Share via


Een bestaande forest en een nieuwe forest integreren met enkele Microsoft Entra-tenant

In deze zelfstudie doorloopt u de procedure voor het toevoegen van een cloudsynchronisatie aan een bestaande hybride identiteitsomgeving.

Diagram met de Microsoft Entra Cloud Sync-stroom.

U kunt de omgeving die u in deze zelfstudie maakt gebruiken voor testdoeleinden of om meer vertrouwd te raken met de werking van een hybride identiteit.

In dit scenario is er een bestaand forest gesynchroniseerd met behulp van Microsoft Entra Connect Sync met een Microsoft Entra-tenant. En u hebt een nieuw forest dat u wilt synchroniseren met dezelfde Microsoft Entra-tenant. U stelt cloudsynchronisatie in voor het nieuwe forest.

Vereisten

In het Microsoft Entra-beheercentrum

  1. Maak een hybride identiteitsbeheerdersaccount in de cloud op uw Microsoft Entra-tenant. Op deze manier kunt u de configuratie van uw tenant beheren als uw on-premises services mislukken of niet meer beschikbaar zijn. Meer informatie over het toevoegen van een hybride identiteitsbeheerdersaccount in de cloud. Het voltooien van deze stap is van cruciaal belang om ervoor te zorgen dat de tenant niet wordt vergrendeld.
  2. Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.

In uw on-premises omgeving

  1. Identificeer een hostserver die lid is van een domein met Windows Server 2012 R2 of hoger met minimaal 4 GB RAM en .NET 4.7.1+ runtime

  2. Als er een firewall is tussen uw servers en Microsoft Entra ID, moet u de volgende items configureren:

    • Zorg ervoor dat agents uitgaande aanvragen kunnen indienen bij Microsoft Entra ID via de volgende poorten:

      Poortnummer Hoe dat wordt gebruikt
      80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat
      443 Verwerkt alle uitgaande communicatie met de service
      8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in de portal.

      Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.

    • Als uw firewall of proxyserver het opgeven van veilige achtervoegsels toestaat, kunt u verbindingen met .msappproxy.net en .servicebus.windows.net toevoegen. Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt.

    • Uw agenten hebben voor de eerste registratie toegang nodig tot login.windows.net en login.microsoftonline.com. Open uw firewall ook voor deze URL's.

    • Voor certificaatvalidatie deblokkeert u de volgende URL's: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 en www.microsoft.com:80. Omdat deze URL's worden gebruikt voor certificaatvalidatie met andere Microsoft-producten, hebt u deze URL's mogelijk al gedeblokkeerd.

De Microsoft Entra-inrichtingsagent installeren

Als u de zelfstudie Basic AD en Azure-omgeving gebruikt, is dit DC1. Voer de volgende stappen uit om de agent te installeren:

  1. Selecteer Microsoft Entra-id in de Azure-portal.
  2. Selecteer Aan de linkerkant Microsoft Entra Connect.
  3. Selecteer aan de linkerkant Cloudsynchronisatie.

Schermopname van het nieuwe UX-scherm.

  1. Selecteer agent aan de linkerkant.
  2. Selecteer On-premises agent downloaden en selecteer Voorwaarden accepteren en downloaden.

Schermopname van de downloadagent.

  1. Zodra het Microsoft Entra Connect Provisioning Agent Package is gedownload, voert u het AADConnectProvisioningAgentSetup.exe installatiebestand uit vanuit de downloadmap.

Notitie

Wanneer u installeert voor het gebruik van de Cloud voor de Amerikaanse overheid:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Zie 'Een agent installeren in de Cloud van de Amerikaanse overheid' voor meer informatie.

  1. Selecteer in het welkomstscherm de optie Ik ga akkoord met de licentie en voorwaarden en selecteer Vervolgens Installeren.

Schermopname van het welkomstscherm van het Microsoft Entra Connect Provisioning Agent Package.

  1. Zodra de installatiebewerking is voltooid, wordt de configuratiewizard gestart. Selecteer Volgende om de configuratie te starten. Schermopname van het welkomstscherm.
  2. Selecteer in het scherm Extensie selecteren hr-gestuurde inrichting (Workday en SuccessFactors) / Microsoft Entra Connect-cloudsynchronisatie en selecteer Volgende. Schermopname van het scherm Extensies selecteren.

Notitie

Als u de inrichtingsagent installeert voor gebruik met on-premises app-inrichting, selecteert u On-premises toepassingsinrichting (Microsoft Entra-id voor toepassing).

  1. Meld u aan met een account met ten minste de rol Hybrid Identity Administrator . Als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, wordt de aanmelding geblokkeerd. Sluit de installatie, schakel verbeterde beveiliging van Internet Explorer uit en start de installatie van het Microsoft Entra Connect Provisioning Agent-pakket opnieuw.

Schermopname van het scherm Verbinding maken met Microsoft Entra ID.

