Installieren des Microsoft Entra-Bereitstellungs-Agenten

  • Artikel

In diesem Artikel werden die Installation des Microsoft Entra-Bereitstellungs-Agenten und die Erstkonfiguration des Agenten im Microsoft Entra Admin Center detailliert erläutert.

Wichtig

Die folgenden Installationsanweisungen setzen voraus, dass alle Voraussetzungen erfüllt sind.

Hinweis

In diesem Artikel wird die Installation des Bereitstellungs-Agents mithilfe des Assistenten behandelt. Informationen zur Installation des Microsoft Entra-Bereitstellungs-Agenten mithilfe einer CLI finden Sie unter Installieren des Microsoft Entra-Bereitstellungs-Agenten mit einer CLI und PowerShell.

Weitere Informationen und ein Beispiel finden Sie im folgenden Video:

Gruppenverwaltete Dienstkonten

Ein gruppenverwaltetes Dienstkonto (group Managed Service Account, gMSA) ist ein verwaltetes Domänenkonto, das eine automatische Kennwortverwaltung, eine vereinfachte Verwaltung von Dienstprinzipalnamen (Service Principal Name, SPN) und die Möglichkeit bietet, die Verwaltung an andere Administratoren zu delegieren. Ein gMSA erweitert diese Funktionalität außerdem auf mehrere Server. Die Microsoft Entra-Cloudsynchronisierung unterstützt und empfiehlt die Verwendung eines gruppenverwalteten Dienstkontos (Group Managed Service Account, gMSA) zum Ausführen des Agents. Weitere Informationen finden Sie unter Gruppenverwaltete Dienstkonten: Übersicht.

Aktualisieren eines vorhandenen Agents für die gMSA-Verwendung

Um einen vorhandenen Agent für die Verwendung des während der Installation erstellten gruppenverwalteten Dienstkontos zu aktualisieren, müssen Sie einfach den Agent-Dienst auf die neueste Version aktualisieren, indem Sie die Datei AADConnectProvisioningAgent.msi ausführen. Führen Sie jetzt den Installations-Assistenten erneut aus, und geben Sie bei entsprechender Aufforderung die Anmeldeinformationen ein, um das Konto zu erstellen.

Installieren des Agents

  1. Navigieren Sie im Azure-Portal zu Microsoft Entra ID.
  2. Wählen Sie links Microsoft Entra Connect aus.
  3. Wählen Sie auf der linken Seite Cloudsynchronisierung aus.

Screenshot of new UX screen.

  1. Wählen Sie auf der linken Seite Agent aus.
  2. Wählen Sie Lokalen Agent herunterladen und dann Bedingungen akzeptieren und herunterladen aus.

Screenshot of download agent.

  1. Nachdem das Microsoft Entra Connect-Bereitstellungs-Agent-Paket heruntergeladen wurde, führen Sie die Installationsdatei AADConnectProvisioningAgentSetup.exe aus Ihrem Ordner „Downloads“ aus.

Hinweis

Verwenden Sie bei der Installation für die US Government Cloud Folgendes:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Weitere Informationen finden Sie unter Installieren eines Agent in der US Government Cloud.

  1. Wählen Sie im Begrüßungsbildschirm Ich stimme den Lizenzbedingungen zu und anschließend Installieren aus.

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. Nach Abschluss des Installationsvorgangs wird der Konfigurations-Assistent gestartet. Wählen Sie Weiter aus, um die Konfiguration zu starten. Screenshot of the welcome screen.
  2. Wählen Sie auf dem Bildschirm Erweiterung auswählen die Option HR-gesteuerte Bereitstellung (Workday und SuccessFactors)/Microsoft Entra Connect-Cloudsynchronisierung aus, und klicken Sie auf Weiter. Screenshot of the select extensions screen.

Hinweis

Wenn Sie den Bereitstellungs-Agent für die Verwendung mit der lokalen App-Bereitstellung installieren, wählen Sie „Bereitstellung lokaler Anwendungen (Microsoft Entra ID zu Anwendung)“ aus.

  1. Melden Sie sich mit Ihrem globalen Administratorkonto oder Ihrem Hybrididentitätsadministrator-Konto von Microsoft Entra an. Wenn Sie die erweiterte Sicherheit von Internet Explorer aktiviert haben, wird die Anmeldung blockiert. Schließen Sie in diesem Fall die Installation, deaktivieren Sie die erweiterte Sicherheit von Internet Explorer, und starten Sie die Installation des Microsoft Entra Connect-Bereitstellungs-Agent-Pakets neu.

