Руководство. Интеграция одного леса с одним клиентом Microsoft Entra

В этом руководстве описано, как создать среду гибридного удостоверения с помощью Microsoft Entra Cloud Sync.

Схема, показывающая поток синхронизации Microsoft Entra Cloud Sync.

Среду, созданную при работе с этим руководством, можно использовать для тестирования или дальнейшего знакомства с принципами облачной синхронизации.

Необходимые компоненты

В Центре администрирования Microsoft Entra

  1. Создайте учетную запись глобального Администратор istrator только для облака в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. См. дополнительные сведения о добавлении облачной учетной записи глобального администратора. Этот шаг очень важен, чтобы не потерять доступ к клиенту.
  2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

  1. Определение присоединенного к домену сервера узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+

  2. Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.

    • Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

      Номер порта Как он используется
      80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
      443 Обработка всего исходящего трафика для службы.
      8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале.

      Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

    • Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, можно добавить подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

    • Агентам требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

    • Для проверки сертификатов разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.

Установка агента подготовки Microsoft Entra

Если вы используете учебник по базовой среде AD и Azure , это будет DC1. Чтобы установить агент, выполните следующие действия.

  1. В портал Azure выберите идентификатор Microsoft Entra.
  2. Слева выберите Microsoft Entra Подключение.
  3. Слева выберите "Облачная синхронизация".

Снимок экрана: новый экран пользовательского интерфейса.

  1. Слева выберите агент.
  2. Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".

Снимок экрана: агент скачивания.

  1. После завершения скачивания пакета агента подготовки Microsoft Entra Подключение запустите файл установки AAD Подключение ProvisioningAgentSetup.exe из папки загрузки.

Примечание.

При установке для использования облака для государственных организаций США:
AAD Подключение ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".

  1. На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".

Снимок экрана: экран-заставка пакета агента подготовки microsoft Entra Подключение.

  1. После завершения операции установки мастер конфигурации запустится. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию. Снимок экрана приветствия.
  2. На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) / Microsoft Entra Подключение облачную синхронизацию и нажмите кнопку "Далее". Снимок экрана: экран выбора расширений.

Примечание.

Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).

  1. Войдите с помощью учетной записи Microsoft Entra Global Администратор istrator или гибридного удостоверения Администратор istrator. Если у вас есть интернет-Обозреватель включена расширенная безопасность, он заблокит вход. Если это так, закройте установку, отключите интернет-Обозреватель расширенную безопасность и перезапустите установку пакета агента подготовки Microsoft Entra Подключение.

Снимок экрана: экран Подключение идентификатора Microsoft Entra ID.

  1. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в вашем домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA", так как система обнаружит существующую учетную запись и добавит необходимые разрешения для нового агента для использования учетной записи gMSA . При появлении запроса выберите один из следующих вариантов:
  • Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
  • Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.

Чтобы продолжить работу, щелкните Далее.

Снимок экрана: экран

  1. На экране Подключение Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".

  2. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".

Снимок экрана: ввод учетных данных администратора домена.

  1. На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.

Снимок экрана: экран Подключение Active Directory.

  1. На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.

  2. После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".

Снимок экрана: экран завершения.

  1. Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.

Проверка агента на портале Azure

Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:

  1. Войдите на портал Azure.
  2. Выберите Microsoft Entra ID.
  3. Выберите microsoft Entra Подключение, а затем выберите "Облачная синхронизация".Снимок экрана: новый экран пользовательского интерфейса.
  4. На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.

На локальном сервере

Чтобы убедиться, что агент выполняется, сделайте следующее.

  1. Войдите на сервер, используя учетную запись администратора.
  2. Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
  3. В разделе "Службы" убедитесь, что Microsoft Entra Подключение Agent Updater и Microsoft Entra Подключение Provisioning Agent присутствуют, а состояние выполняется. Снимок экрана: службы Windows.

Проверка версии агента подготовки

Чтобы убедиться, что версия агента запущена, выполните следующие действия.

  1. Перейдите к разделу "C:\Program Files\Microsoft Azure AD Подключение агент подготовки"
  2. Щелкните правой кнопкой мыши элемент AAD Подключение ProvisioningAgent.exe и выберите свойства.
  3. Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.

Настройка Microsoft Entra Cloud Sync

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы настроить и запустить подготовку, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный Администратор istrator.
  2. Перейдите к синхронизации Microsoft Entra для гибридного управления удостоверениями>>Подключение> Cloud.Снимок экрана: домашняя страница облачной синхронизации.
  1. Выбор новой конфигурации
  2. На экране конфигурации введите сообщение электронной почты уведомления, переместите селектор, чтобы включить и нажмите кнопку "Сохранить".
  3. Теперь состояние конфигурации должно быть Healthy (Работоспособное).

Проверка создания пользователей и выполнения синхронизации

Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, которые находятся в область синхронизации, были синхронизированы и теперь существуют в клиенте Microsoft Entra. Операция синхронизации может занять несколько часов. Чтобы проверить синхронизацию пользователей, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридное удостоверение Администратор istrator.
  2. Перейдите к пользователям удостоверений>.
  3. Убедитесь в том, что новый пользователь отображается в клиенте.

Проверка входа с помощью одной из учетных записей

  1. Перейдите по адресу https://myapps.microsoft.com.

  2. Выполните вход с помощью учетной записи пользователя, которая была создана в арендаторе. Вам потребуется выполнить вход с помощью следующего формата: (user@domain.onmicrosoft.com). Используйте тот же пароль, что и для входа в локальную среду.

Снимок экрана: портал моих приложений с вошедшего пользователя.

Теперь вы успешно настроили среду гибридного удостоверения с помощью Microsoft Entra Cloud Sync.

Следующие шаги