Udostępnij za pośrednictwem

Instalowanie agenta aprowizacji firmy Microsoft

  • Artykuł

W tym artykule przedstawiono proces instalacji agenta aprowizacji firmy Microsoft oraz sposób początkowego konfigurowania go w centrum administracyjnym firmy Microsoft Entra.

Ważne

W poniższych instrukcjach instalacji przyjęto założenie, że zostały spełnione wszystkie wymagania wstępne.

Uwaga

Ten artykuł dotyczy instalowania agenta aprowizacji przy użyciu kreatora. Aby uzyskać informacje na temat instalowania agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia, zobacz Instalowanie agenta aprowizacji firmy Microsoft przy użyciu interfejsu wiersza polecenia i programu PowerShell.

Aby uzyskać więcej informacji i przykład, zobacz następujący film wideo:

Konta usług zarządzane przez grupę

Konto usługi zarządzane przez grupę (gMSA) to zarządzane konto domeny, które zapewnia automatyczne zarządzanie hasłami, uproszczone zarządzanie główną nazwą usługi (SPN) oraz możliwość delegowania zarządzania do innych administratorów. GMSA rozszerza również tę funkcję na wielu serwerach. Usługa Microsoft Entra Cloud Sync obsługuje i zaleca użycie zarządzanego konta zarządzanego do uruchamiania agenta. Aby uzyskać więcej informacji, zobacz Konta usług zarządzane przez grupę.

Aktualizowanie istniejącego agenta w celu używania konta zarządzanego przez grupę

Aby zaktualizować istniejącego agenta do używania konta usługi zarządzanego przez grupę utworzonego podczas instalacji, uaktualnij usługę agenta do najnowszej wersji, uruchamiając AADConnectProvisioningAgent.msi. Teraz uruchom ponownie kreatora instalacji i podaj poświadczenia, aby utworzyć konto po wyświetleniu monitu.

Instalowanie agenta

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Connect.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu agenta aprowizacji programu Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny pakietu microsoft Entra Connect Provisioning Agent.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizowanie oparte na hr (Workday i SuccessFactors) / Microsoft Entra Connect w chmurze synchronizacji i wybierz przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta z co najmniej rolą administratora tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.

Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID (Łączenie identyfikatora entra firmy Microsoft).

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmiany podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Connect Active Directory (Łączenie usługi Active Directory).

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze. Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Connect Agent Updater i microsoft Entra Connect Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Ważne

Po zainstalowaniu agenta należy go skonfigurować i włączyć przed rozpoczęciem synchronizowania użytkowników. Aby skonfigurować nowego agenta, zobacz Tworzenie nowej konfiguracji dla usługi Microsoft Entra Cloud Sync.

Włączanie zapisywania zwrotnego haseł w synchronizacji w chmurze

Funkcję zapisywania zwrotnego haseł można włączyć bezpośrednio w portalu lub za pomocą programu PowerShell.

Włączanie zapisywania zwrotnego haseł w portalu

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługową usługę resetowania haseł (SSPR) do wykrywania agenta synchronizacji w chmurze, korzystając z portalu, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Po lewej stronie wybierz pozycję Ochrona, wybierz pozycję Resetowanie hasła, a następnie wybierz pozycję Integracja lokalna.
  3. Zaznacz opcję Włącz zapisywanie zwrotne haseł dla zsynchronizowanych użytkowników .
  4. (opcjonalnie) Jeśli wykryto agentów aprowizacji programu Microsoft Entra Connect, możesz dodatkowo sprawdzić opcję Zapisuj hasła zwrotne za pomocą usługi Microsoft Entra Cloud Sync.
  5. Zaznacz opcję Zezwalaj użytkownikom na odblokowywanie kont bez resetowania hasła do pozycji Tak.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.

Korzystanie z programu PowerShell

Aby użyć funkcji zapisywania zwrotnego haseł i włączyć samoobsługowe resetowanie hasła (SSPR) w celu wykrywania agenta synchronizacji w chmurze, użyj Set-AADCloudSyncPasswordWritebackConfiguration polecenia cmdlet i poświadczeń administratora globalnego dzierżawy:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Aby uzyskać więcej informacji na temat używania funkcji zapisywania zwrotnego haseł w usłudze Microsoft Entra Cloud Sync, zobacz Samouczek: włączanie samoobsługowego zapisywania zwrotnego resetowania haseł w chmurze w środowisku lokalnym.

Instalowanie agenta w chmurze dla instytucji rządowych USA

Domyślnie agent aprowizacji firmy Microsoft jest instalowany w domyślnym środowisku platformy Azure. Jeśli instalujesz agenta dla instytucji rządowych USA, wprowadź tę zmianę w kroku 7 poprzedniej procedury instalacji:

  • Zamiast wybierać pozycję Otwórz plik, wybierz pozycję Uruchom uruchom>, a następnie przejdź do pliku AADConnectProvisioningAgentSetup.exe. W polu Uruchom po wykonywale wprowadź wartość ENVIRONMENTNAME=AzureUSGovernment, a następnie wybierz przycisk OK.

    Zrzut ekranu przedstawiający sposób instalowania agenta w chmurze dla instytucji rządowych USA.

Synchronizacja skrótów haseł i fiPS z synchronizacją w chmurze

Jeśli serwer został zablokowany zgodnie z Federal Information Processing Standard (FIPS), MD5 (algorytm szyfrowany komunikat 5) jest wyłączony.

Aby włączyć rozwiązanie MD5 na potrzeby synchronizacji skrótów haseł, wykonaj następujące czynności:

  1. Przejdź do folderu %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
  2. Otwórz plik AADConnectProvisioningAgent.exe.config.
  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego w górnej części pliku.
  4. <enforceFIPSPolicy enabled="false"/> Dodaj węzeł.
  5. Zapisz zmiany.

Aby uzyskać odwołanie, kod powinien wyglądać podobnie do następującego fragmentu kodu:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Aby uzyskać informacje o zabezpieczeniach i standardach FIPS, zobacz Microsoft Entra password hash sync, encryption i FIPS compliance (Synchronizacja, szyfrowanie i zgodność ze standardem FIPS firmy Microsoft).

Następne kroki