Instalace agenta zřizování Microsoft Entra

  • Článek

Tento článek vás provede procesem instalace agenta zřizování Microsoft Entra a počáteční konfigurací v Centru pro správu Microsoft Entra.

Důležité

Následující pokyny k instalaci předpokládají, že jste splnili všechny požadavky.

Poznámka:

Tento článek se zabývá instalací agenta zřizování pomocí průvodce. Informace o instalaci agenta zřizování Microsoft Entra pomocí rozhraní příkazového řádku naleznete v tématu Instalace agenta zřizování Microsoft Entra pomocí rozhraní příkazového řádku a PowerShellu.

Další informace a příklad najdete v následujícím videu:

Skupinové účty spravované služby

Skupinový účet spravované služby (gMSA) je spravovaný účet domény, který poskytuje automatickou správu hesel, zjednodušenou správu hlavního názvu služby (SPN) a možnost delegovat správu jiným správcům. GMSA tuto funkci rozšiřuje také na více serverů. Microsoft Entra Cloud Sync podporuje a doporučuje používat gMSA pro spuštění agenta. Další informace najdete v tématu Seskupování účtů spravované služby.

Aktualizace existujícího agenta tak, aby používal gMSA

Pokud chcete aktualizovat existujícího agenta tak, aby používal účet spravované služby skupiny vytvořený během instalace, upgradujte službu agenta na nejnovější verzi spuštěním AAD Připojení ProvisioningAgent.msi. Teď znovu spusťte průvodce instalací a po zobrazení výzvy zadejte přihlašovací údaje k vytvoření účtu.

Instalace agenta

  1. Na webu Azure Portal vyberte ID Microsoft Entra.
  2. Vlevo vyberte Připojení Microsoft Entra.
  3. Na levé straně vyberte cloudovou synchronizaci.

Screenshot of new UX screen.

  1. Na levé straně vyberte Agent.
  2. Vyberte Stáhnout místního agenta a vyberte Přijmout podmínky a stáhnout.

Screenshot of download agent.

  1. Po dokončení stahování balíčku agenta zřizování Microsoft Entra Připojení spusťte instalační soubor AAD Připojení ProvisioningAgentSetup.exe ze složky pro stahování.

Poznámka:

Při instalaci pro cloud státní správy USA použijte:
AAD Připojení ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Další informace najdete v tématu Instalace agenta v cloudu státní správy USA.

  1. Na úvodní obrazovce vyberte Souhlasím s licencí a podmínkami a pak vyberte Nainstalovat.

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. Po dokončení instalace se spustí průvodce konfigurací. Výběrem možnosti Další spusťte konfiguraci. Screenshot of the welcome screen.
  2. Na obrazovce Vybrat rozšíření vyberte zřizování řízené hrou (Workday a SuccessFactors) / Microsoft Entra Připojení synchronizaci cloudu a klikněte na Další. Screenshot of the select extensions screen.

Poznámka:

Pokud instalujete agenta zřizování pro použití s místním zřizováním aplikací, vyberte místní zřizování aplikací (Microsoft Entra ID pro aplikaci).

  1. Přihlaste se pomocí účtu Microsoft Entra Global Správa istrator nebo hybridní identity Správa istrator. Pokud máte povolené rozšířené zabezpečení Internet Exploreru, zablokuje se přihlášení. Pokud ano, zavřete instalaci, zakažte rozšířené zabezpečení aplikace Internet Explorer a restartujte instalaci balíčku agenta zřizování microsoft Entra Připojení.

Screenshot of the Connect Microsoft Entra ID screen.

  1. Na obrazovce Konfigurovat účet služby vyberte skupinu Účet spravované služby (gMSA). Tento účet slouží ke spuštění služby agenta. Pokud už je účet spravované služby ve vaší doméně nakonfigurovaný jiným agentem a instalujete druhého agenta, vyberte Vytvořit gMSA , protože systém zjistí existující účet a přidá požadovaná oprávnění pro nového agenta, aby používal účet gMSA. Po zobrazení výzvy zvolte jednu z těchto:
  • Vytvořte gMSA , který umožňuje agentovi vytvořit účet spravované služby provAgentgMSA$ za vás. Účet spravované služby skupiny (například CONTOSO\provAgentgMSA$) se vytvoří ve stejné doméně služby Active Directory, do které je hostitelský server připojený. Pokud chcete tuto možnost použít, zadejte přihlašovací údaje správce domény služby Active Directory (doporučeno).
  • Použijte vlastní účet gMSA a zadejte název účtu spravované služby, který jste pro tuto úlohu vytvořili ručně.

Pokračujte výběrem tlačítka Next (Další).

Screenshot of the Configure Service Account screen.

  1. Pokud se na obrazovce Připojení Active Directory zobrazí název vaší domény v části Nakonfigurované domény, přejděte k dalšímu kroku. V opačném případě zadejte název domény služby Active Directory a vyberte Přidat adresář.

  2. Přihlaste se pomocí účtu správce domény služby Active Directory. Účet správce domény by neměl mít heslo, jehož platnost vypršela. V případě, že vypršela platnost hesla nebo se během instalace agenta změní, budete muset agenta znovu nakonfigurovat pomocí nových přihlašovacích údajů. Tato operace přidá místní adresář. Vyberte OK a pak pokračujte výběrem možnosti Další .

Screenshot that shows how to enter the domain admin credentials.

  1. Následující snímek obrazovky ukazuje příklad contoso.com nakonfigurované domény. Pokračujte výběrem tlačítka Další.

Screenshot of the Connect Active Directory screen.

