Installare l'agente di provisioning di Microsoft Entra

Questo articolo illustra il processo di installazione per l'agente di provisioning di Microsoft Entra e come configurarlo inizialmente nell'interfaccia di amministrazione di Microsoft Entra.

Per altre informazioni e un esempio, vedere il video seguente:

Account di servizi gestiti di gruppo

Un account del servizio gestito del gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Un gMSA estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e consiglia l'uso di un gMSA per l'esecuzione dell'agente. Per ulteriori informazioni, vedere Account del Servizio Gestito di Gruppo.

Aggiornare un agente esistente per l'uso del gMSA

Per aggiornare un agente esistente per usare l'account del servizio gestito del gruppo creato durante l'installazione, aggiornare il servizio agente alla versione più recente eseguendo AADConnectProvisioningAgent.msi. Eseguire di nuovo l'installazione guidata e specificare le credenziali per creare l'account quando viene richiesto di farlo.

Installare l'agente

1. Nel portale di Azure selezionare Microsoft Entra ID.
2. A sinistra, selezionare Microsoft Entra Connect.
3. A sinistra, selezionare Sincronizzazione cloud.

4. A sinistra, selezionare Agente.
5. Selezionare Scarica agente locale e selezionare Accetta termini e scarica.

6. Dopo aver scaricato il Pacchetto dell'agente di provisioning di Microsoft Entra Connect, eseguire il file di installazione AADConnectProvisioningAgentSetup.exe dalla cartella di download.

7. Nella schermata iniziale selezionare Accetto la licenza e le condizioni, quindi selezionare Installa.

8. Al termine dell'operazione di installazione, viene avviata la configurazione guidata. Selezionare Avanti per avviare la configurazione.
9. Nella schermata Seleziona estensione, selezionare provisioning basato su risorse umane (Workday e SuccessFactors) / Sincronizzazione cloud Microsoft Entra Connect e selezionare Avanti.

10. Accedere con un account con almeno il ruolo di amministratore dell'identità ibrida. Se è abilitata la sicurezza avanzata di Internet Explorer, blocca l'accesso. In tal caso, chiudere l'installazione, disabilitare la sicurezza avanzata di Internet Explorer, e riavviare l'installazione del pacchetto dell’Agente di provisioning Microsoft Entra Connect.

11. Nella schermata Configura account del servizio, selezionare un account del servizio gestito del gruppo. Questo account viene usato per eseguire il servizio agente. Se un account del servizio gestito è già configurato nel dominio da un altro agente e si sta installando un secondo agente, selezionare Crea account del servizio gestito del gruppo perché il sistema rileva l'account esistente e aggiunge le autorizzazioni necessarie per il nuovo agente per l'uso dell'account del servizio gestito del gruppo. Quando richiesto, scegliere una delle seguenti opzioni:

• Crea gMSA che consente all'agente di creare l'account del servizio gestito provAgentgMSA$ per te. L'account del servizio gestito del gruppo, ad esempio CONTOSO\provAgentgMSA$, verrà creato nello stesso dominio di Active Directory in cui il server host è stato aggiunto. Per usare questa opzione, immettere le credenziali di amministratore di dominio di Active Directory (scelta consigliata).
• Usa un gMSA personalizzato e specifica il nome dell'account del servizio gestito che hai creato manualmente per questa attività.

Per continuare, selezionare Avanti.

12. Nella schermata Connetti active Directory, se il nome di dominio viene visualizzato in Domini configurati, passare al passaggio successivo. In caso contrario, digitare il nome di dominio di Active Directory e selezionare Aggiungi directory.

13. Accedere con l'account amministratore di dominio di Active Directory. L'account amministratore di dominio non deve avere una password scaduta. Se la password è scaduta o cambia durante l'installazione dell'agente, è necessario riconfigurare l'agente con le nuove credenziali. Questa operazione aggiunge la tua directory locale. Selezionare OK, quindi selezionare Avanti per continuare.

14. Lo screenshot seguente mostra un esempio di dominio configurato contoso.com. Selezionare Avanti per continuare.

15. Nella schermata Configurazione completata selezionare Conferma. Questa operazione registra e riavvia l'agente.

16. Al termine dell'operazione, si dovrebbe ricevere una notifica che La configurazione dell'agente è stata verificata correttamente. È possibile selezionare Esci.

17. Se si ottiene ancora la schermata iniziale, selezionare Chiudi.

Verificare l'installazione dell'agente

La verifica dell'agente si esegue nel portale di Azure e nel server locale che esegue l'agente.

