什么是 Microsoft Entra Connect 管理代理?

  • 项目

Microsoft Entra Connect 管理代理是可安装在 Microsoft Entra Connect 服务器上的 Microsoft Entra Connect 组件。 该代理用于从混合 Active Directory 环境中收集特定数据。 收集的数据有助于 Microsoft 支持部门工程师在你启动支持案例时对问题进行故障排除。

注意

Microsoft Entra Connect 管理代理不再是 Microsoft Entra Connect 安装的一部分,不能与 Microsoft Entra Connect 版本 2.1.12.0 或更高版本一起使用。

Microsoft Entra Connect 管理代理等待来自 Microsoft Entra ID 的数据的特定请求。 然后,代理从同步环境中获取请求的数据并将其发送到 Microsoft Entra ID,数据在其中会提供给 Microsoft 支持部门工程师。

不存储 Microsoft Entra Connect 管理代理从环境中检索的信息。 此信息仅显示给 Microsoft 支持部门工程师,从而帮助他们调查与 Microsoft Entra Connect 相关的支持案例并对其进行故障排除。

Microsoft Entra Connect 服务器上默认不安装 Microsoft Entra Connect 管理代理。 要帮助处理支持案例,必须安装代理以收集数据。

安装 Microsoft Entra Connect 管理代理

要在 Microsoft Entra Connect 服务器上安装 Azure Microsoft Entra 管理代理,请先确保满足一些先决条件,然后再安装代理。

先决条件:

  • Microsoft Entra Connect 安装在服务器上。
  • Microsoft Entra Connect Health 安装在服务器上。

Screenshot that shows the admin agent on the server.

Microsoft Entra Connect 管理代理二进制文件位于 Microsoft Entra Connect 服务器上。

若要安装此代理,请执行以下步骤:

  1. 以管理员身份打开 PowerShell。
  2. 转到应用程序所在的目录: cd "C:\Program Files\Microsoft Azure Active Directory Connect\Tools"
  3. 运行 ConfigureAdminAgent.ps1

出现提示时,输入 Microsoft Entra 混合标识管理员凭据。 这些凭据应与安装 Microsoft Entra Connect 期间输入的凭据相同。

安装代理后,服务器控制面板上“添加/删除程序”中会显示以下两个新程序:

Screenshot that shows the Add/Remove Programs list that includes the new programs you added.

Microsoft 支持部门工程师可以查看我的同步服务中的哪些数据?

当你启动支持案例时,Microsoft 支持部门工程师可以查看给定用户的以下信息:

  • Windows Server Active Directory (Windows Server AD)中的相关数据。
  • Microsoft Entra Connect 服务器上的 Windows Server AD 连接器空间。
  • Microsoft Entra Connect 服务器上的 Microsoft Entra 连接器空间。
  • Microsoft Entra Connect 服务器中的 Metaverse。

Microsoft 支持部门工程师无法更改系统中的任何数据,也看不到任何密码。

如果我不希望 Microsoft 支持工程师访问我的数据,该怎样做?

安装代理后,如果不希望 Microsoft 支持部门工程师在处理支持请求时访问你的数据,可以修改服务配置文件以禁用该功能:

  1. 在记事本中,打开 C:\Program Files\Microsoft Azure AD Connect Administration Agent\AzureADConnectAdministrationAgentService.exe.config

  2. 禁用 UserDataEnabled 设置,如以下示例所示。 如果 UserDataEnabled 设置存在并已设置为 true,请将其设置为 false。 如果设置不存在,则添加设置。

    <appSettings>
  <add key="TraceFilename" value="ADAdministrationAgent.log" />
  <add key="UserDataEnabled" value="false" />
</appSettings>

  3. 保存 config 文件。

  4. 重启 Microsoft Entra Connect 管理代理服务,如下图所示:

    Screenshot that shows how to restart the Microsoft Entra Connect Administrator Agent service.

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成