  1. Na obrazovce Dokončení konfigurace vyberte Potvrdit. Tato operace zaregistruje a restartuje agenta.

  2. Po dokončení této operace byste měli být upozorněni, že konfigurace agenta byla úspěšně ověřena. Můžete vybrat Možnost Ukončit.

Screenshot that shows the finish screen.

  1. Pokud se vám stále zobrazuje úvodní obrazovka, vyberte Zavřít.

Ověření instalace agenta

K ověření agenta dochází na webu Azure Portal a na místním serveru, na kterém běží agent.

Ověření agenta na webu Azure Portal

Pokud chcete ověřit, že agent je zaregistrovaný pomocí ID Microsoft Entra, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Vyberte Microsoft Entra ID.
  3. Vyberte Microsoft Entra Připojení a pak vyberte Cloud sync.Screenshot of new UX screen.
  4. Na stránce synchronizace cloudu uvidíte agenty, které jste nainstalovali. Ověřte, že se agent zobrazí a stav je v pořádku.

Na místním serveru

Pokud chcete ověřit, že je agent spuštěný, postupujte takto:

  1. Přihlaste se k serveru pomocí účtu správce.
  2. Otevřete služby tak, že na ni přejdete nebo přejdete na Start/Run/Services.msc.
  3. V části Služby se ujistěte, že je k dispozici Microsoft Entra Připojení Agent Updater a Microsoft Entra Připojení Provisioning Agent a stav Spuštěno. Screenshot that shows the Windows services.

Ověření verze agenta zřizování

Pokud chcete ověřit, že je spuštěná verze agenta, postupujte takto:

  1. Přejděte na C:\Program Files\Microsoft Azure AD Připojení Provisioning Agent.
  2. Klikněte pravým tlačítkem na AAD Připojení ProvisioningAgent.exe a vyberte vlastnosti.
  3. Klikněte na kartu podrobností a vedle verze produktu se zobrazí číslo verze.

Důležité

Po instalaci agenta musíte nakonfigurovat a povolit ho, než začne synchronizovat uživatele. Pokud chcete nakonfigurovat nového agenta, přečtěte si téma Vytvoření nové konfigurace pro Microsoft Entra Cloud Sync.

Povolení zpětného zápisu hesla v cloudové synchronizaci

Zpětný zápis hesla můžete povolit přímo na portálu nebo prostřednictvím PowerShellu.

Povolení zpětného zápisu hesla na portálu

Pokud chcete použít zpětný zápis hesla a povolit samoobslužné resetování hesla (SSPR) ke zjištění agenta cloudové synchronizace pomocí portálu, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní identita Správa istrator.
  2. Na levé straně vyberte Možnost Ochrana, vyberte Resetování hesla a pak zvolte Místní integrace.
  3. Zaškrtněte políčko Povolit zpětný zápis hesla pro synchronizované uživatele .
  4. (volitelné) Pokud se zjistí agenti zřizování Microsoft Entra Připojení, můžete také zkontrolovat možnost Zapisovat zpět hesla pomocí Microsoft Entra Cloud Sync.
  5. Zaškrtněte políčko Povolit uživatelům odemknout účty bez resetování hesla na Ano.
  6. Až budete připraveni, vyberte Uložit.

Pomocí prostředí PowerShell

Pokud chcete použít zpětný zápis hesla a povolit samoobslužné resetování hesla (SSPR) ke zjištění agenta cloudové synchronizace, použijte Set-AADCloudSyncPasswordWritebackConfiguration rutinu a přihlašovací údaje globálního správce tenanta:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Další informace o použití zpětného zápisu hesla se službou Microsoft Entra Cloud Sync najdete v kurzu: Povolení zpětného zápisu hesla samoobslužného resetování hesla synchronizace cloudu do místního prostředí (Preview).

Instalace agenta v cloudu státní správy USA

Ve výchozím nastavení je agent zřizování Microsoft Entra nainstalovaný ve výchozím prostředí Azure. Pokud instalujete agenta pro použití státní správy USA, proveďte tuto změnu v kroku 7 předchozího postupu instalace:

  • Místo toho, abyste vybrali Otevřít soubor, vyberte Spustit>a pak přejděte do souboru AAD Připojení ProvisioningAgentSetup.exe. Do pole Spustit zadejte za spustitelný soubor ENVIRONMENTNAME=AzureUSGovernment a pak vyberte OK.

    Screenshot that shows how to install an agent in the US government cloud.

Synchronizace hodnot hash hesel a FIPS s cloudovou synchronizací

Pokud je váš server uzamčený podle standardu FIPS (Federal Information Processing Standard), je md5 (algoritmus hash zpráv 5) zakázaný.

Pokud chcete povolit synchronizaci hodnot hash hesel MD5, postupujte takto:

  1. Přejděte na %programfiles%\Microsoft Azure AD Připojení Agent zřizování.
  2. Otevřete AAD Připojení ProvisioningAgent.exe.config.
  3. V horní části souboru přejděte do uzlu konfigurace/modulu runtime.
  4. <enforceFIPSPolicy enabled="false"/> Přidejte uzel.
  5. Uložte provedené změny.

Pro referenci by váš kód měl vypadat jako následující fragment kódu:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Informace o zabezpečení a FIPS naleznete v tématu Synchronizace hodnot hash hesel, šifrování a dodržování předpisů FIPS společnosti Microsoft Entra.

Další kroky