Verifica dell'agente nel portale di Azure

Per verificare che l'agente sia registrato da Microsoft Entra ID, seguire questa procedura:

1. Accedere al portale di Azure.
2. Selezionare Microsoft Entra ID.
3. Selezionare Microsoft Entra Connect e poi selezionare Cloud sync.
4. Nella pagina di sincronizzazione cloud verranno visualizzati gli agenti installati. Verificare che l'agente sia visualizzato e che lo stato sia in buono stato.

Nel server locale

Per verificare se l'agente è in esecuzione, seguire questa procedura:

1. Accedere al server con un account amministratore.
2. Aprire Servizi spostandosi all'opzione relativa oppure selezionando Start/Run/Services.msc.
3. In Servizi assicurarsi che siano presenti i servizi Microsoft Entra Connect Agent Updater e Microsoft Entra Connect Provisioning Agent e che il relativo stato sia In esecuzione.

Verificare la versione dell'agente di provisioning

Per verificare la versione dell'agente in esecuzione, seguire questa procedura:

1. Spostarsi a 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent'
2. Fare clic con il pulsante destro del mouse su "AADConnectProvisioningAgent.exe" e selezionare proprietà.
3. Fare clic sulla scheda dei dettagli e il numero di versione verrà visualizzato accanto a Versione prodotto.

Abilitare il ripristino delle password nella sincronizzazione cloud

È possibile abilitare il writeback delle password nella funzionalità SSPR direttamente nel portale o tramite PowerShell.

Abilitare il writeback delle password nel portale

Per utilizzare il writeback delle password e abilitare il servizio di reimpostazione password self-service (SSPR) per la rilevazione dell'agente di sincronizzazione cloud tramite il portale, seguire i passaggi indicati di seguito:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.
2. A sinistra selezionare Protezione, selezionare Reimpostazione password, quindi scegliere Integrazione locale.
3. Selezionare l'opzione Abilitare il writeback delle password per gli utenti sincronizzati.
4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, è anche possibile selezionare l'opzione per scrivere indietro le password utilizzando Microsoft Entra Cloud Sync.
5. Impostare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password? su Sì.
6. Al termine, selezionare Salva.

Usando PowerShell

Per utilizzare la riscrittura delle password e abilitare il servizio di reimpostazione password self-service, per rilevare l'agente di sincronizzazione cloud, usa il cmdlet Set-AADCloudSyncPasswordWritebackConfiguration e le credenziali di Amministratore Globale del tenant:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Per ulteriori informazioni sull'uso del writeback delle password con Microsoft Entra Cloud Sync, vedere Esercitazione: Abilitare il writeback della reimpostazione della password self-service dalla sincronizzazione cloud a un ambiente locale .

Installare un agente nel cloud del governo degli Stati Uniti

Per impostazione predefinita, l'agente di provisioning Di Microsoft Entra viene installato nell'ambiente Azure predefinito. Se si installa l'agente per l'uso del governo degli Stati Uniti, apportare questa modifica nel passaggio 7 della procedura di installazione precedente:

• Invece di selezionare Apri file, selezionare Avvia>esecuzione e quindi passare al file AADConnectProvisioningAgentSetup.exe. Nella casella Esegui immettere ENVIRONMENTNAME=AzureUSGovernment dopo l'eseguibile e quindi selezionare OK.

  

Sincronizzazione dell'hash delle password e FIPS tramite sincronizzazione cloud

Se il server è stato bloccato in base allo standard FIPS (Federal Information Processing Standard), MD5 (algoritmo message-digest 5) è disabilitato.

Per abilitare MD5 per la sincronizzazione dell'hash delle password, eseguire le operazioni seguenti:

1. Passare a %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
2. Aprire AADConnectProvisioningAgent.exe.config.
3. Passare al nodo di configurazione/runtime nella parte superiore del file.
4. Aggiungere il <enforceFIPSPolicy enabled="false"/> nodo.
5. Salva le modifiche.

Per riferimento, il codice dovrebbe essere simile al frammento di codice seguente:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Per informazioni sulla sicurezza e su FIPS, vedere Microsoft Entra password hash sync, encryption, and FIPS compliance (Sincronizzazione password, crittografia e conformità FIPS di Azure AD).

Passaggi successivi

• Cos'è l'approvvigionamento?
• Cos'è la sincronizzazione cloud di Microsoft Entra?
• Creare una nuova configurazione per Microsoft Entra Cloud Sync.