Bagikan melalui

Mengatur pengguna dan grup cloud yang disediakan dari Direktori Aktif menggunakan Tata Kelola ID Microsoft Entra

  • Artikel

Skenario: Mengelola pengguna dan grup cloud yang disediakan dari Direktori Aktif menggunakan sinkronisasi cloud Microsoft Entra.

Prasyarat

Di pusat admin Microsoft Entra

  • Microsoft menyarankan agar organisasi memiliki dua akun akses darurat yang hanya berbasis cloud dan secara permanen dialokasikan untuk peran Administrator Global. Akun-akun ini sangat istimewa dan tidak ditetapkan untuk individu tertentu. Akun terbatas pada skenario darurat atau "pecah kaca" di mana akun normal tidak dapat digunakan atau semua administrator lain secara tidak sengaja dikunci. Akun-akun ini harus dibuat mengikuti rekomendasi akun akses darurat .
  • Tambahkan satu atau beberapa nama domain khusus ke tenant Microsoft Entra Anda. Pengguna Anda dapat masuk dengan salah satu nama domain ini.

Di lingkungan lokal Anda

  1. Identifikasi server host yang bergabung dengan domain yang menjalankan Windows Server 2016 atau yang lebih besar dengan minimum RAM 4 GB dan runtime .NET 4.7.1+

  2. Jika terdapat firewall antara server dan Microsoft Entra ID, konfigurasikan item yang berikut ini:

    • Pastikan bahwa agen dapat membuat permintaan keluar ke ID Microsoft Entra melalui port berikut:

      Nomor port Cara menggunakannya
      80 Mengunduh daftar pencabutan sertifikat (CRL) saat memvalidasi sertifikat TSL/SSL
      443 Menangani semua komunikasi eksternal dari layanan
      8080 (opsional) Agen melaporkan statusnya setiap 10 menit melalui port 8080, jika port 443 tidak tersedia. Status ini ditampilkan di portal.

      Jika firewall Anda menerapkan aturan sesuai dengan pengguna asal, buka port ini untuk lalu lintas dari layanan Windows yang berjalan sebagai layanan jaringan.

    • Jika firewall atau proksi mengizinkan Anda untuk menentukan akhiran sufiks yang aman, tambahkan koneksi ke *.msappproxy.net dan *.servicebus.windows.net. Jika tidak, izinkan akses ke rentang IP pusat data Azure, yang diperbarui setiap minggu.

    • Agen Anda memerlukan akses ke login.windows.net dan login.microsoftonline.com untuk pendaftaran awal. Buka firewall Anda untuk URL tersebut juga.

    • Untuk validasi sertifikat, izinkan akses URL berikut: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, dan www.microsoft.com:80. Karena URL ini digunakan untuk validasi sertifikat dengan produk Microsoft lainnya, Anda mungkin sudah membuka blokir URL ini.

Menginstal agen penyediaan Microsoft Entra

Jika Anda menggunakan tutorial lingkungan AD Dasar dan Azure, itu akan menjadi DC1. Untuk menginstal agen, ikuti langkah-langkah berikut:

  1. Di portal Azure, pilih MICROSOFT Entra ID.

  2. Di panel kiri, pilih Microsoft Entra Connect, lalu pilih Cloud Sync.

    Cuplikan layar yang memperlihatkan layar Memulai.

  3. Di panel kiri, pilih Agen.

  4. Pilih Unduh agen lokal, lalu pilih Terima ketentuan & unduh.

    Cuplikan layar yang menunjukkan pengunduhan agen.

  5. Setelah Mengunduh Paket Agen Provisi Microsoft Entra Connect, jalankan file penginstalan AADConnectProvisioningAgentSetup.exe dari folder unduhan Anda.

    Catatan

    Saat Anda melakukan penginstalan untuk cloud Pemerintah Amerika Serikat, gunakan AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Untuk informasi selengkapnya, lihat Instal agen di Cloud Pemerintah Amerika Serikat.

