Menginstal agen pengadaan Microsoft Entra

Artikel ini memandu Anda melalui proses penginstalan untuk agen provisi Microsoft Entra dan cara mengonfigurasinya di pusat admin Microsoft Entra.

Penting

Instruksi penginstalan berikut mengasumsikan bahwa Anda telah memenuhi semua prasyarat.

Catatan

Artikel ini membahas menginstal agen penyedia menggunakan wizard. Untuk informasi tentang menginstal agen provisi Microsoft Entra dengan menggunakan CLI, lihat Menginstal agen provisi Microsoft Entra dengan menggunakan CLI dan PowerShell.

Untuk informasi selengkapnya dan contohnya, lihat video berikut:

Akun Layanan Terkelola Grup

Akun Layanan Terkelola grup adalah akun domain terkelola yang menyediakan pengelolaan kata sandi otomatis, pengelolaan nama prinsipal layanan (SPN) yang disederhanakan, dan kemampuan untuk mendelegasikan pengelolaan ke administrator lain. GMSA juga memperluas fungsionalitas ini melalui beberapa server. Microsoft Entra Cloud Sync mendukung dan merekomendasikan penggunaan gMSA untuk menjalankan agen. Untuk informasi selengkapnya, lihat Akun Layanan Terkelola Grup.

Memperbarui agen yang ada untuk menggunakan gMSA

Untuk memperbarui agen yang ada untuk menggunakan Akun Layanan Terkelola Grup yang dibuat selama penginstalan, tingkatkan layanan agen ke versi terbaru dengan menjalankan AADConnectProvisioningAgent.msi. Sekarang jalankan melalui wizard penginstalan lagi dan berikan kredensial untuk membuat akun saat Anda diminta untuk melakukannya.

Menginstal aplikasi agen

Catatan

Secara default, agen provisi Microsoft Entra diinstal di lingkungan Azure default.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

  2. Di panel kiri, pilih Entra Connect, lalu pilih Cloud Sync.

    Cuplikan layar yang memperlihatkan layar Memulai.

  3. Di panel kiri, pilih Agen.

  4. Pilih Unduh agen di tempat, lalu pilih Terima syarat & unduh.

    Cuplikan layar yang memperlihatkan pengunduhan agen.

  5. Setelah Mengunduh Paket Agen Provisi Microsoft Entra Connect, jalankan file penginstalan AADConnectProvisioningAgentSetup.exe dari folder unduhan Anda.

  6. Pada layar yang terbuka, pilih kotak centang Saya menyetujui syarat dan ketentuan lisensi , lalu pilih Instal.

    Cuplikan layar yang memperlihatkan ketentuan lisensi Paket Agen Provisi Microsoft Entra.

  7. Setelah penginstalan selesai, wizard konfigurasi akan terbuka. Pilih Berikutnya untuk memulai konfigurasi.

    Cuplikan layar yang memperlihatkan layar selamat datang.

  8. Masuk dengan akun dengan setidaknya peran administrator Identitas Hibrid . Jika Anda mengaktifkan keamanan internet Explorer yang ditingkatkan, keamanan akan memblokir proses masuk. Jika demikian, tutup penginstalan, nonaktifkan keamanan yang ditingkatkan Internet Explorer, dan mulai ulang penginstalan Paket Agen Provisi Microsoft Entra.

    Cuplikan layar yang memperlihatkan layar Sambungkan ID Microsoft Entra.

  9. Pada layar Konfigurasi Akun Layanan , pilih Grup Akun Layanan Terkelola (gMSA). Akun ini digunakan untuk menjalankan layanan agen. Jika akun layanan terkelola sudah dikonfigurasi di domain Anda oleh agen lain dan Anda menginstal agen kedua, pilih Buat gMSA. Sistem mendeteksi akun yang ada dan menambahkan izin yang diperlukan bagi agen baru untuk menggunakan akun gMSA. Saat diminta, pilih salah satu dari dua opsi:

    • Buat gMSA: Biarkan agen membuat akun layanan terkelola provAgentgMSA$ untuk Anda. Akun layanan terkelola grup (misalnya, CONTOSO\provAgentgMSA$) dibuat di domain Direktori Aktif yang sama tempat server host bergabung. Untuk menggunakan opsi ini, masukkan kredensial administrator domain Direktori Aktif (disarankan).
    • Gunakan gMSA kustom: Berikan nama akun layanan terkelola yang Anda buat secara manual untuk tugas ini.

    Cuplikan layar yang memperlihatkan cara mengonfigurasi Akun Layanan Terkelola grup.

  10. Untuk melanjutkan, pilih Berikutnya.

  11. Pada layar Sambungkan Direktori Aktif , jika nama domain Anda muncul di bawah Domain yang dikonfigurasi, lewati ke langkah berikutnya. Jika tidak, masukkan nama domain Direktori Aktif Anda, dan pilih Tambahkan direktori.

    Cuplikan layar yang memperlihatkan domain yang dikonfigurasi.

  12. Masuk dengan akun administrator domain Direktori Aktif Anda. Akun administrator domain tidak boleh memiliki kata sandi yang kedaluwarsa. Jika kata sandi kedaluwarsa atau berubah selama penginstalan agen, konfigurasi ulang agen dengan kredensial baru. Operasi ini menambahkan direktori lokal Anda. Pilih OK, lalu pilih Berikutnya untuk melanjutkan.

