Megosztás a következőn keresztül:

A Microsoft Entra kiépítési ügynök telepítése

  • Cikk

Ez a cikk bemutatja a Microsoft Entra kiépítési ügynök telepítési folyamatát, és azt, hogyan konfigurálhatja azt a Microsoft Entra felügyeleti központban.

Fontos

Az alábbi telepítési utasítások feltételezik, hogy teljesítette az összes előfeltételt.

Feljegyzés

Ez a cikk a kiépítési ügynök varázslóval történő telepítésével foglalkozik. A Microsoft Entra kiépítési ügynök parancssori felülettel történő telepítéséről további információt a Microsoft Entra kiépítési ügynök telepítése parancssori felület és PowerShell használatával című témakörben talál.

További információkért és egy példaért tekintse meg a következő videót:

Csoportosan felügyelt szolgáltatásfiókok

A csoportos felügyelt szolgáltatásfiók (gMSA) egy felügyelt tartományi fiók, amely automatikus jelszókezelést, egyszerűsített egyszerű szolgáltatásnevet (SPN) biztosít, és lehetővé teszi a felügyelet más rendszergazdák számára történő delegálását. A gMSA ezt a funkciót több kiszolgálóra is kiterjeszti. A Microsoft Entra Cloud Sync támogatja és javasolja a gMSA használatát az ügynök futtatásához. További információ: Csoport által felügyelt szolgáltatásfiókok.

Meglévő ügynök frissítése a gMSA használatára

Ha frissíteni szeretne egy meglévő ügynököt a telepítés során létrehozott csoportos felügyelt szolgáltatásfiók használatára, frissítse az ügynökszolgáltatást a legújabb verzióra a AADConnectProvisioningAgent.msi futtatásával. Most futtassa újra a telepítővarázslót, és adja meg a fiók létrehozásához szükséges hitelesítő adatokat, amikor a rendszer erre kéri.

Az ügynök telepítése

  1. Az Azure Portalon válassza a Microsoft Entra-azonosítót.
  2. A bal oldalon válassza a Microsoft Entra Connect lehetőséget.
  3. A bal oldalon válassza a Felhőszinkronizálás lehetőséget.

Képernyőkép az új UX képernyőről.

  1. A bal oldalon válassza az Ügynök lehetőséget.
  2. Válassza a Helyszíni ügynök letöltése, majd a Feltételek elfogadása > letöltés lehetőséget.

Képernyőkép a letöltési ügynökről.

  1. A Microsoft Entra Connect kiépítési ügynökcsomag letöltése után futtassa a AADConnectProvisioningAgentSetup.exe telepítési fájlt a letöltési mappából.

Feljegyzés

Az USA kormányzati felhőszolgáltatásának telepítésekor:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
További információt az "Ügynök telepítése az EGYESÜLT Államok kormányzati felhőjében" című témakörben talál.

  1. A kezdőképernyőn válassza az Elfogadom a licencet és a feltételeket, majd válassza a Telepítés lehetőséget.

Képernyőkép a Microsoft Entra Connect kiépítési ügynökcsomag kezdőképernyőjéről.

  1. A telepítési művelet befejeződése után elindul a konfigurációs varázsló. Válassza a Tovább gombot a konfiguráció elindításához. Képernyőkép az üdvözlőképernyőről.
  2. A Bővítmény kiválasztása képernyőn válassza a HR-alapú kiépítést (Workday és SuccessFactors) / Microsoft Entra Connect felhőszinkronizálást, és válassza a Tovább lehetőséget. Képernyőkép a Bővítmények kiválasztása képernyőről.

Feljegyzés

Ha a kiépítési ügynököt helyszíni alkalmazáskiépítéshez telepíti, válassza a helyszíni alkalmazáskiépítést (Microsoft Entra-azonosító az alkalmazáshoz).

  1. Jelentkezzen be legalább hibrid identitás-rendszergazdai szerepkörrel rendelkező fiókkal. Ha engedélyezve van az Internet Explorer fokozott biztonsága, az blokkolja a bejelentkezést. Ha igen, zárja be a telepítést, tiltsa le az Internet Explorer fokozott biztonságát, és indítsa újra a Microsoft Entra Connect kiépítési ügynökcsomag telepítését.

Képernyőkép a Microsoft Entra-azonosító csatlakoztatása képernyőről.

