A Microsoft Entra kiépítési ügynök telepítése

  • Cikk

Ez a cikk bemutatja a Microsoft Entra kiépítési ügynök telepítési folyamatát, és azt, hogyan konfigurálhatja azt a Microsoft Entra felügyeleti központban.

Fontos

Az alábbi telepítési utasítások feltételezik, hogy teljesítette az összes előfeltételt.

Feljegyzés

Ez a cikk a kiépítési ügynök varázslóval történő telepítésével foglalkozik. A Microsoft Entra kiépítési ügynök parancssori felülettel történő telepítéséről további információt a Microsoft Entra kiépítési ügynök telepítése parancssori felület és PowerShell használatával című témakörben talál.

További információkért és egy példaért tekintse meg a következő videót:

Csoportosan felügyelt szolgáltatásfiókok

A csoportos felügyelt szolgáltatásfiók (gMSA) egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnevet (SPN) biztosít, és lehetővé teszi a felügyelet más rendszergazdák számára történő delegálását. A gMSA ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és javasolja a gMSA használatát az ügynök futtatásához. További információ: Csoport által felügyelt szolgáltatásfiókok.

Meglévő ügynök frissítése a gMSA használatára

Ha frissíteni szeretne egy meglévő ügynököt a telepítés során létrehozott csoportos felügyelt szolgáltatásfiók használatára, frissítse az ügynökszolgáltatást a legújabb verzióra az AAD futtatásával Csatlakozás ProvisioningAgent.msi. Most futtassa újra a telepítővarázslót, és adja meg a fiók létrehozásához szükséges hitelesítő adatokat, amikor a rendszer erre kéri.

Az ügynök telepítése

  1. Az Azure Portalon válassza a Microsoft Entra-azonosítót.
  2. A bal oldalon válassza a Microsoft Entra Csatlakozás lehetőséget.
  3. A bal oldalon válassza a Felhőszinkronizálás lehetőséget.

Screenshot of new UX screen.

  1. A bal oldalon válassza az Ügynök lehetőséget.
  2. Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.

Screenshot of download agent.

  1. Miután a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag letöltése befejeződött, futtassa az AAD Csatlakozás ProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.

Feljegyzés

Az USA kormányzati felhőszolgáltatásának telepítésekor:
AAD Csatlakozás ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.

  1. A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. A telepítési művelet befejeződése után a konfigurációs varázsló elindul. Válassza a Tovább gombot a konfiguráció elindításához. Screenshot of the welcome screen.
  2. A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Csatlakozás felhőszinkronizálást, és kattintson a Tovább gombra. Screenshot of the select extensions screen.

Feljegyzés

Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).

  1. Jelentkezzen be a Microsoft Entra Global Rendszergazda istrator vagy hibrid identitás Rendszergazda istrator-fiókjával. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Csatlakozás Kiépítési ügynökcsomag telepítését.

Screenshot of the Connect Microsoft Entra ID screen.

  1. A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
  • Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
  • Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.

A folytatáshoz kattintson a Tovább gombra.

Screenshot of the Configure Service Account screen.

  1. Ha a tartománynév a Konfigurált tartományok területen jelenik meg az Csatlakozás Active Directory képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.

  2. Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosult, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.

Screenshot that shows how to enter the domain admin credentials.

  1. Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.

Screenshot of the Connect Active Directory screen.

  1. A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.

  2. A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.

Screenshot that shows the finish screen.

  1. Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.

Az ügynök telepítésének ellenőrzése

Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.

Azure Portal-ügynök ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki a Microsoft Entra ID.
  3. Válassza a Microsoft Entra Csatlakozás, majd a Felhőszinkronizálás lehetőséget.Screenshot of new UX screen.
  4. A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.

A helyi kiszolgálón

Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
  2. Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
  3. A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Csatlakozás Agent Updater és a Microsoft Entra Csatlakozás Kiépítési ügynök jelen van, és az állapot fut. Screenshot that shows the Windows services.