  13. Pilih Berikutnya untuk melanjutkan.

  14. Pada layar Konfigurasi selesai , pilih Konfirmasi. Operasi ini mendaftarkan dan mengaktifkan kembali agen.

    Cuplikan layar yang memperlihatkan layar selesai.

  15. Setelah operasi selesai, Anda akan melihat pemberitahuan bahwa konfigurasi agen Anda berhasil diverifikasi. Pilih Keluar. Jika Anda masih mendapatkan layar awal, pilih Tutup.

Verifikasi pemasangan agen

Verifikasi agen terjadi di portal Microsoft Azure dan di server lokal yang menjalankan agen.

Memverifikasi agen di portal Microsoft Azure

Untuk memverifikasi bahwa MICROSOFT Entra ID mendaftarkan agen, ikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.

  2. Pilih Entra Connect, lalu pilih Cloud Sync.

    Cuplikan layar yang memperlihatkan layar Memulai.

  3. Pada halaman Cloud Sync , klik Agen untuk melihat agen yang Anda instal. Verifikasi bahwa agen muncul dan status aktif.

Memverifikasi agen di server lokal

Untuk memverifikasi bahwa agen perangkat lunak berjalan, ikuti langkah berikut:

  1. Masuk ke server menggunakan akun administrator.

  2. Buka Layanan. Anda juga dapat menggunakan Start/Run/Services.msc untuk mendapatkannya.

  3. Di bawah Layanan, pastikan bahwa Microsoft Azure AD Connect Agent Updater dan Microsoft Azure AD Connect Provisioning Agent ada dan statusnya Berjalan.

    Cuplikan layar yang memperlihatkan layanan Windows.

Memeriksa versi agen penyediaan

Untuk memverifikasi versi agen yang aktif, ikuti langkah-langkah berikut:

  1. Buka C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klik kanan AADConnectProvisioningAgent.exe dan pilih Properti.
  3. Pilih tab Detail . Nomor versi muncul di samping versi produk.

Penting

Setelah menginstal agen, Anda harus mengonfigurasi dan mengaktifkannya sebelum akan mulai menyinkronkan pengguna. Untuk mengonfigurasi agen baru, lihat Membuat konfigurasi baru untuk Microsoft Entra Cloud Sync.

Mengaktifkan penulisan kembali kata sandi dalam sinkronisasi cloud

Anda dapat mengaktifkan tulis balik kata sandi di SSPR langsung di portal atau melalui PowerShell.

Mengaktifkan tulis balik kata sandi di portal

Untuk menggunakan tulis balik kata sandi dan mengaktifkan layanan pengaturan ulang kata sandi mandiri (SSPR) untuk mendeteksi agen sinkronisasi cloud, menggunakan portal, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Identitas Hibrid.
  2. Telusuri ke Entra ID>Reset Kata Sandi>Integrasi Lokal.
  3. Centang opsi untuk Mengaktifkan tulis balik kata sandi untuk pengguna yang disinkronkan .
  4. (opsional) Jika agen provisi Microsoft Entra Connect terdeteksi, Anda juga dapat memeriksa opsi untuk Menulis kembali kata sandi dengan Microsoft Entra Cloud Sync.
  5. Centang opsi untuk Izinkan pengguna membuka kunci akun tanpa mengatur ulang kata sandi mereka ke Ya.
  6. Setelah siap, pilih Simpan.

Menggunakan PowerShell

Untuk menggunakan tulis balik kata sandi dan mengaktifkan layanan pengaturan ulang kata sandi mandiri (SSPR) untuk mendeteksi agen sinkronisasi cloud, gunakan Set-AADCloudSyncPasswordWritebackConfiguration cmdlet dan kredensial Administrator Global penyewa:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Untuk informasi lebih lanjut tentang penggunaan penulisan ulang kata sandi dengan Microsoft Entra Cloud Sync, lihat Tutorial: Mengaktifkan penulisan ulang untuk pengaturan ulang kata sandi mandiri menggunakan sinkronisasi cloud ke lingkungan lokal.

Sinkronisasi hash kata sandi dan FIPS dalam proses sinkronisasi cloud

Jika server Anda telah dikunci sesuai dengan Standar Pemrosesan Informasi Federal (FIPS), MD5 (algoritma hash pesan 5) dinonaktifkan.

Untuk mengaktifkan MD5 untuk sinkronisasi hash kata sandi, lakukan hal berikut:

  1. Pergi ke %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Buka AADConnectProvisioningAgent.exe.config.
  3. Pergi ke node konfigurasi/runtime di bagian atas file.
  4. Tambahkan simpul <enforceFIPSPolicy enabled="false"/> .
  5. Simpan perubahan Anda.

Sebagai referensi, kode Anda akan terlihat seperti cuplikan berikut:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Untuk informasi tentang keamanan dan FIPS, lihat Sinkronisasi hash kata sandi Microsoft Entra, enkripsi, dan kepatuhan FIPS.

Langkah berikutnya

  • Last updated on