Screenshot of the Connect Microsoft Entra ID screen.

  1. Wählen Sie im Bildschirm Dienstkonto konfigurieren ein gruppenverwaltetes Dienstkonto (gMSA) aus. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet. Wenn in Ihrer Domäne bereits ein verwaltetes Dienstkonto durch einen anderen Agent konfiguriert wurde und Sie einen zweiten Agent installieren, wählen Sie gMSA erstellen aus, da das System das vorhandene Konto erkennt und die erforderlichen Berechtigungen für den neuen Agent hinzufügt, damit dieser das gMSA-Konto verwenden kann. Wenn Sie dazu aufgefordert werden, wählen Sie eine der folgenden Optionen aus:
  • gMSA erstellen, wodurch der Agent das verwaltete Dienstkonto provAgentgMSA$ für Sie erstellt. Das gruppenverwaltete Dienstkonto (z. B. CONTOSO\provAgentgMSA$) wird in derselben Active Directory-Domäne erstellt, in die der Hostserver eingebunden wurde. Um diese Option zu verwenden, geben Sie die Anmeldeinformationen des Active Directory-Domänenadministratorkontos ein (empfohlen).
  • Verwenden Sie ein benutzerdefiniertes gMSA, und geben Sie den Namen des verwalteten Dienstkontos an, das Sie manuell für diese Aufgabe erstellt haben.

Wählen Sie zum Fortsetzen des Vorgangs Weiter aus.

Screenshot of the Configure Service Account screen.

  1. Wenn Ihr Domänenname im Bildschirm Active Directory verbinden unter Konfigurierte Domänen angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Geben Sie andernfalls Ihren Active Directory-Domänennamen ein, und wählen Sie Verzeichnis hinzufügen aus.

  2. Melden Sie sich mit Ihrem Active Directory-Domänenadministratorkonto an. Das Kennwort des Domänenadministratorkontos darf nicht abgelaufen sein. Falls das Kennwort abgelaufen ist oder während der Agentinstallation geändert wird, müssen Sie den Agent mit den neuen Anmeldeinformationen neu konfigurieren. Dadurch wird Ihr lokales Verzeichnis hinzugefügt. Wählen Sie OK und dann Weiter aus, um fortzufahren.

Screenshot that shows how to enter the domain admin credentials.

  1. Der folgende Screenshot zeigt ein Beispiel für die konfigurierte Domäne „contoso.com“. Klicken Sie auf Weiter, um fortzufahren.

Screenshot of the Connect Active Directory screen.

  1. Wählen Sie auf dem Bildschirm Konfiguration abgeschlossen die Option Bestätigen aus. Dadurch wird der Agent registriert und neu gestartet.

  2. Sobald dieser Vorgang abgeschlossen ist, sollten Sie über Folgendes informiert werden: Ihre Agentenkonfiguration wurde erfolgreich überprüft. Sie können Beenden auswählen.

Screenshot that shows the finish screen.

  1. Falls weiterhin der erste Begrüßungsbildschirm angezeigt wird, wählen Sie Schließen aus.

Überprüfen der Agent-Installation

Die Agent-Überprüfung erfolgt im Azure-Portal und auf dem lokalen Server, auf dem der Agent ausgeführt wird.

Agent-Überprüfung im Azure-Portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent von Microsoft Entra ID erkannt wird:

  1. Melden Sie sich beim Azure-Portal an.
  2. Wählen Sie Microsoft Entra ID aus.
  3. Wählen Sie Microsoft Entra Connect und dann Cloudsynchronisierung aus. Screenshot of new UX screen.
  4. Auf der Seite Cloudsynchronisierung sehen Sie die Agents, die Sie installiert haben. Vergewissern Sie sich, dass der Agent angezeigt wird und den Status fehlerfrei aufweist.

Auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird.

  1. Melden Sie sich beim Server mit einem Administratorkonto an.
  2. Öffnen Sie die Seite Dienste, indem Sie zu dieser Seite navigieren oder Start/Ausführen/Services.msc auswählen.
  3. Vergewissern Sie sich, dass unter Dienste die Dienste Microsoft Entra Connect Agent Updater und Microsoft Entra Connect-Bereitstellungs-Agent angezeigt werden und ihr Status Wird ausgeführt lautet. Screenshot that shows the Windows services.

