Condividi tramite

Installare l'agente di provisioning di Microsoft Entra

  • Articolo

Questo articolo illustra il processo di installazione per l'agente di provisioning di Microsoft Entra e come configurarlo inizialmente nell'interfaccia di amministrazione di Microsoft Entra.

Importante

Le istruzioni di installazione seguenti presuppongono che siano stati soddisfatti tutti i prerequisiti.

Nota

Questo articolo illustra come installare l'agente di provisioning tramite la procedura guidata di installazione. Per informazioni sull'installazione dell'agente di provisioning di Microsoft Entra tramite un'interfaccia della riga di comando, vedere Installare l'agente di provisioning di Microsoft Entra usando un'interfaccia della riga di comando e PowerShell.

Per altre informazioni e un esempio, vedere il video seguente:

Account di servizi gestiti di gruppo

Un account del servizio gestito del gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN) e la possibilità di delegare la gestione ad altri amministratori. Un gMSA estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e consiglia l'uso di un gMSA per l'esecuzione dell'agente. Per ulteriori informazioni, vedere Account del Servizio Gestito di Gruppo.

Aggiornare un agente esistente per l'uso del gMSA

Per aggiornare un agente esistente per usare l'account del servizio gestito del gruppo creato durante l'installazione, aggiornare il servizio agente alla versione più recente eseguendo AADConnectProvisioningAgent.msi. Eseguire di nuovo l'installazione guidata e specificare le credenziali per creare l'account quando viene richiesto di farlo.

Installare l'agente

  1. Nel portale di Azure selezionare Microsoft Entra ID.

  2. Nel riquadro sinistro selezionare Microsoft Entra Connecte quindi selezionare Cloud Sync.

    Screenshot che mostra la schermata di Introduzione.

  3. Nel riquadro sinistro selezionare Agenti.

  4. Seleziona Scarica l'agente on-premises, quindi seleziona Accetta i termini per il download &.

    Screenshot che mostra il download dell'agente.

  5. Dopo aver scaricato il pacchetto microsoft Entra Connect Provisioning Agent, eseguire il file di installazione AADConnectProvisioningAgentSetup.exe dalla cartella dei download.

    Nota

    Quando si esegue un'installazione per il Cloud del Governo degli Stati Uniti, usare AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Per ulteriori informazioni, vedere Installare un agente nel cloud del governo degli Stati Uniti.

  6. Nella schermata visualizzata selezionare la casella di controllo Accetto le condizioni di licenza e quindi selezionare Installa.

    Screenshot che mostra la schermata Microsoft Entra Provisioning Agent Package.

  7. Al termine dell'installazione, verrà aperta la configurazione guidata. Selezionare Avanti per avviare la configurazione.

    Screenshot che mostra la schermata iniziale.

  8. Nella schermata Seleziona estensione, selezionare provisioning basato su risorse umane (Workday e SuccessFactors) / Azure AD Connect Cloud Sync, e quindi selezionare Avanti.

    Screenshot che mostra la schermata Seleziona estensione.

    Nota

    Se si installa l'agente di provisioning da usare con provisioning delle applicazioni locali di Microsoft Entra, selezionare provisioning delle applicazioni locali (Microsoft Entra ID all'applicazione).

  9. Accedere con un account con almeno il ruolo di amministratore dell'identità ibrida . Se è abilitata la sicurezza avanzata di Internet Explorer, blocca l'accesso. In tal caso, chiudere l'installazione disabilitare la sicurezza avanzata di Internet Explorere riavviare l'installazione del pacchetto dell'agente di provisioning di Microsoft Entra Connect.

    Screenshot che mostra la schermata Connetti ID Entra Microsoft.

  10. Nella schermata Configura account del servizio, selezionare un account del servizio gestito del gruppo. Questo account viene usato per eseguire il servizio dell'agente. Se un account del servizio gestito del gruppo (gMSA) è già configurato nel dominio da un altro agente e si sta installando un secondo agente, selezionare Crea gMSA. Il sistema rileva l'account esistente e aggiunge le autorizzazioni necessarie per consentire al nuovo agente di utilizzare l'account gMSA. Quando richiesto, scegliere una delle due opzioni seguenti:

    • Crea gMSA: lascia che l'agente crei per te l'account del servizio gestito provAgentgMSA$. L'account del servizio gestito del gruppo (ad esempio, CONTOSO\provAgentgMSA$) viene creato nello stesso dominio di Active Directory in cui il server host è stato aggiunto. Per usare questa opzione, immettere le credenziali di amministratore di dominio di Active Directory (scelta consigliata).
    • Usare un gMSA personalizzato: specificare il nome dell'account del servizio gestito creato manualmente per questa attività.

  11. Per continuare, selezionare Avanti.

    Screenshot che mostra la schermata Configura account di servizio.

  12. Nella schermata Connetti active Directory, se il nome di dominio viene visualizzato in Domini configurati, passare al passaggio successivo. In caso contrario, immettere il nome di dominio di Active Directory e selezionare Aggiungi directory.

  13. Accedere con l'account amministratore di dominio di Active Directory. L'account amministratore di dominio non deve avere una password scaduta. Se la password è scaduta o cambia durante l'installazione dell'agente, riconfigurare l'agente con le nuove credenziali. Questa operazione aggiunge la tua directory locale. Selezionare OKe quindi selezionare Avanti per continuare.

    Screenshot che mostra come immettere le credenziali di amministratore del dominio.

