gebeurtenis
9 apr, 15 - 10 apr, 12
Codeer de toekomst met AI en maak verbinding met Java-peers en experts op JDConf 2025.
Nu registrerenZelfstudie: Één forest integreren met één Microsoft Entra-tenant
In deze zelfstudie leert u hoe u een hybride identiteitsomgeving maakt met Behulp van Microsoft Entra Cloud Sync.
U kunt de omgeving die u in deze zelfstudie maakt gebruiken voor testdoeleinden of om meer vertrouwd te raken met cloudsynchronisatie.
- Microsoft raadt aan dat organisaties twee cloudaccounts voor toegang tot noodgevallen permanent hebben toegewezen aan de globale beheerder rol. Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. De accounts zijn beperkt tot noodscenario's of "noodtoegangscases", waarbij normale accounts niet kunnen worden gebruikt of wanneer alle andere beheerders per ongeluk zijn vergrendeld. Deze accounts moeten worden gemaakt op basis van de aanbevelingen voor noodtoegangsaccounts.
- Voeg een of meer aangepaste domeinnamen toe aan uw Microsoft Entra-tenant. Uw gebruikers kunnen zich aanmelden met een van deze domeinnamen.
Identificeer een hostserver die lid is van een domein met Windows Server 2016 of hoger met minimaal 4 GB RAM en .NET 4.7.1+ runtime
Als er een firewall is tussen uw servers en Microsoft Entra ID, moet u de volgende items configureren:
Zorg ervoor dat agents uitgaande aanvragen kunnen indienen bij Microsoft Entra ID via de volgende poorten:
Poortnummer Hoe dat wordt gebruikt 80 Downloadt de certificaatintrekkingslijsten (CRL's) tijdens het valideren van het TLS-/SSL-certificaat 443 Verwerkt alle uitgaande communicatie met de service 8080 (optioneel) Agents rapporteren hun status elke 10 minuten via poort 8080, als poort 443 niet beschikbaar is. Deze status wordt weergegeven in de portal. Als met uw firewall regels worden afgedwongen op basis van de herkomst van gebruikers, opent u deze poorten voor verkeer dat afkomstig is van Windows-services die als een netwerkservice worden uitgevoerd.
Als uw firewall of proxyserver het opgeven van veilige achtervoegsels toestaat, kunt u verbindingen met .msappproxy.net en .servicebus.windows.net toevoegen. Als dat niet het geval is, moet u toegang toestaan tot de IP-adresbereiken van Azure Datacenter, die elke week worden bijgewerkt.
Uw agenten hebben voor de eerste registratie toegang nodig tot login.windows.net en login.microsoftonline.com. Open uw firewall ook voor deze URL's.
Voor certificaatvalidatie deblokkeert u de volgende URL's: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 en www.microsoft.com:80. Omdat deze URL's worden gebruikt voor certificaatvalidatie met andere Microsoft-producten, hebt u deze URL's mogelijk al gedeblokkeerd.
Als u de zelfstudie Basic AD en Azure-omgeving gebruikt, is dit DC1. Voer de volgende stappen uit om de agent te installeren:
- Selecteer Microsoft Entra-id in de Azure-portal.
- Selecteer Aan de linkerkant Microsoft Entra Connect.
- Selecteer aan de linkerkant Cloudsynchronisatie.
- Selecteer agent aan de linkerkant.
- Selecteer On-premises agent downloaden en selecteer Voorwaarden accepteren en downloaden.
- Zodra het Microsoft Entra Connect Provisioning Agent Package is gedownload, voert u het AADConnectProvisioningAgentSetup.exe installatiebestand uit vanuit de downloadmap.
Notitie
Wanneer u installeert voor het gebruik van de Cloud voor de Amerikaanse overheid:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Zie 'Een agent installeren in de Cloud van de Amerikaanse overheid' voor meer informatie.
- Selecteer in het welkomstscherm de optie Ik ga akkoord met de licentie en voorwaarden en selecteer Vervolgens Installeren.
- Zodra de installatiebewerking is voltooid, wordt de configuratiewizard gestart. Selecteer Volgende om de configuratie te starten.
- Selecteer in het scherm Extensie selecteren hr-gestuurde inrichting (Workday en SuccessFactors) / Microsoft Entra Connect-cloudsynchronisatie en selecteer Volgende.
Notitie
Als u de inrichtingsagent installeert voor gebruik met on-premises app-inrichting, selecteert u On-premises toepassingsinrichting (Microsoft Entra-id voor toepassing).
- Meld u aan met een account met ten minste de rol Hybrid Identity Administrator . Als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, wordt de aanmelding geblokkeerd. Sluit de installatie, schakel verbeterde beveiliging van Internet Explorer uit en start de installatie van het Microsoft Entra Connect Provisioning Agent-pakket opnieuw.
