安装 Microsoft Entra 预配代理

2025-04-30

本文将指导你完成 Microsoft Entra 预配代理的安装过程，并演示如何在 Microsoft Entra 管理中心对其进行初始配置。

重要

以下安装说明假定你已满足所有先决条件。

注意

本文介绍了如何使用向导安装预配代理。有关使用 CLI 安装 Microsoft Entra 预配代理的信息，请参阅使用 CLI 和 PowerShell 安装 Microsoft Entra 预配代理。

有关详细信息和示例，请观看以下视频：

组托管服务帐户

组托管服务帐户 (gMSA) 是一种托管的域帐户，提供自动密码管理、简化的服务主体名称 (SPN) 管理以及将管理委派给其他管理员的功能。 gMSA 还在多个服务器上扩展了此功能。 Microsoft Entra 云同步支持并建议使用 gMSA 来运行代理。有关详细信息，请参阅组托管服务帐户。

更新现有代理以使用 gMSA

若要更新现有代理以使用在安装过程中创建的组托管服务帐户，只需通过运行 AADConnectProvisioningAgent.msi 将代理服务升级至最新版本即可。现在，请再次运行安装向导，并在出现提示时提供用于创建帐户的凭据。

安装代理

在 Azure 门户中，选择 Microsoft Entra ID。
在左侧窗格中，选择“Microsoft Entra Connect”，然后选择“云同步”。
在左侧窗格中，选择“代理”。
选择“下载本地代理”，然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后，请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。

注意

为美国政府云执行安装时，请使用 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment。有关详细信息，请参阅在美国政府云中安装代理。
在打开的屏幕上，选中“我同意许可条款和条件”复选框，然后选择“安装”。
在安装完成后，会打开配置向导。选择“下一步”以开始配置。
在“选择扩展”屏幕上，选择“HR 驱动的预配(Workday 和 SuccessFactors)/Azure AD Connect 云同步”，然后选择“下一步”。

注意

如果安装预配代理以用于 Microsoft Entra 本地应用程序预配，请选择本地应用程序预配（Microsoft Entra ID 到应用程序）。
使用至少具有混合标识管理员角色的帐户登录。如果启用了 Internet Explorer 增强的安全性，那么它会阻止登录。如果是，请关闭安装，禁用 Internet Explorer 增强的安全性，并重启 Microsoft Entra Connect 预配代理包安装。
在“配置服务帐户”屏幕上，选择一个组托管服务帐户 (gMSA)。此帐户用于运行代理服务。如果已在域中由另一个代理配置托管服务帐户，并且你要安装第二个代理，请选择“创建 gMSA”。系统检测现有帐户，并添加新代理使用 gMSA 帐户所需的权限。出现提示时，请选择下面两个选项之一：
- 创建 gMSA：此允许代理为你创建 provAgentgMSA$ 托管服务帐户。组托管服务帐户（例如 CONTOSO\provAgentgMSA$）是在主机服务器加入的同一 Active Directory 域中创建的。若要使用此选项，请输入 Active Directory 域管理员凭据（推荐）。
- 使用自定义 gMSA：提供你已为此任务手动创建的托管服务帐户的名称。
若要继续操作，请选择“下一步”。
在“连接 Active Directory”屏幕上，如果域名显示在“配置的域”下，请跳到下一步。否则，请输入你的 Active Directory 域名，然后选择“添加目录”。
使用你的 Active Directory 域管理员帐户登录。域管理员帐户不应具有过期的密码。如果密码在安装期间过期或发生更改，请使用新凭据重新配置代理。此操作将添加本地目录。选择“确定”，然后选择“下一步”以继续。
以下屏幕截图显示了为 contoso.com 配置的域示例。选择“下一步”继续。
在“配置完成”屏幕上，选择“确认”。此操作注册并重新启动代理。
操作完成后，会显示一条通知，指出代理配置已成功验证。选择 “退出”。
如果仍然显示初始屏幕，请单击“关闭”。

验证代理安装

代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。

在 Azure 门户中验证代理

若要验证 Microsoft Entra ID 是否注册代理，请执行以下步骤：

登录到 Azure 门户。
选择“Microsoft Entra ID”。
选择“Microsoft Entra Connect”，然后选择“云同步”。
在“云同步”页上，你会看到已安装的代理。验证代理是否显示以及状态是否为“正常”。

验证本地服务器上的代理

若要验证代理是否正在运行，请执行以下步骤：

使用管理员帐户登录到服务器。
转到“服务”。还可以使用 Start/Run/Services.msc 来访问它。
确保“Microsoft Entra Connect 代理更新程序”和“Microsoft Entra Connect 预配代理”包含在“服务”中，并且其状态为“正在运行”。

验证预配代理版本

若要验证正在运行的代理版本，请执行以下步骤：

转到 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent。
右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
选择“详细信息”选项卡。版本号显示在产品版本旁边。

重要

安装代理后，必须先配置并启用它，然后才能开始同步用户。若要配置新代理，请参阅为 Microsoft Entra Cloud Sync 创建新配置。

在云同步中启用密码写回

可以直接在门户中或通过 PowerShell 在 SSPR 中启用密码写回。

在门户中启用密码写回

若要使用“密码写回”并启用自助密码重置 (SSPR) 服务来检测云同步代理，请使用门户完成以下步骤：

以至少混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>密码重置>企业内部集成。
选中“ 为同步用户启用密码写回 ”选项。
（可选）如果检测到 Microsoft Entra Connect 预配代理，则还可以勾选“使用 Microsoft Entra 云同步写回密码”选项。
勾选“允许用户在不重置密码的情况下解锁帐户”选项并将其设置为“是”。
准备就绪后，选择“保存”。

使用 PowerShell

若要使用密码写回，并启用自助式密码重置 (SSPR) 服务来检测云同步代理，可以使用 cmdlet 和租户的全局管理员凭据：Set-AADCloudSyncPasswordWritebackConfiguration

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

有关将密码写回与 Microsoft Entra Cloud Sync 配合使用的详细信息，请参阅教程：启用云同步自助密码重置写回到本地环境。

在美国政府云中安装代理

默认情况下，Microsoft Entra 预配代理安装在默认 Azure 环境中。如果要安装供美国政府使用的代理，请在上述安装过程的步骤 7 中进行此更改：

选择“启动”“运行”（而不是选择“打开文件”），然后转到“AADConnectProvisioningAgentSetup.exe”文件。在“运行”框中，在可执行文件后，输入“ENVIRONMENTNAME=AzureUSGovernment”，然后选择“确定”。

密码哈希同步以及针对云同步的 FIPS

如果已经根据美国联邦信息处理标准 (FIPS) 锁定服务器，则会禁用 MD5（消息摘要算法 5）。

若要为密码哈希同步启用 MD5，请执行以下操作：

转到 %programfiles%\Microsoft Azure AD Connect Provisioning Agent。
打开 AADConnectProvisioningAgent.exe.config。
转到文件顶端的 configuration/runtime 节点。
添加 <enforceFIPSPolicy enabled="false"/> 节点。
保存所做更改。

作为参考，你的代码应如以下代码片段所示：

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

有关安全性和 FIPS 的信息，请参阅 Microsoft Entra 密码哈希同步、加密和 FIPS 符合性。