  14. Lo screenshot seguente mostra un esempio del dominio configurato per contoso.com. Selezionare Avanti per continuare.

    Screenshot che mostra la schermata di connessione ad Active Directory.

  15. Nella schermata Configurazione completata selezionare Conferma. Questa operazione registra e riavvia l'agente.

  16. Al termine dell'operazione, viene visualizzata una notifica che indica che la configurazione dell'agente è stata verificata correttamente. Selezionare Esci.

    Screenshot che mostra la schermata di fine.

  17. Se continui a vedere la schermata iniziale, seleziona Chiudi.

Verificare l'installazione dell'agente

La verifica dell'agente viene eseguita nel portale di Azure e nel server locale che esegue l'agente.

Verificare l'agente nel portale di Azure

Per verificare che Microsoft Entra ID registri l'agente, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare microsoft Entra Connecte quindi selezionare Cloud Sync.

    Screenshot che mostra la schermata

  4. Nella pagina Cloud Sync vengono visualizzati gli agenti installati. Verificare che l'agente sia visualizzato e che lo stato sia integro.

Verificare l'agente nel server locale

Per verificare se l'agente è in esecuzione, seguire questa procedura:

  1. Accedere al server con un account amministratore.

  2. Passare a Services. È anche possibile usare Start/Run/Services.msc per accedervi.

  3. In Servizi, assicurarsi che siano presenti Microsoft Entra Connect Agent Updater e Microsoft Entra Connect Provisioning Agent e che lo stato sia In esecuzione.

    Screenshot che mostra i servizi di Windows.

Verificare la versione dell'agente di provisioning

Per verificare la versione dell'agente in esecuzione, seguire questa procedura:

  1. Passare a C:\Programmi\Microsoft Azure AD Connect Provisioning Agent.
  2. Fare clic con il pulsante destro del mouse su AADConnectProvisioningAgent.exe e scegliere Proprietà .
  3. Selezionare la scheda Dettagli. Il numero di versione viene visualizzato accanto alla versione del prodotto.

Importante

Dopo aver installato l'agente, è necessario configurarlo e abilitarlo prima di avviare la sincronizzazione degli utenti. Per configurare un nuovo agente, vedere Creare una nuova configurazione per Microsoft Entra Cloud Sync.

Abilitare il ripristino delle password nella sincronizzazione cloud

È possibile abilitare il writeback delle password nella funzionalità SSPR direttamente nel portale o tramite PowerShell.

Abilitare il writeback delle password nel portale

Per utilizzare il writeback delle password e abilitare il servizio di reimpostazione password self-service (SSPR) per la rilevazione dell'agente di sincronizzazione cloud tramite il portale, seguire i passaggi indicati di seguito:

  1. Accedere al centro di amministrazione di Microsoft Entra con almeno il ruolo di Amministratore delle identità ibride.
  2. A sinistra selezionare Protezione, selezionare Reimpostazione password, quindi scegliere Integrazione locale.
  3. Selezionare l'opzione Abilitare il writeback delle password per gli utenti sincronizzati.
  4. (facoltativo) Se vengono rilevati agenti di provisioning di Microsoft Entra Connect, è anche possibile selezionare l'opzione per scrivere indietro le password utilizzando Microsoft Entra Cloud Sync.
  5. Impostare l'opzione Consentire agli utenti di sbloccare gli account senza reimpostare la password? su .
  6. Al termine, selezionare Salva.

Usando PowerShell

Per utilizzare la riscrittura delle password e abilitare il servizio di reimpostazione password self-service, per rilevare l'agente di sincronizzazione cloud, usa il cmdlet Set-AADCloudSyncPasswordWritebackConfiguration e le credenziali di Amministratore Globale del tenant:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Per ulteriori informazioni sull'uso del writeback delle password con Microsoft Entra Cloud Sync, vedere Esercitazione: Abilitare il writeback della reimpostazione della password self-service dalla sincronizzazione cloud a un ambiente locale .

Installare un agente nel cloud del governo degli Stati Uniti

Per impostazione predefinita, l'agente di provisioning Di Microsoft Entra viene installato nell'ambiente Azure predefinito. Se si installa l'agente per l'uso del governo degli Stati Uniti, apportare questa modifica nel passaggio 7 della procedura di installazione precedente:

  • Invece di selezionare Apri file, selezionare Avvia>esecuzione e quindi passare al file AADConnectProvisioningAgentSetup.exe. Nella casella Esegui immettere ENVIRONMENTNAME=AzureUSGovernment dopo l'eseguibile e quindi selezionare OK.

    Screenshot che mostra come installare un agente nel cloud del governo degli Stati Uniti.

Sincronizzazione dell'hash delle password e FIPS tramite sincronizzazione cloud

Se il server è stato bloccato in base allo standard FIPS (Federal Information Processing Standard), MD5 (algoritmo message-digest 5) è disabilitato.

Per abilitare MD5 per la sincronizzazione dell'hash delle password, eseguire le operazioni seguenti:

  1. Passare a %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Aprire AADConnectProvisioningAgent.exe.config.
  3. Passare al nodo di configurazione/runtime nella parte superiore del file.
  4. Aggiungere il <enforceFIPSPolicy enabled="false"/> nodo.
  5. Salva le modifiche.

Per riferimento, il codice dovrebbe essere simile al frammento di codice seguente:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Per informazioni sulla sicurezza e su FIPS, vedere sincronizzazione hash delle password, crittografia e conformità FIPS di Microsoft Entra.

Passaggi successivi