  6. Pada layar yang terbuka, pilih kotak centang saya menyetujui syarat dan ketentuan lisensi, lalu pilih Instal.

    Cuplikan layar yang memperlihatkan layar Paket Agen Provisi Microsoft Entra.

  7. Setelah penginstalan selesai, wizard konfigurasi akan terbuka. Pilih Berikutnya untuk memulai konfigurasi.

    Cuplikan layar yang memperlihatkan layar selamat datang.

  8. Pada layar Pilih Ekstensi, pilih provisi berbasis SDM (Workday dan SuccessFactors) / Azure AD Connect Cloud Sync, lalu pilih Berikutnya.

    Cuplikan layar yang memperlihatkan layar Pilih Ekstensi.

    Catatan

    Jika Anda menginstal agen provisi untuk digunakan dengan provisi aplikasi lokal Microsoft Entra, pilih Provisi aplikasi lokal (ID Microsoft Entra ke aplikasi).

  9. Masuk dengan akun dengan setidaknya peran administrator Identitas Hibrid. Jika Anda mengaktifkan keamanan internet Explorer yang ditingkatkan, keamanan akan memblokir proses masuk. Jika demikian, tutup penginstalan, nonaktifkankeamanan yang diperkuat Internet Explorer, dan mulai ulang penginstalan paket agen penyediaan Microsoft Entra Connect.

    Cuplikan layar yang memperlihatkan layar Sambungkan ID Microsoft Entra.

  10. Pada layar Konfigurasi Akun Layanan, pilih Grup Akun Layanan Terkelola (gMSA). Akun ini digunakan untuk menjalankan layanan agen. Jika akun layanan terkelola sudah dikonfigurasi di domain Anda oleh agen lain dan Anda menginstal agen kedua, pilih Buat gMSA. Sistem mendeteksi akun yang ada dan menambahkan izin yang diperlukan bagi agen baru untuk menggunakan akun gMSA. Saat diminta, pilih salah satu dari dua opsi:

    • Buat gMSA: Izinkan agen untuk membuat akun layanan terkelola provAgentgMSA$ untuk Anda. Akun layanan terkelola grup (misalnya, CONTOSO\provAgentgMSA$) dibuat di domain Direktori Aktif yang sama tempat server host bergabung. Untuk menggunakan opsi ini, masukkan kredensial administrator domain Direktori Aktif (disarankan).
    • GunakangMSA kustom : Berikan nama akun layanan terkelola yang Anda buat secara manual untuk tugas ini.

  11. Untuk melanjutkan, pilih Berikutnya.

    Cuplikan layar yang memperlihatkan layar Konfigurasi Akun Layanan.

  12. Pada layar Sambungkan Direktori Aktif, jika nama domain Anda muncul di bawah Domain yang dikonfigurasi, lewati ke langkah berikutnya. Jika tidak, masukkan nama domain Direktori Aktif Anda, dan pilih Tambahkan direktori.

  13. Masuk dengan akun administrator domain Direktori Aktif Anda. Akun administrator domain tidak boleh memiliki kata sandi yang kedaluwarsa. Jika kata sandi kedaluwarsa atau berubah selama penginstalan agen, konfigurasi ulang agen dengan kredensial baru. Operasi ini menambahkan direktori lokal Anda. Pilih OK, lalu pilih Berikutnya untuk melanjutkan.

    Cuplikan layar yang memperlihatkan cara memasukkan kredensial admin domain.

  14. Cuplikan layar berikut menunjukkan contoh domain yang dikonfigurasi untuk contoso.com. Untuk melanjutkan, klik Berikutnya.

    Cuplikan layar yang memperlihatkan layar Sambungkan Direktori Aktif.

  15. Pada layar Konfigurasi selesai, pilih Konfirmasi. Operasi ini mendaftarkan dan memulai ulang agen.

  16. Setelah operasi selesai, Anda akan melihat pemberitahuan bahwa konfigurasi agen Anda berhasil diverifikasi. Pilih Keluar.