- Selecteer een beheerd serviceaccount (gMSA) in het scherm Serviceaccount configureren. Dit account wordt gebruikt om de agentservice uit te voeren. Als een beheerd serviceaccount al is geconfigureerd in uw domein door een andere agent en u een tweede agent installeert, selecteert u GMSA maken omdat het systeem het bestaande account detecteert en de vereiste machtigingen voor de nieuwe agent toevoegt om het gMSA-account te gebruiken. Kies een van de volgende opties wanneer u hierom wordt gevraagd:
- Maak gMSA waarmee de agent het beheerde serviceaccount provAgentgMSA$ voor u kan maken. Het door de groep beheerde serviceaccount (bijvoorbeeld CONTOSO\provAgentgMSA$) wordt gemaakt in hetzelfde Active Directory-domein waaraan de hostserver is toegevoegd. Als u deze optie wilt gebruiken, voert u de referenties van de Active Directory-domeinbeheerder in (aanbevolen).
- Gebruik aangepaste gMSA en geef de naam op van het beheerde serviceaccount dat u handmatig voor deze taak hebt gemaakt.
Selecteer Volgende om door te gaan.
Als uw domeinnaam wordt weergegeven onder Geconfigureerde domeinen, gaat u naar de volgende stap in het scherm Active Directory verbinden. Anders typt u uw Active Directory-domeinnaam en selecteert u Directory toevoegen.
Meld u aan met uw Active Directory-domeinbeheerdersaccount. Het domeinbeheerdersaccount mag geen verlopen wachtwoord hebben. Als het wachtwoord is verlopen of tijdens de installatie van de agent wordt gewijzigd, moet u de agent opnieuw configureren met de nieuwe referenties. Met deze bewerking wordt uw on-premises map toegevoegd. Selecteer OK en selecteer vervolgens Volgende om door te gaan.
- In de volgende schermopname ziet u een voorbeeld van contoso.com geconfigureerd domein. Selecteer Volgende om door te gaan.
Selecteer Bevestigen in het scherm Configuratie voltooid. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.
Zodra deze bewerking is voltooid, wordt u gewaarschuwd dat de configuratie van uw agent is geverifieerd. U kunt Afsluiten selecteren.
- Als u nog steeds het eerste welkomstscherm krijgt, selecteert u Sluiten.
Verificatie van de agent vindt plaats in de Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.
Voer de volgende stappen uit om te controleren of de agent wordt geregistreerd door Microsoft Entra ID:
- Meld u aan bij het Azure-portaal.
- Selecteer Microsoft Entra ID.
- Selecteer Microsoft Entra Connect en selecteer vervolgens Cloudsynchronisatie.
- Op de cloudsynchronisatiepagina ziet u de agents die u hebt geïnstalleerd. Controleer of de agent wordt weergegeven en of de status in orde is.
Voer de volgende stappen uit om te controleren of de agent wordt uitgevoerd:
- Meld u aan bij de server met een beheerdersaccount.
- Open Services door ernaar te navigeren of door naar Start/Run/Services.msc te gaan.
- Controleer onder Services of Microsoft Entra Connect Agent Updater en Microsoft Entra Connect Provisioning Agent aanwezig zijn en de status Wordt uitgevoerd.
Voer de volgende stappen uit om de versie van de actieve agent te controleren:
- Navigeer naar C:\Program Files\Microsoft Azure AD Connect Provisioning Agent
- Klik met de rechtermuisknop op 'AADConnectProvisioningAgent.exe' en selecteer eigenschappen.
- Klik op het tabblad Details en het versienummer wordt weergegeven naast productversie.
Gebruik de volgende stappen om de inrichting te configureren en te starten:
- Meld u als hybride beheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar hybride>identiteitsbeheer>microsoft Entra Connect-cloudsynchronisatie.>
- Nieuwe configuratie selecteren
- Voer in het configuratiescherm een e-mailmelding in, verplaats de selector naar Inschakelen en selecteer Opslaan.
- De configuratiestatus moet nu In orde zijn.
U gaat nu controleren of de gebruikers die u in uw on-premises adreslijst had die binnen het synchronisatiebereik vallen, zijn gesynchroniseerd en nu aanwezig zijn in uw Microsoft Entra-tenant. Het kan enkele uren duren voordat de synchronisatiebewerking is voltooid. Voer de volgende stappen uit om te controleren of gebruikers zijn gesynchroniseerd:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
- Blader naar identiteitsgebruikers>.
- Kijk of u de nieuwe gebruikers ziet in onze tenant.
Blader naar https://myapps.microsoft.com
Meld u aan met een gebruikersaccount dat is gemaakt in uw tenant. U moet zich aanmelden met de volgende indeling: (user@domain.onmicrosoft.com). Gebruik hetzelfde wachtwoord dat de gebruiker gebruikt om zich on-premises aan te melden.
U hebt nu een hybride identiteitsomgeving geconfigureerd met Behulp van Microsoft Entra Cloud Sync.
Aanvullende resources
Training
Module
Prepare for identity synchronization to Microsoft 365 - Training
This module examines all the planning aspects that must be considered when implementing directory synchronization between on-premises Active Directory and Microsoft Entra ID.
Certificering
Microsoft Gecertificeerd: Identiteits- en Toegangsbeheerbeheerder Associate - Certifications
Demonstreer de functies van Microsoft Entra ID om identiteitsoplossingen te moderniseren, hybride oplossingen te implementeren en identiteitsbeheer te implementeren.