Steuern von Cloudbenutzern und Gruppen, die über Active Directory bereitgestellt werden, mithilfe der Microsoft Entra ID Governance

Szenario: Verwalten von Cloudbenutzern und Gruppen, die über Active Directory bereitgestellt werden, mithilfe von Microsoft Entra Cloud Sync.

Voraussetzungen

Im Microsoft Entra Admin Center

• Microsoft empfiehlt Organisationen, zwei ausschließlich in der Cloud befindliche Notfallzugriffskonten dauerhaft der Rolle Global Administrator zugewiesen zu haben. Diese Konten sind hochprivilegiert und werden bestimmten Personen nicht zugewiesen. Die Konten sind auf Notfallszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administrierenden versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
• Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrer lokalen Umgebung

1. Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET-Runtime 4.7.1 oder höher an

2. Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

   • Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:

     Portnummer	Wie diese verwendet wird
     80	Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
     443	Bearbeitet alle ausgehende Kommunikation mit dem Dienst
     8080 (fakultativ)	Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Portal angezeigt.

     Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

   • Wenn Ihre Firewall oder Ihr Proxy die Angabe sicherer Suffixe erlaubt, fügen Sie Verbindungen zu *.msappproxy.net und *.servicebus.windows.net hinzu. Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden.

   • Ihre Agents benötigen für die Erstregistrierung Zugriff auf login.windows.net und login.microsoftonline.com. Öffnen Sie Ihre Firewall auch für diese URLs.

   • Geben Sie für die Überprüfung des Zertifikats folgende URLs frei: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 und www.microsoft.com:80. Da diese URLs für die Überprüfung des Zertifikats in Verbindung mit anderen Microsoft-Produkten verwendet werden, haben Sie deren Blockierung möglicherweise bereits aufgehoben.

Installieren des Microsoft Entra-Bereitstellungs-Agents

Wenn Sie das Tutorial Grundlegende AD- und Azure-Umgebung verwenden, ist dies „DC1“. Führen Sie die folgenden Schritte aus, um den Agent zu installieren:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

2. Wählen Sie im linken Bereich Entra Connect und dann Cloud Sync aus.

   

3. Wählen Sie im linken Bereich Agents aus.

4. Wählen Sie On-Premises-Agent herunterladen aus, und wählen Sie dann Bedingungen akzeptieren und herunterladen.

   

5. Nachdem Sie das Microsoft Entra Connect-Bereitstellungs-Agent-Paket heruntergeladen haben, führen Sie die AADConnectProvisioningAgentSetup.exe Installationsdatei aus Ihrem Downloadordner aus.

6. Wählen Sie auf dem geöffneten Bildschirm die Ich stimme den Lizenzbedingungen zu-Checkbox aus, und wählen Sie dann Installieren.

   

7. Nach Abschluss der Installation wird der Konfigurations-Assistent geöffnet. Wählen Sie Weiter aus, um die Konfiguration zu starten.

   

8. Melden Sie sich mit einem Konto mit mindestens der Rolle Hybrididentitätsadmin an. Wenn Sie die erweiterte Sicherheit von Internet Explorer aktiviert haben, wird die Anmeldung blockiert. Wenn ja, schließen Sie die Installation, deaktivieren Sie die erweiterte Sicherheit von Internet Explorer, und starten Sie die Installation des Microsoft Entra-Bereitstellungs-Agent-Pakets neu.

   

9. Wählen Sie im Bildschirm Dienstkonto konfigurieren ein gruppenverwaltetes Dienstkonto (gMSA) aus. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet. Wenn ein verwaltetes Dienstkonto bereits von einem anderen Agent in Ihrer Domäne konfiguriert wurde und Sie einen zweiten Agent installieren, wählen Sie gMSA erstellen. Das System erkennt das vorhandene Konto und fügt die erforderlichen Berechtigungen für den neuen Agent hinzu, um das gMSA-Konto zu verwenden. Wenn Sie dazu aufgefordert werden, wählen Sie eine von zwei Optionen aus:

   • gMSA erstellen: Lassen Sie den Agenten das verwaltete Dienstkonto provAgentgMSA$ für Sie erstellen. Das gruppenverwaltete Dienstkonto (z. B. #B0) wird in derselben Active Directory-Domäne erstellt, in der der Hostserver mitglied ist. Um diese Option zu verwenden, geben Sie die Anmeldeinformationen des Active Directory-Domänenadministratorkontos ein (empfohlen).
   • Benutzerdefinierte gMSA verwenden: Geben Sie den Namen des verwalteten Dienstkontos an, das Sie für diese Aufgabe manuell erstellt haben.