    Cuplikan layar yang memperlihatkan layar selesai.

  17. Jika Anda masih mendapatkan layar awal, pilih Tutup.

Memverifikasi penginstalan agen

Verifikasi agen terjadi di portal Microsoft Azure dan di server lokal yang menjalankan agen.

Memverifikasi agen di portal Microsoft Azure

Untuk memverifikasi bahwa MICROSOFT Entra ID mendaftarkan agen, ikuti langkah-langkah berikut:

  1. Masuk ke portal Azure.

  2. Pilih Microsoft Entra ID.

  3. Pilih Microsoft Entra Connect, lalu pilih Cloud Sync.

    Cuplikan layar yang memperlihatkan layar Memulai.

  4. Pada halaman Cloud Sync, Anda akan melihat agen yang Anda instal. Verifikasi bahwa agen muncul dan statusnya sehat.

Memverifikasi agen di server lokal

Untuk memastikan bahwa agen sedang aktif, ikuti langkah-langkah berikut:

  1. Masuk ke server menggunakan akun administrator.

  2. Buka Layanan. Anda juga dapat menggunakan Start/Run/Services.msc untuk mengaksesnya.

  3. Di bawah Services, pastikan bahwa Microsoft Entra Connect Agent Updater dan Microsoft Entra Connect Provisioning Agent ada dan bahwa statusnya Berjalan.

    Cuplikan layar yang memperlihatkan layanan Windows.

Verifikasi versi agen penyediaan

Untuk memverifikasi versi agen yang sedang berjalan, lakukan langkah-langkah berikut:

  1. Pergi ke C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klik kanan AADConnectProvisioningAgent.exe dan pilih properti .
  3. Pilih tab Detail. Nomor versi muncul di samping versi produk.

Mengonfigurasi Sinkronisasi Microsoft Entra Cloud

Gunakan langkah-langkah berikut untuk mengonfigurasi dan memulai provisi:

  1. Masuk ke pusat admin Microsoft Entra sebagai administrator identitas hibrida setidaknya.

  2. Telusuri ke Identity>Pengelolaan Hybrid>Microsoft Entra Connect>Cloud Sync.

    Cuplikan layar yang memperlihatkan halaman beranda Microsoft Entra Connect Cloud Sync.

  1. Pilih Konfigurasi Baru
  2. Pada layar konfigurasi, masukkan email Pemberitahuan, pindahkan pemilih ke Aktifkan dan pilih Simpan.
  3. Status konfigurasi kini akan menjadi Sehat.

Untuk informasi selengkapnya tentang mengonfigurasi Microsoft Entra Cloud Sync, lihat Penyediaan direktori aktif ke Microsoft Entra ID.

Memastikan bahwa pengguna telah dibuat dan sinkronisasi sedang terjadi

Sekarang Anda akan memverifikasi bahwa pengguna yang Anda miliki di direktori lokal yang berada dalam cakupan sinkronisasi telah disinkronkan dan sekarang ada di penyewa Microsoft Entra Anda. Operasi sinkronisasi mungkin memerlukan waktu beberapa jam untuk diselesaikan. Untuk memverifikasi pengguna disinkronkan, ikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai Administrator Identitas Hibrida setidaknya.
  2. Akses ke Identitas>Pengguna.
  3. Verifikasi bahwa Anda melihat pengguna baru di tenant kami

Menguji proses masuk dengan salah satu pengguna Anda

  1. Buka https://myapps.microsoft.com

  2. Masuk dengan akun pengguna yang dibuat di tenant Anda. Anda harus masuk menggunakan format berikut: (user@domain.onmicrosoft.com). Gunakan kata sandi yang sama dengan yang digunakan pengguna untuk masuk ke lokal.

Cuplikan layar yang memperlihatkan portal aplikasi saya dengan pengguna yang masuk.

Anda sekarang telah berhasil mengonfigurasi lingkungan identitas hibrid menggunakan Microsoft Entra Cloud Sync.

Langkah berikutnya