Installera Microsoft Entra-etableringsagenten

Den här artikeln beskriver hur du installerar Microsoft Entra-etableringsagenten och hur du först konfigurerar den i administrationscentret för Microsoft Entra.

Viktigt!

Följande installationsanvisningar förutsätter att du har uppfyllt alla krav.

Anteckning

Den här artikeln handlar om att installera provisionsagenten med hjälp av guiden. Information om hur du installerar Microsoft Entra-etableringsagenten med hjälp av en CLI finns i Installera Microsoft Entra-etableringsagenten med hjälp av en CLI och PowerShell.

Mer information och ett exempel finns i följande video:

Grupphanterade tjänstkonton

Ett grupphanterat tjänstkonto (gMSA) är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad SPN-hantering (Service Principal Name) och möjligheten att delegera hanteringen till andra administratörer. En gMSA utökar även den här funktionen över flera servrar. Microsoft Entra Cloud Sync stöder och rekommenderar användning av en gMSA för att köra agenten. Mer information finns i Gruppera hanterade tjänstkonton.

Uppdatera en befintlig agent så att den använder gMSA

Om du vill uppdatera en befintlig agent så att den använder det grupphanterade tjänstkonto som skapades under installationen uppgraderar du agenttjänsten till den senaste versionen genom att köra AADConnectProvisioningAgent.msi. Kör nu installationsguiden igen och ange autentiseringsuppgifterna för att skapa kontot när du uppmanas att göra det.

Installera agenten

1. I Azure Portal väljer du Microsoft Entra-ID.

2. I den vänstra rutan väljer du Microsoft Entra Connectoch väljer sedan Cloud Sync.

   

3. I den vänstra rutan väljer du Agenter.

4. Välj Ladda ned lokal agentoch välj sedan Acceptera villkor & ladda ned.

   

5. När du har laddat ned Microsoft Entra Connect Provisioning Agent Package kör du installationsfilen AADConnectProvisioningAgentSetup.exe från mappen för nedladdningar.

   Anteckning

   När du utför en installation för US Government Cloud använder du AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Mer information finns i Installera en agent i US Government Cloud.

6. På skärmen som öppnas markerar du kryssrutan jag godkänner licensvillkoren och väljer sedan Installera.

   

7. När installationen är klar öppnas konfigurationsguiden. Välj Nästa för att starta konfigurationen.

   

8. På skärmen Välj tillägg, välj HR-driven etablering (Workday och SuccessFactors) / Azure AD Connect Cloud Sync, och tryck sedan på Nästa.

   

   Anteckning

   Om du installerar etableringsagenten för användning med lokal Microsoft Entra-programetableringväljer du Lokal programetablering (Microsoft Entra-ID till program).

9. Logga in med ett konto som har minst rollen Hybrididentitetsadministratör. Om du har utökad säkerhet i Internet Explorer blockeras inloggningen. Stäng i så fall installationen inaktivera Förbättrad säkerhet i Internet Exploreroch starta om installationen av Microsoft Entra Connect Provisioning Agent Package.

   

10. På skärmen Konfigurera tjänstkonto väljer du ett grupphanterat tjänstkonto (gMSA). Det här kontot används för att köra agenttjänsten. Om ett hanterat tjänstkonto redan har konfigurerats i domänen av en annan agent och du installerar en andra agent väljer du Skapa gMSA-. Systemet identifierar det befintliga kontot och lägger till de behörigheter som krävs för att den nya agenten ska kunna använda gMSA-kontot. När du uppmanas att göra det väljer du något av två alternativ:

    • Skapa gMSA-: Låt agenten skapa provAgentgMSA$ hanterat tjänstekonto åt dig. Det grupphanterade tjänstkontot (till exempel CONTOSO\provAgentgMSA$) skapas i samma Active Directory-domän där värdservern anslöt. Om du vill använda det här alternativet anger du autentiseringsuppgifterna för Active Directory-domänadministratören (rekommenderas).
    • Använd anpassad gMSA-: Ange namnet på det hanterade tjänstkonto som du skapade manuellt för den här uppgiften.

11. Välj Nästa för att fortsätta.

    

12. På skärmen Anslut Active Directory går du vidare till nästa steg om domännamnet visas under Konfigurerade domäner. Annars anger du active directory-domännamnet och väljer Lägg till katalog.

13. Logga in med ditt Active Directory-domänadministratörskonto. Domänadministratörskontot bör inte ha ett lösenord som har upphört att gälla. Om lösenordet har upphört att gälla eller ändras under agentinstallationen konfigurerar du om agenten med de nya autentiseringsuppgifterna. Den här åtgärden lägger till din lokala katalog. Välj OKoch välj sedan Nästa för att fortsätta.

    

14. Följande skärmbild visar ett exempel på domänen som konfigurerats för contoso.com. Klicka på Nästa när du vill fortsätta.