   

10. Wählen Sie zum Fortsetzen des Vorgangs Weiter aus.

11. Wenn Ihr Domänenname im Bildschirm Active Directory verbinden unter Konfigurierte Domänen angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Geben Sie andernfalls Ihren Active Directory-Domänennamen ein, und wählen Sie Verzeichnis hinzufügen aus.

    

12. Melden Sie sich mit Ihrem Active Directory-Domänenadministratorkonto an. Das Kennwort des Domänenadministratorkontos darf nicht abgelaufen sein. Wenn das Kennwort während der Agentinstallation abgelaufen ist oder sich ändert, konfigurieren Sie den Agent mit den neuen Anmeldeinformationen neu. Dieser Vorgang fügt Ihr lokales Verzeichnis hinzu. Wählen Sie OK aus, und wählen Sie dann Weiter aus, um fortzufahren.

13. Klicken Sie auf Weiter, um fortzufahren.

14. Wählen Sie auf dem Bildschirm Konfiguration abgeschlossen die Option Bestätigen aus. Damit wird der Agent registriert und neu gestartet.

    

15. Nach Abschluss des Vorgangs wird eine Benachrichtigung angezeigt, dass die Agentkonfiguration erfolgreich überprüft wurde. Wählen Sie Beenden aus. Wenn der Startbildschirm weiterhin angezeigt wird, wählen Sie Schließen aus.

Überprüfen der Agent-Installation

Die Agentüberprüfung erfolgt im Azure-Portal und auf dem lokalen Server, auf dem der Agent ausgeführt wird.

Überprüfen des Agents im Azure-Portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Microsoft Entra-ID den Agent registriert:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

2. Wählen Sie Entra Connect und dann Cloud Sync aus.

   

3. Klicken Sie auf der Seite "CloudSynchronisierung" auf "Agents", um die agents anzuzeigen, die Sie installiert haben. Überprüfen Sie, ob der Agent angezeigt wird und der Status aktiv ist.

Überprüfen des Agents auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird.

1. Melden Sie sich beim Server mit einem Administratorkonto an.

2. Gehen Sie zu Services. Sie können auch Start/Run/Services.msc verwenden, um darauf zuzugreifen.

3. Stellen Sie unter "Dienste" sicher, dass microsoft Azure AD Connect Agent Updater und Microsoft Azure AD Connect Provisioning Agent vorhanden sind und dass der Status "Ausgeführt" ist.

   

Überprüfen der Version des Bereitstellungsagents

Führen Sie die folgenden Schritte aus, um die Version des ausgeführten Agents zu überprüfen:

1. Wechseln Sie zu C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Klicken Sie mit der rechten Maustaste auf AADConnectProvisioningAgent.exe , und wählen Sie "Eigenschaften" aus.
3. Wählen Sie die Registerkarte Details aus. Die Versionsnummer wird neben der Produktversion angezeigt.

Konfigurieren der Microsoft Entra-Cloudsynchronisierung

Führen Sie die folgenden Schritte aus, um die Bereitstellung zu konfigurieren und zu starten:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

   

3. Wählen Sie "Neue Konfiguration>AD" für die Microsoft Entra-ID-Synchronisierung aus.
4. Wählen Sie die Domäne aus, die Sie synchronisieren möchten, und wählen Sie "Erstellen" aus.

Weitere Informationen zum Konfigurieren von Microsoft Entra Cloud Sync finden Sie unter Bereitstellen von Active Directory für Microsoft Entra ID.

Überprüfen, ob Benutzer erstellt wurden und die Synchronisierung erfolgt

Sie werden nun überprüfen, ob die Benutzer, die Sie in Ihrem lokalen Verzeichnis hatten, die im Rahmen der Synchronisierung stehen, synchronisiert wurden und jetzt in Ihrem Microsoft Entra-Mandanten vorhanden sind. Der Synchronisierungsvorgang kann einige Stunden dauern. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Benutzer synchronisiert wurden:

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
2. Navigieren Sie zu Entra-ID-Benutzern>.
3. Stellen Sie sicher, dass die neuen Benutzer in Ihrer Mandantenumgebung angezeigt werden.

Testen Sie die Anmeldung mit einem Ihrer Benutzer

1. Browsen Sie zu https://myapps.microsoft.com

2. Melden Sie sich mit einem Benutzerkonto an, das in Ihrem Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer lokal anmeldet.

Sie haben nun mit Microsoft Entra Could Sync erfolgreich eine Hybrididentitätsumgebung konfiguriert.

Nächste Schritte

• Was ist Identity Lifecycle Management?
• Was ist Bereitstellung?
• Was ist die Microsoft Entra Connect Cloud-Bereitstellung?