  1. A Szolgáltatásfiók konfigurálása képernyőn válasszon ki egy csoportos felügyelt szolgáltatásfiókot (gMSA). Ez a fiók az ügynökszolgáltatás futtatására szolgál. Ha egy felügyelt szolgáltatásfiókot már konfigurált a tartományában egy másik ügynök, és egy második ügynököt telepít, válassza a GMSA létrehozása lehetőséget, mert a rendszer észleli a meglévő fiókot, és hozzáadja az új ügynökhöz szükséges engedélyeket a gMSA-fiók használatához. Amikor a rendszer kéri, válassza a következő lehetőségeket:
  • Hozzon létre gMSA-t , amely lehetővé teszi az ügynök számára a provAgentgMSA$ felügyelt szolgáltatásfiók létrehozását. A csoport által felügyelt szolgáltatásfiók (például CONTOSO\provAgentgMSA$) ugyanabban az Active Directory-tartományban jön létre, amelyben a gazdakiszolgáló csatlakozott. A beállítás használatához adja meg az Active Directory tartományi rendszergazda hitelesítő adatait (ajánlott).
  • Használjon egyéni gMSA-t , és adja meg annak a felügyelt szolgáltatásfióknak a nevét, amelyet manuálisan hozott létre ehhez a feladathoz.

A folytatáshoz kattintson a Tovább gombra.

Képernyőkép a Szolgáltatásfiók konfigurálása képernyőről.

  1. Ha a tartománynév megjelenik a Konfigurált tartományok területen az Active Directory csatlakoztatása képernyőn, ugorjon a következő lépésre. Ellenkező esetben írja be az Active Directory-tartománynevet, és válassza a Címtár hozzáadása lehetőséget.

  2. Jelentkezzen be az Active Directory tartományi rendszergazdai fiókjával. A tartományi rendszergazdai fióknak nem szabad lejárt jelszóval rendelkeznie. Ha a jelszó lejárt, vagy az ügynök telepítése során módosul, újra kell konfigurálnia az ügynököt az új hitelesítő adatokkal. Ez a művelet hozzáadja a helyszíni címtárat. Kattintson az OK gombra, majd a Tovább gombra a folytatáshoz.

Képernyőkép a tartományi rendszergazda hitelesítő adatainak megadásáról.

  1. Az alábbi képernyőképen egy példa látható contoso.com konfigurált tartományra. A folytatáshoz válassza a Tovább gombra.

Képernyőkép az Active Directory csatlakoztatása képernyőről.

  1. A Konfiguráció kész képernyőn válassza a Megerősítés lehetőséget. Ez a művelet regisztrálja és újraindítja az ügynököt.

  2. A művelet befejeződése után értesítést kell kapnia arról, hogy az ügynök konfigurációjának ellenőrzése sikeresen megtörtént. Válassza a Kilépés lehetőséget.

Képernyőkép a befejezési képernyőről.

  1. Ha továbbra is megjelenik a kezdeti kezdőképernyő, válassza a Bezárás lehetőséget.

Az ügynök telepítésének ellenőrzése

Az ügynök ellenőrzése az Azure Portalon és az ügynököt futtató helyi kiszolgálón történik.

Azure Portal-ügynök ellenőrzése

Annak ellenőrzéséhez, hogy az ügynök regisztrálva van-e a Microsoft Entra ID-ben, kövesse az alábbi lépéseket:

  1. Jelentkezzen be az Azure Portalra.
  2. Válassza ki a Microsoft Entra ID.
  3. Válassza a Microsoft Entra Connect, majd a Felhőszinkronizálás lehetőséget.Képernyőkép az új UX képernyőről.
  4. A felhőszinkronizálási oldalon láthatja a telepített ügynököket. Ellenőrizze, hogy az ügynök megjelenik-e, és hogy az állapota kifogástalan-e.

A helyi kiszolgálón

Az ügynök futásának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Jelentkezzen be a kiszolgálóra rendszergazdai fiókkal.
  2. Nyissa meg a szolgáltatásokat a navigálással vagy a Start/Run/Services.msc gombra kattintva.
  3. A Szolgáltatások területen győződjön meg arról, hogy a Microsoft Entra Connect Agent Updater és a Microsoft Entra Connect kiépítési ügynök jelen van, és az állapot fut. Képernyőkép a Windows-szolgáltatásokról.