  1. Selecteer een beheerd serviceaccount (gMSA) in het scherm Serviceaccount configureren. Dit account wordt gebruikt om de agentservice uit te voeren. Als een beheerd serviceaccount al is geconfigureerd in uw domein door een andere agent en u een tweede agent installeert, selecteert u GMSA maken omdat het systeem het bestaande account detecteert en de vereiste machtigingen voor de nieuwe agent toevoegt om het gMSA-account te gebruiken. Kies een van de volgende opties wanneer u hierom wordt gevraagd:
  • Maak gMSA waarmee de agent het beheerde serviceaccount provAgentgMSA$ voor u kan maken. Het door de groep beheerde serviceaccount (bijvoorbeeld CONTOSO\provAgentgMSA$) wordt gemaakt in hetzelfde Active Directory-domein waaraan de hostserver is toegevoegd. Als u deze optie wilt gebruiken, voert u de referenties van de Active Directory-domeinbeheerder in (aanbevolen).
  • Gebruik aangepaste gMSA en geef de naam op van het beheerde serviceaccount dat u handmatig voor deze taak hebt gemaakt.

Selecteer Volgende om door te gaan.

Schermopname van het scherm Serviceaccount configureren.

  1. Als uw domeinnaam wordt weergegeven onder Geconfigureerde domeinen, gaat u naar de volgende stap in het scherm Active Directory verbinden. Anders typt u uw Active Directory-domeinnaam en selecteert u Directory toevoegen.

  2. Meld u aan met uw Active Directory-domeinbeheerdersaccount. Het domeinbeheerdersaccount mag geen verlopen wachtwoord hebben. Als het wachtwoord is verlopen of tijdens de installatie van de agent wordt gewijzigd, moet u de agent opnieuw configureren met de nieuwe referenties. Met deze bewerking wordt uw on-premises map toegevoegd. Selecteer OK en selecteer vervolgens Volgende om door te gaan.

Schermopname die laat zien hoe u de referenties van de domeinbeheerder invoert.

  1. In de volgende schermopname ziet u een voorbeeld van contoso.com geconfigureerd domein. Selecteer Volgende om door te gaan.

Schermopname van het scherm Verbinding maken met Active Directory.

  1. Selecteer Bevestigen in het scherm Configuratie voltooid. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.

  2. Zodra deze bewerking is voltooid, wordt u gewaarschuwd dat de configuratie van uw agent is geverifieerd. U kunt Afsluiten selecteren.

Schermopname van het voltooiingsscherm.

  1. Als u nog steeds het eerste welkomstscherm krijgt, selecteert u Sluiten.

Agentinstallatie verifiëren

Verificatie van de agent vindt plaats in de Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.

Verificatie van Azure Portal-agent

Voer de volgende stappen uit om te controleren of de agent wordt geregistreerd door Microsoft Entra ID:

  1. Meld u aan bij het Azure-portaal.
  2. Selecteer Microsoft Entra ID.
  3. Selecteer Microsoft Entra Connect en selecteer vervolgens Cloudsynchronisatie. Schermopname van het nieuwe UX-scherm.
  4. Op de cloudsynchronisatiepagina ziet u de agents die u hebt geïnstalleerd. Controleer of de agent wordt weergegeven en of de status in orde is.

Op de lokale server

Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:

  1. Meld u aan bij de server met een beheerdersaccount.
  2. Open Services door ernaar te navigeren of door naar Start/Run/Services.msc te gaan.
  3. Controleer onder Services of Microsoft Entra Connect Agent Updater en Microsoft Entra Connect Provisioning Agent aanwezig zijn en de status Wordt uitgevoerd. Schermopname van de Windows-services.

De versie van de inrichtingsagent controleren

Voer de volgende stappen uit om de versie van de actieve agent te controleren:

  1. Navigeer naar C:\Program Files\Microsoft Azure AD Connect Provisioning Agent
  2. Klik met de rechtermuisknop op 'AADConnectProvisioningAgent.exe' en selecteer eigenschappen.
  3. Klik op het tabblad Details en het versienummer wordt weergegeven naast productversie.

Microsoft Entra Cloud Sync configureren

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voer de volgende stappen uit om de inrichting te configureren:

  1. Meld u als hybride beheerder aan bij het Microsoft Entra-beheercentrum.
  2. Blader naar hybride>identiteitsbeheer>microsoft Entra Connect-cloudsynchronisatie.>Schermopname van de startpagina voor cloudsynchronisatie.
  1. Nieuwe configuratie selecteren
  2. Voer in het configuratiescherm een e-mailmelding in, verplaats de selector naar Inschakelen en selecteer Opslaan.
  3. De configuratiestatus moet nu In orde zijn.

Controleer of gebruikers zijn gemaakt en synchronisatie plaatsvindt

U controleert nu of de gebruikers die u in onze on-premises adreslijst had, zijn gesynchroniseerd en nu aanwezig zijn in onze Microsoft Entra-tenant. Dit proces kan enkele uren duren. Ga als volgt te werk om te controleren of gebruikers zijn gesynchroniseerd:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
  2. Blader naar identiteitsgebruikers>.
  3. Kijk of u de nieuwe gebruikers ziet in onze tenant.

Aanmelden testen met een van onze gebruikers

  1. Blader naar https://myapps.microsoft.com

  2. Meld u aan met een gebruikersaccount dat is gemaakt in onze nieuwe tenant. U moet zich aanmelden met de volgende indeling: (user@domain.onmicrosoft.com). Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om zich on-premises aan te melden.

    Schermopname van de portal mijn apps met een aangemelde gebruiker.

U hebt nu een omgeving met een hybride identiteit ingesteld die u kunt gebruiken voor testdoeleinden en om bekend te raken met wat Azure te bieden heeft.

Volgende stappen