Instalowanie agenta aprowizacji firmy Microsoft

  • Artykuł

W tym artykule przedstawiono proces instalacji agenta aprowizacji firmy Microsoft oraz sposób początkowego konfigurowania go w centrum administracyjnym firmy Microsoft Entra.

Ważne

W poniższych instrukcjach instalacji przyjęto założenie, że zostały spełnione wszystkie wymagania wstępne.

Uwaga

Ten artykuł dotyczy instalowania agenta aprowizacji przy użyciu kreatora. Aby uzyskać informacje na temat instalowania agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia, zobacz Instalowanie agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia i programu PowerShell.

Aby uzyskać więcej informacji i przykład, zobacz następujący film wideo:

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę (gMSA) to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) oraz możliwość delegowania zarządzania do innych administratorów. GMSA rozszerza również tę funkcję na wielu serwerach. Usługa Microsoft Entra Cloud Sync obsługuje i zaleca użycie zarządzanego konta zarządzanego do uruchamiania agenta. Aby uzyskać więcej informacji, zobacz Konta usług zarządzane przez grupę.

Aktualizowanie istniejącego agenta w celu używania konta zarządzanego przez grupę

Aby zaktualizować istniejącego agenta do używania konta usługi zarządzanego przez grupę utworzonego podczas instalacji, uaktualnij usługę agenta do najnowszej wersji, uruchamiając usługę AAD Połączenie ProvisioningAgent.msi. Teraz uruchom ponownie kreatora instalacji i podaj poświadczenia, aby utworzyć konto po wyświetleniu monitu.

Instalowanie agenta

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Połączenie.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po zakończeniu pobierania pakietu microsoft Entra Połączenie Provisioning Agent uruchom plik instalacyjny usługi AAD Połączenie ProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AAD Połączenie ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny Pakietu agenta aprowizacji firmy Microsoft Połączenie.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizacja oparta na hr (Workday i SuccessFactors) / Microsoft Entra Połączenie synchronizacji w chmurze, a następnie kliknij przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta usługi Microsoft Entra Global Administracja istrator lub konta Administracja istrator tożsamości hybrydowej. Jeśli masz włączone ulepszone zabezpieczenia programu Internet Explorer, zablokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji firmy Microsoft Połączenie.

Zrzut ekranu przedstawiający ekran Połączenie Identyfikator entra firmy Microsoft.

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykryje istniejące konto i dodaj wymagane uprawnienia dla nowego agenta do korzystania z konta usługi gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na Połączenie ekranie usługi Active Directory, jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. W przypadku wygaśnięcia hasła lub zmian podczas instalacji agenta należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja spowoduje dodanie katalogu lokalnego. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Połączenie Active Directory.

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja spowoduje zarejestrowanie i ponowne uruchomienie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Połączenie, a następnie wybierz pozycję Synchronizacja w chmurze.Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Połączenie Agent Updater i microsoft Entra Połączenie Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić, czy wersja agenta jest uruchomiona, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Połączenie Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AAD Połączenie ProvisioningAgent.exe" i wybierz właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Ważne

Po zainstalowaniu agenta należy go skonfigurować i włączyć przed rozpoczęciem synchronizowania użytkowników. Aby skonfigurować nowego agenta, zobacz Tworzenie nowej konfiguracji dla usługi Microsoft Entra Cloud Sync.

Włączanie zapisywania zwrotnego haseł w synchronizacji w chmurze

Funkcję zapisywania zwrotnego haseł można włączyć bezpośrednio w portalu lub za pomocą programu PowerShell.

Włączanie zapisywania zwrotnego haseł w portalu

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługową usługę resetowania haseł (SSPR) do wykrywania agenta synchronizacji w chmurze, korzystając z portalu, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator tożsamości hybrydowej.
  2. Po lewej stronie wybierz pozycję Ochrona, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników .
  4. (opcjonalnie) Jeśli wykryto agentów aprowizacji firmy Microsoft Entra Połączenie, możesz dodatkowo sprawdzić opcję Zapisywanie haseł zwrotnych za pomocą usługi Microsoft Entra Cloud Sync.
  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Korzystanie z programu PowerShell

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługowe resetowanie hasła (SSPR) w celu wykrywania agenta synchronizacji w chmurze, użyj Set-AADCloudSyncPasswordWritebackConfiguration polecenia cmdlet i poświadczeń administratora globalnego dzierżawy:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Aby uzyskać więcej informacji na temat używania funkcji zapisywania zwrotnego haseł w usłudze Microsoft Entra Cloud Sync, zobacz Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł w chmurze w środowisku lokalnym.

Instalowanie agenta w chmurze dla instytucji rządowych USA

Domyślnie agent aprowizacji firmy Microsoft jest instalowany w domyślnym środowisku platformy Azure. Jeśli instalujesz agenta dla instytucji rządowych USA, wprowadź tę zmianę w kroku 7 poprzedniej procedury instalacji:

  • Zamiast wybierać pozycję Otwórz plik, wybierz pozycję Uruchom,> a następnie przejdź do pliku AAD Połączenie ProvisioningAgentSetup.exe. W polu Uruchom po wykonywale wprowadź wartość ENVIRONMENTNAME=AzureUSGovernment, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający sposób instalowania agenta w chmurze dla instytucji rządowych USA.

Synchronizacja skrótów haseł i fiPS z synchronizacją w chmurze

Jeśli serwer został zablokowany zgodnie z Federal Information Processing Standard (FIPS), MD5 (algorytm szyfrowany komunikat 5) jest wyłączony.

Aby włączyć rozwiązanie MD5 na potrzeby synchronizacji skrótów haseł, wykonaj następujące czynności:

  1. Przejdź do folderu %programfiles%\Microsoft Azure AD Połączenie Provisioning Agent.
  2. Otwórz usługę AAD Połączenie ProvisioningAgent.exe.config.
  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego w górnej części pliku.
  4. <enforceFIPSPolicy enabled="false"/> Dodaj węzeł.
  5. Zapisz zmiany.

Aby uzyskać odwołanie, kod powinien wyglądać podobnie do następującego fragmentu kodu:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Aby uzyskać informacje o zabezpieczeniach i standardach FIPS, zobacz Microsoft Entra password hash sync, encryption i FIPS compliance (Synchronizacja, szyfrowanie i zgodność ze standardem FIPS firmy Microsoft).

Następne kroki