Поделиться через

Руководство. Интеграция одного леса с одним клиентом Microsoft Entra

  • Статья

В этом руководстве описано, как создать среду гибридного удостоверения с помощью Microsoft Entra Cloud Sync.

Схема, показывающая поток синхронизации Microsoft Entra Cloud Sync.

Среду, созданную при работе с этим руководством, можно использовать для тестирования или дальнейшего знакомства с принципами облачной синхронизации.

Необходимые компоненты

В Центре администрирования Microsoft Entra

  1. Создайте учетную запись глобального администратора только для облака в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. См. дополнительные сведения о добавлении облачной учетной записи глобального администратора. Этот шаг очень важен, чтобы не потерять доступ к клиенту.
  2. Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

  1. Определение присоединенного к домену сервера узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+

  2. Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.

    • Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

      Номер порта Как он используется
      80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
      443 Обработка всего исходящего трафика для службы.
      8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале.

      Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

    • Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, можно добавить подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

    • Агентам требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

    • Для проверки сертификатов разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.

Установка агента подготовки Microsoft Entra

Если вы используете учебник по базовой среде AD и Azure , это будет DC1. Чтобы установить агент, выполните следующие действия.

  1. В портал Azure выберите идентификатор Microsoft Entra.
  2. Слева выберите Microsoft Entra Connect.
  3. Слева выберите "Облачная синхронизация".

Снимок экрана: новый экран пользовательского интерфейса.

  1. Слева выберите агент.
  2. Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".

Снимок экрана: агент скачивания.

  1. После скачивания пакета агента подготовки Microsoft Entra Connect запустите файл установки AADConnectProvisioningAgentSetup.exe из папки загрузки.

Примечание.

При установке для использования облака для государственных организаций США:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".

  1. На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".

Снимок экрана: экран заставки пакета агента подготовки Microsoft Entra Connect.

  1. После завершения операции установки мастер конфигурации запускается. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию. Снимок экрана приветствия.
  2. На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) или облачную синхронизацию Microsoft Entra Connect и нажмите кнопку "Далее". Снимок экрана: экран выбора расширений.

Примечание.

Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).

  1. Войдите с учетной записью по крайней мере роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите расширенную безопасность Internet Explorer и перезапустите установку пакета агента подготовки Microsoft Entra Connect.

Снимок экрана: экран

  1. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA ", так как система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из следующих вариантов:
  • Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
  • Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.

Чтобы продолжить работу, щелкните Далее.

Снимок экрана: экран

  1. На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".

  2. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".

Снимок экрана: ввод учетных данных администратора домена.

  1. На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.

Снимок экрана: экран Connect Active Directory.

  1. На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.

  2. После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".

Снимок экрана: экран завершения.

  1. Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.

Проверка агента на портале Azure

Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:

  1. Войдите на портал Azure.
  2. Выберите Microsoft Entra ID.
  3. Выберите Microsoft Entra Connect и выберите "Облачная синхронизация". Снимок экрана: новый экран пользовательского интерфейса.
  4. На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.

На локальном сервере

Чтобы убедиться, что агент выполняется, сделайте следующее.

  1. Войдите на сервер, используя учетную запись администратора.
  2. Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
  3. В разделе "Службы" убедитесь, что microsoft Entra Connect Agent Updater и Microsoft Entra Connect Provisioning Agent присутствуют, а состояние выполняется. Снимок экрана: службы Windows.

Проверка версии агента подготовки

Чтобы проверить версию запущенного агента, выполните следующие действия.

  1. Перейдите к разделу "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Щелкните правой кнопкой мыши "AADConnectProvisioningAgent.exe" и выберите свойства.
  3. Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.

Настройка Microsoft Entra Cloud Sync

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы настроить и запустить подготовку, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
  2. Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.Снимок экрана: домашняя страница облачной синхронизации.
  1. Выбор новой конфигурации
  2. На экране конфигурации введите сообщение электронной почты уведомления, переместите селектор, чтобы включить и нажмите кнопку "Сохранить".
  3. Теперь состояние конфигурации должно быть Healthy (Работоспособное).

Проверка создания пользователей и выполнения синхронизации

Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, которые находятся в области синхронизации, были синхронизированы и теперь существуют в клиенте Microsoft Entra. Операция синхронизации может занять несколько часов. Чтобы проверить синхронизацию пользователей, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
  2. Перейдите к пользователям удостоверений>.
  3. Убедитесь в том, что новый пользователь отображается в клиенте.

Проверка входа с помощью одной из учетных записей

  1. Перейдите по адресу https://myapps.microsoft.com.

  2. Выполните вход с помощью учетной записи пользователя, которая была создана в арендаторе. Вам потребуется выполнить вход с помощью следующего формата: (user@domain.onmicrosoft.com). Используйте тот же пароль, что и для входа в локальную среду.

Снимок экрана: портал моих приложений с вошедшего пользователя.

Теперь вы успешно настроили среду гибридного удостоверения с помощью Microsoft Entra Cloud Sync.

Следующие шаги