdź do sekcji Zarządzanie hybrydą>tożsamości>Microsoft Entra Połączenie> Cloud sync.Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz nową konfigurację
  2. Na ekranie konfiguracji wprowadź wiadomość e-mail z powiadomieniem, przenieś selektor do pozycji Włącz i wybierz pozycję Zapisz.
  3. Stan konfiguracji powinien być teraz w dobrej kondycji.

Weryfikowanie utworzenia użytkowników i przeprowadzania synchronizacji

Teraz sprawdzisz, czy użytkownicy z katalogu lokalnego, którzy mają zakres synchronizacji, zostały zsynchronizowane i teraz istnieją w dzierżawie firmy Microsoft Entra. Ukończenie operacji synchronizacji może potrwać kilka godzin. Aby sprawdzić, czy użytkownicy są zsynchronizowani, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.
  2. Przejdź do pozycji Użytkownicy tożsamości>.
  3. Zweryfikuj, czy nowi użytkownicy są widoczni w dzierżawie

Testowanie logowania przy użyciu jednego z użytkowników

  1. Przejdź do https://myapps.microsoft.com

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w dzierżawie. Musisz zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.

Zrzut ekranu przedstawiający portal moje aplikacje z zalogowanymi użytkownikami.

Teraz pomyślnie skonfigurowano środowisko tożsamości hybrydowej przy użyciu usługi Microsoft Entra Cloud Sync.

Następne kroki