    

15. På skärmen Konfigurationen är klar väljer du Bekräfta. Den här åtgärden registrerar och startar om agenten.

16. När åtgärden är klar visas ett meddelande om att agentkonfigurationen har verifierats. Välj Avsluta.

    

17. Om du fortfarande får den första skärmen väljer du Stäng.

Verifiera installationen av agenten

Agentverifiering sker i Azure-portalen och på den lokala server som kör agenten.

Verifiera agenten i Azure-portalen

Följ dessa steg för att kontrollera att Microsoft Entra ID registrerar agenten:

1. Logga in på Azure-portalen.

2. Välj Microsoft Entra ID.

3. Välj Microsoft Entra Connectoch välj sedan Cloud Sync.

   

4. På sidan Cloud Sync visas de agenter som du har installerat. Kontrollera att agenten visas och att statusen är i gott skick.

Verifiera agenten på den lokala servern

För att kontrollera att agenten är igång, följ dessa steg:

1. Logga in på servern med ett administratörskonto.

2. Gå till Services. Du kan också använda Start/Run/Services.msc för att komma åt den.

3. Under Tjänsterkontrollerar du att Microsoft Entra Connect Agent Updater och Microsoft Entra Connect Provisioning Agent är närvarande och att statusen är Körs.

   

Verifiera provisioneringsagentens version

Följ dessa steg för att kontrollera vilken version av agenten som körs:

1. Gå till C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Högerklicka på AADConnectProvisioningAgent.exe och välj Egenskaper.
3. Välj fliken Information. Versionsnumret visas bredvid produktversionen.

Viktigt!

När du har installerat agenten måste du konfigurera och aktivera den innan den börjar synkronisera användare. Information om hur du konfigurerar en ny agent finns i Skapa en ny konfiguration för Microsoft Entra Cloud Sync.

Aktivera tillbakaskrivning av lösenord i molnsynkronisering

Du kan aktivera tillbakaskrivning av lösenord i SSPR direkt i portalen eller via PowerShell.

Aktivera tillbakaskrivning av lösenord i portalen

Utför följande steg för att använda tillbakaskrivning av lösenord och aktivera tjänsten självbetjäning av lösenordsåterställning (SSPR) för att identifiera molnsynkroniseringsagenten med hjälp av portalen:

1. Logga in på administrationscentret för Microsoft Entra som minst en hybrididentitetsadministratör.
2. Bläddra till Entra ID>Lösenordsåterställning>Lokal integrering.
3. Kontrollera alternativet Aktivera tillbakaskrivning av lösenord för synkroniserade användare .
4. (valfritt) Om Microsoft Entra Connect-etableringsagenter identifieras kan du dessutom kontrollera alternativet för att skriva tillbaka lösenord med Microsoft Entra Cloud Sync.
5. Kontrollera alternativet Tillåt användare att låsa upp konton utan att återställa sitt lösenord till Ja.
6. När du är klar väljer du Spara.

Med hjälp av PowerShell

Om du vill använda tillbakaskrivning av lösenord och aktivera tjänsten för självbetjäning av lösenordsåterställning (SSPR) för att identifiera molnsynkroniseringsagenten använder du cmdleten Set-AADCloudSyncPasswordWritebackConfiguration och klientens autentiseringsuppgifter för global administratör:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Mer information om hur du använder lösenordstillbakaskrivning med Microsoft Entra Cloud Sync hittar du i Handledning: Aktivera skrivning tillbaka av lösenordsåterställning via molnsynk med självbetjäning till en lokal miljö.

Installera en agent i US-regeringens moln

Som standard installeras Microsoft Entra-etableringsagenten i Azure-standardmiljön. Om du installerar agenten för amerikanska myndigheter gör du den här ändringen i steg 7 i föregående installationsprocedur:

• I stället för att välja Öppna fil väljer du Starta>kör och går sedan till filen AADConnectProvisioningAgentSetup.exe. I rutan Kör efter den körbara filen anger du ENVIRONMENTNAME=AzureUSGovernment och väljer sedan OK.

  

Synkronisering av lösenordshash och FIPS med molnsynkronisering

Om servern har låsts enligt FIPS (Federal Information Processing Standard) inaktiveras MD5 (meddelandesammandragsalgoritm 5).

Om du vill aktivera MD5 för synkronisering av lösenordshash gör du följande:

1. Gå till %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
2. Öppna AADConnectProvisioningAgent.exe.config.
3. Gå till noden configuration/runtime längst upp i filen.
4. <enforceFIPSPolicy enabled="false"/> Lägg till noden.
5. Spara dina ändringar.

Som referens bör koden se ut som följande kodfragment:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Information om säkerhet och FIPS finns i Microsoft Entra-synkronisering av lösenordshash, kryptering och FIPS-efterlevnad.

Nästa steg

• Vad är provisionering?
• Vad är Microsoft Entra molnsynkronisering?
• Skapa en ny konfiguration för Microsoft Entra Cloud Sync.