A kiépítési ügynök verziójának ellenőrzése

A futó ügynök verziójának ellenőrzéséhez kövesse az alábbi lépéseket:

  1. Lépjen a "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent" mappára
  2. Kattintson a jobb gombbal a "AADConnectProvisioningAgent.exe" elemre, és válassza ki a tulajdonságokat.
  3. Kattintson a Részletek fülre, és a termékverzió mellett megjelenik a verziószám.

Fontos

Az ügynök telepítése után konfigurálnia és engedélyeznie kell azt, mielőtt elkezdené szinkronizálni a felhasználókat. Új ügynök konfigurálásához lásd : Új konfiguráció létrehozása a Microsoft Entra Cloud Synchez.

Jelszóvisszaíró engedélyezése a felhőbeli szinkronizálásban

A jelszóvisszaírást az SSPR-ben engedélyezheti közvetlenül a portálon vagy a PowerShellen keresztül.

Jelszóvisszaíró engedélyezése a portálon

Ha jelszóvisszaírást szeretne használni, és engedélyezni szeretné az önkiszolgáló jelszó-visszaállítási (SSPR) szolgáltatást a felhőszinkronizálási ügynök észleléséhez a portál használatával, hajtsa végre a következő lépéseket:

  1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hibrid identitásadminisztrátorként.
  2. A bal oldalon válassza a Védelem lehetőséget, válassza a Jelszó alaphelyzetbe állítása, majd a Helyszíni integráció lehetőséget.
  3. Ellenőrizze a jelszóvisszaírás engedélyezésének lehetőségét a szinkronizált felhasználók számára .
  4. (nem kötelező) Ha a Microsoft Entra Connect kiépítési ügynökeit észleli, a Microsoft Entra Cloud Sync használatával a jelszavak visszaírásának lehetőségét is ellenőrizheti.
  5. Ellenőrizze, hogy a felhasználók feloldhatják-e a fiókokat anélkül, hogy visszaállítanák a jelszavukat az Igen értékre.
  6. Ha elkészült, válassza a Mentés lehetőséget.

A PowerShell használata

Ha jelszóvisszaírást szeretne használni, és engedélyezni szeretné az önkiszolgáló jelszó-visszaállítási (SSPR) szolgáltatást a felhőszinkronizálási ügynök észleléséhez, használja a Set-AADCloudSyncPasswordWritebackConfiguration parancsmagot és a bérlő globális rendszergazdai hitelesítő adatait:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

További információ a jelszóvisszaírás Microsoft Entra Cloud Synctel való használatáról: Oktatóanyag: A felhőalapú szinkronizálás önkiszolgáló jelszó-visszaállítási visszaírásának engedélyezése helyszíni környezetbe .

Ügynök telepítése az USA kormányzati felhőjében

Alapértelmezés szerint a Microsoft Entra kiépítési ügynök az alapértelmezett Azure-környezetben van telepítve. Ha az egyesült államokbeli kormányzati használatra készült ügynököt telepíti, végezze el ezt a módosítást az előző telepítési eljárás 7. lépésében:

  • A Fájl megnyitása lehetőség helyett válassza a Futtatás indítása>lehetőséget, majd lépjen a AADConnectProvisioningAgentSetup.exe fájlra. A Futtatás mezőben a végrehajtható fájl után adja meg a ENVIRONMENTNAME=AzureUSGovernment nevet, majd kattintson az OK gombra.

    Képernyőkép, amely bemutatja, hogyan telepíthet ügynököt az USA kormányzati felhőjében.

Jelszókivonat-szinkronizálás és FIPS felhőbeli szinkronizálással

Ha a kiszolgálót a Federal Information Processing Standard (FIPS) szerint zárolták, az MD5 (5. üzenet-kivonatoló algoritmus) le van tiltva.

Ha engedélyezni szeretné az MD5-öt a jelszókivonat-szinkronizáláshoz, tegye a következőket:

  1. Nyissa meg a %programfiles%\Microsoft Azure AD Connect Kiépítési ügynököt.
  2. Nyissa meg a AADConnectProvisioningAgent.exe.config fájlt.
  3. Nyissa meg a konfigurációs/futtatókörnyezeti csomópontot a fájl tetején.
  4. Adja hozzá a csomópontot <enforceFIPSPolicy enabled="false"/> .
  5. Mentse a módosításokat.

Hivatkozásként a kódnak az alábbi kódrészlethez hasonlóan kell kinéznie:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

A biztonságról és a FIPS-ről további információt a Microsoft Entra jelszókivonat-szinkronizálása, titkosítása és FIPS-megfelelősége című témakörben talál.

Következő lépések