Udostępnij za pośrednictwem

Zainstaluj agenta aprowizacji Microsoft Entra

  • Artykuł

W tym artykule przedstawiono proces instalacji agenta aprowizacji firmy Microsoft oraz sposób początkowego konfigurowania go w centrum administracyjnym firmy Microsoft Entra.

Ważne

W poniższych instrukcjach instalacji przyjęto założenie, że zostały spełnione wszystkie wymagania wstępne.

Uwaga

Ten artykuł dotyczy instalowania agenta aprowizacji przy użyciu kreatora. Aby uzyskać informacje na temat instalowania agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia, zobacz Instalowanie agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia i programu PowerShell.

Aby uzyskać więcej informacji i przykład, zobacz następujący film wideo:

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę (gMSA) to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) oraz możliwość delegowania zarządzania do innych administratorów. gMSA rozszerza również tę funkcjonalność na wielu serwerach. Usługa Microsoft Entra Cloud Sync obsługuje i zaleca użycie grupowego zarządzanego konta usługi (gMSA) do uruchamiania agenta. Aby uzyskać więcej informacji, zobacz Konta usług zarządzanych przez grupę.

Aktualizowanie istniejącego agenta do używania gMSA

Aby zaktualizować istniejącego agenta do używania konta usługi zarządzanego przez grupę utworzonego podczas instalacji, uaktualnij usługę agenta do najnowszej wersji, uruchamiając AADConnectProvisioningAgent.msi. Teraz ponownie przejdź przez kreatora instalacji i podaj poświadczenia, aby utworzyć konto, kiedy zostaniesz o to poproszony.

Instalowanie agenta

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Connect.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu Microsoft Entra Connect Provisioning Agent uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu Pobrane.

Uwaga

Podczas instalowania dla Chmury Rządowej Stanów Zjednoczonych:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny pakietu microsoft Entra Connect Provisioning Agent.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizacja oparta na HR (Workday i SuccessFactors) / Microsoft Entra Connect synchronizacja w chmurze i wybierz Następny. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z usługą Microsoft Entra on-premises application provisioning, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się na konto z przynajmniej rolą Administratora Tożsamości Hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.

Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID (Łączenie identyfikatora entra firmy Microsoft).

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz gMSA, które umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ dla Ciebie. Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę konta usługi zarządzanego, które zostało utworzone ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmieni się podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład skonfigurowanej domeny contoso.com. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Connect Active Directory.

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal widoczny, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta portalu Azure

Aby sprawdzić, czy agent jest rejestrowany przez Microsoft Entra ID, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze. Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest zdrowy.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że Microsoft Entra Connect Agent Updater i Microsoft Entra Connect Provisioning Agent są obecne, a ich status to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Sprawdź wersję agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Ważne

Po zainstalowaniu agenta należy go skonfigurować i włączyć przed rozpoczęciem synchronizowania użytkowników. Aby skonfigurować nowego agenta, zobacz Tworzenie nowej konfiguracji dla usługi Microsoft Entra Cloud Sync.

Włącz zapisywanie zwrotne haseł w synchronizacji w chmurze

Funkcję zapisywania zwrotnego haseł można włączyć bezpośrednio w portalu lub za pomocą programu PowerShell.

Włącz zapisywanie zwrotne haseł w portalu

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługową usługę resetowania haseł (SSPR) do wykrywania agenta synchronizacji w chmurze, korzystając z portalu, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
  2. Po lewej stronie wybierz pozycję Ochrona, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników .
  4. (opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisuj hasła zwrotne za pomocą usługi Microsoft Entra Cloud Sync.
  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Korzystanie z programu PowerShell

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługowe resetowanie hasła (SSPR) w celu rozpoznania agenta synchronizacji w chmurze, użyj Set-AADCloudSyncPasswordWritebackConfiguration polecenia cmdlet i poświadczeń administratora globalnego dla dzierżawy:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Aby uzyskać więcej informacji na temat używania funkcji zapisywania zwrotnego haseł w usłudze Microsoft Entra Cloud Sync, zobacz Samouczek: włączanie samoobsługowego resetowania haseł przez zapisywanie zwrotne do środowiska lokalnego.

Instalowanie agenta w chmurze rządowej USA

Domyślnie agent aprowizacji firmy Microsoft jest instalowany w domyślnym środowisku platformy Microsoft Azure. Jeśli instalujesz agenta dla instytucji rządowych USA, wprowadź tę zmianę w kroku 7 poprzedniej procedury instalacji:

  • Zamiast wybierać pozycję Otwórz plik, wybierz pozycję Start>Uruchom, a następnie przejdź do pliku AADConnectProvisioningAgentSetup.exe. W polu Uruchom po nazwie programu wykonywalnego wprowadź wartość ENVIRONMENTNAME=AzureUSGovernment, a następnie kliknij OK.

    Zrzut ekranu przedstawiający sposób instalowania agenta w chmurze dla instytucji rządowych USA.

Synchronizacja skrótów haseł i FIPS z synchronizacją w chmurze

Jeśli serwer został zablokowany zgodnie z Federalnym Standardem Przetwarzania Informacji (FIPS), MD5 (algorytm skrótu wiadomości 5) jest wyłączony.

Aby włączyć rozwiązanie MD5 na potrzeby synchronizacji skrótów haseł, wykonaj następujące czynności:

  1. Przejdź do folderu %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Otwórz plik AADConnectProvisioningAgent.exe.config.
  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego w górnej części pliku.
  4. Dodaj węzeł <enforceFIPSPolicy enabled="false"/>.
  5. Zapisz zmiany.

Dla porównania, twój kod powinien wyglądać jak taki fragment kodu:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Aby uzyskać informacje o zabezpieczeniach i standardach FIPS, zobacz Microsoft Entra password hash sync, encryption and FIPS compliance.

Następne kroki