A kiépítési ügynök verziójának ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök verziója fut-e, kövesse az alábbi lépéseket:

  1. Keresse meg a "C:\Program Files\Microsoft Azure AD Csatlakozás Kiépítési ügynök" lehetőséget
  2. Kattintson a jobb gombbal az "AAD Csatlakozás ProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
  3. Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.

Fontos

Az ügynök telepítése után konfigurálnia és engedélyeznie kell azt, mielőtt elkezdené szinkronizálni a felhasználókat. Új ügynök konfigurálásához lásd : Új konfiguráció létrehozása a Microsoft Entra Cloud Synchez.

Jelszóvisszaíró engedélyezése a felhőbeli szinkronizálásban

A jelszóvisszaírást az SSPR-ben engedélyezheti közvetlenül a portálon vagy a PowerShellen keresztül.

Jelszóvisszaíró engedélyezése a portálon

Ha jelszóvisszaírást szeretne használni, és engedélyezni szeretné az önkiszolgáló jelszó-visszaállítási (SSPR) szolgáltatást a felhőszinkronizálási ügynök észleléséhez a portál használatával, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitás Rendszergazda istratorként.
  2. A bal oldalon válassza a Védelem lehetőséget, válassza a Jelszó alaphelyzetbe állítása, majd a Helyszíni integráció lehetőséget.
  3. Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára .
  4. (nem kötelező) Ha a Rendszer észleli a Microsoft Entra Csatlakozás kiépítési ügynököket, akkor a Jelszavak visszaírása a Microsoft Entra Cloud Sync szolgáltatással lehetőséget is ellenőrizheti.
  5. Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
  6. Ha elkészült, válassza a Mentés lehetőséget.

A PowerShell használata

Ha jelszóvisszaírást szeretne használni, és engedélyezni szeretné az önkiszolgáló jelszó-visszaállítási (SSPR) szolgáltatást a felhőszinkronizálási ügynök észleléséhez, használja a Set-AADCloudSyncPasswordWritebackConfiguration parancsmagot és a bérlő globális rendszergazdai hitelesítő adatait:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

További információ a jelszóvisszaírás Microsoft Entra Cloud Synctel való használatáról: Oktatóanyag: A felhőszinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe (előzetes verzió).

Ügynök telepítése az USA kormányzati felhőjében

Alapértelmezés szerint a Microsoft Entra kiépítési ügynök az alapértelmezett Azure-környezetben van telepítve. Ha az egyesült államokbeli kormányzati használatra készült ügynököt telepíti, végezze el ezt a módosítást az előző telepítési eljárás 7. lépésében:

  • A fájl megnyitása helyett válassza a Futtatás indítása>lehetőséget, majd lépjen az AAD Csatlakozás ProvisioningAgentSetup.exe fájlra. A Futtatás mezőben a végrehajtható fájl után adja meg a ENVIRONMENTNAME=AzureUSGovernment nevet, majd kattintson az OK gombra.

    Screenshot that shows how to install an agent in the US government cloud.

Jelszókivonat-szinkronizálás és FIPS felhőbeli szinkronizálással

Ha a kiszolgálót a Federal Information Processing Standard (FIPS) szerint zárolták, az MD5 (5. üzenet-kivonatoló algoritmus) le van tiltva.

Ha engedélyezni szeretné az MD5-öt a jelszókivonat-szinkronizáláshoz, tegye a következőket:

  1. Nyissa meg a %programfiles%\Microsoft Azure AD Csatlakozás Kiépítési ügynököt.
  2. Nyissa meg az AAD Csatlakozás ProvisioningAgent.exe.config fájlt.
  3. Nyissa meg a konfigurációs/futtatókörnyezeti csomópontot a fájl tetején.
  4. Adja hozzá a csomópontot <enforceFIPSPolicy enabled="false"/> .
  5. Mentse a módosításokat.

Hivatkozásként a kódnak az alábbi kódrészlethez hasonlóan kell kinéznie:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

A biztonságról és a FIPS-ről további információt a Microsoft Entra jelszókivonat-szinkronizálása, titkosítása és FIPS-megfelelősége című témakörben talál.

Következő lépések