Überprüfen der Version des Bereitstellungs-Agents

Führen Sie die folgenden Schritte aus, um zu überprüfen, welche Version des Agents ausgeführt wird:

  1. Navigieren Sie zu „C:\Programme\Microsoft Azure AD Connect Provisioning Agent“.
  2. Klicken Sie mit der rechten Maustaste auf „AADConnectProvisioningAgent.exe“, und wählen Sie „Eigenschaften“ aus.
  3. Klicken Sie auf die Registerkarte „Details“. Die Versionsnummer wird neben „Produktversion“ angezeigt.

Wichtig

Nachdem Sie den Agent installiert haben, müssen Sie ihn konfigurieren und aktivieren, bevor er mit der Synchronisierung von Benutzern beginnt. Informationen zum Konfigurieren eines neuen Agents finden Sie unter Erstellen einer neuen Konfiguration für die Microsoft Entra-Cloudsynchronisierung.

Aktivieren des Kennwortrückschreibens in der Cloudsynchronisierung

Sie können das Kennwortrückschreiben in SSPR direkt im Portal oder über PowerShell aktivieren.

Aktivieren des Kennwortrückschreibens im Portal

Führen Sie die folgenden Schritte aus, um das Kennwortrückschreiben zu verwenden und den Self-Service-Kennwortzurücksetzungsdienst (Self-Service Password Reset, SSPR) zu aktivieren, um den Cloudsynchronisierungs-Agent über das Portal zu erkennen:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
  2. Wählen Sie auf der linken Seite Schutz und Kennwortzurücksetzung aus, und wählen Sie dann Lokale Integration aus.
  3. Aktivieren Sie die Option Kennwortrückschreiben für synchronisierte Benutzer aktivieren.
  4. (Optional) Wenn Microsoft Entra Connect-Bereitstellungs-Agents erkannt werden, können Sie zusätzlich die Option zum Zurückschreiben von Kennwörtern mit Microsoft Entra-Cloudsynchronisierung aktivieren.
  5. Legen Sie die Option Benutzern das Entsperren von Konten ohne Zurücksetzen des Kennworts erlauben auf Ja fest.
  6. Wählen Sie Speichern aus, wenn Sie so weit sind.

PowerShell

Um das Kennwortrückschreiben zu verwenden und den Self-Service-Kennwortzurücksetzungs-Dienst (SSPR) zum Erkennen des Cloudsynchronisierungs-Agents zu aktivieren, verwenden Sie das Cmdlet Set-AADCloudSyncPasswordWritebackConfiguration und die Anmeldeinformationen des globalen Administrators des Mandanten:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Weitere Informationen zur Verwendung des Kennwortrückschreibens mit der Microsoft Entra-Cloudsynchronisierung finden Sie unter Tutorial: Aktivieren der Cloudsynchronisierung für das Rückschreiben von Self-Service-Kennzurücksetzungen in eine lokale Umgebung (Vorschauversion).

Installieren eines Agents in der US Government-Cloud

Standardmäßig wird der Microsoft Entra-Bereitstellungs-Agent in der Azure-Standardumgebung installiert. Wenn Sie den Agent für die Verwendung durch US-Behörden installieren, nehmen Sie diese Änderung in Schritt 7 des vorherigen Installationsvorgangs vor:

  • Wählen Sie statt Datei öffnen die Option Start>Ausführen aus, und navigieren Sie anschließend zur Datei AADConnectProvisioningAgentSetup.exe. Geben Sie im Feld Ausführen nach der ausführbaren Datei ENVIRONMENTNAME=AzureUSGovernment ein, und wählen Sie OK aus.

    Screenshot that shows how to install an agent in the US government cloud.

Kennwort-Hashsynchronisierung und FIPS mit Cloudsynchronisierung

Wenn Ihr Server wegen FIPS (Federal Information Processing Standard) gesperrt wurde, ist MD5 (Message Digest Algorithm 5) deaktiviert.

Führen Sie zum Aktivieren von MD5 für die Kennworthashsynchronisierung die folgenden Schritte aus:

  1. Navigieren Sie zu „%programfiles%\Microsoft Azure AD Connect Provisioning Agent“.
  2. Öffnen Sie AADConnectProvisioningAgent.exe.config.
  3. Wechseln Sie zum Knoten „configuration/runtime“ am Anfang der Datei.
  4. Fügen Sie den Knoten <enforceFIPSPolicy enabled="false"/> hinzu.
  5. Speichern Sie die Änderungen.

Ihr Code sollte wie der folgende Codeausschnitt aussehen:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Informationen zur Sicherheit und zu FIPS (Federal Information Processing Standard) finden Sie unter Microsoft Entra password hash sync, encryption, and FIPS compliance (Microsoft Entra-Kennworthashsynchronisierung, Verschlüsselung und FIPS-Konformität).

Nächste Schritte