分享方式:


安裝 Microsoft Entra Connect 佈建代理程式

本文會逐步引導您完成 Microsoft Entra 佈建代理程式的安裝流程,以及如何在 Microsoft Entra 系統管理中心進行初始設定。

重要

下列安裝指示假設您已符合所有必要條件

注意

本文說明如何使用精靈來安裝佈建代理程式。 如需使用 CLI 安裝 Microsoft Entra 佈建代理程式的相關資訊,請參閱使用 CLI 和 PowerShell 安裝 Microsoft Entra 佈建代理程式

如需詳細資訊和範例,請觀看下列影片:

群組受管理的服務帳戶

群組受管理的服務帳戶 (gMSA) 是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理,以及將管理委派給其他管理員的能力。 gMSA 也會將此功能擴充至多部伺服器。 Microsoft Entra 雲端同步支援並建議使用 gMSA 來執行代理程式。 如需相關資訊,請參閱 群組受管理的服務帳戶

更新現有的代理程式以使用 gMSA

若要更新現有的代理程式以使用在安裝期間建立的群組受管理的服務帳戶,請執行 AADConnectProvisioningAgent.msi,將代理程式服務更新至最新版本。 現在再次執行安裝精靈,並在系統提示時提供建立帳戶的憑證。

安裝代理程式

  1. 在 Azure 入口網站中,選取 [Microsoft Entra ID]
  2. 選取左側的 [Microsoft Entra Connect]
  3. 選取左側的 [雲端同步]

新 UX 畫面的螢幕擷取畫面。

  1. 選取左側的 [代理程式]
  2. 選取 [下載內部部署代理程式],並選取 [接受條款並下載]

下載代理程式的螢幕擷取畫面。

  1. 下載 Microsoft Entra Connect 佈建代理程式套件之後,請從您的下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。

注意

安裝美國政府雲端時,請使用:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊,請參閱在美國政府雲端安裝代理程式

  1. 在啟動顯示畫面上,選取 [我同意授權條款和條件],並選取 [安裝]

該螢幕擷取畫面顯示 Microsoft Entra Connect 佈建代理程式套件的啟動顯示畫面。

  1. 安裝作業完成後,就會啟動設定精靈。 選取 [下一步] 開始進行設定。 歡迎畫面的螢幕擷取畫面。
  2. 在 [選取延伸模組] 畫面上,選取 [HR 驅動佈建 (Workday 和 SuccessFactors) / Microsoft Entra Connect 雲端同步],然後選取 [下一步]選取延伸模組畫面的螢幕擷取畫面。

注意

若要安裝佈建代理程式以搭配內部部署應用程式佈建使用,請選取 [內部部署應用程式佈建 (Microsoft Entra ID 至應用程式)]。

  1. 以不低於 [混合式身分識別管理員] 角色登入帳戶。 若已啟用 Internet Explorer 增強式安全性,系統會封鎖登入。 若是如此,請關閉安裝,停用 Internet Explorer 增強式安全性,並重新啟動 Microsoft Entra Connect 佈建代理程式套件安裝。

連線 Microsoft Entra ID 畫面的螢幕擷取畫面。

  1. 在 [設定服務帳戶] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受管理的服務帳戶已由另一個代理程式在您的網域中完成設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA],因為系統會偵測到現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的權限。 系統提示時,請選擇下列其中一項:
  • [建立 gMSA],讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 系統將在主機伺服器加入的相同 Active Directory 網域中建立群組受控服務帳戶 (例如 CONTOSO\provAgentgMSA$)。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證 (建議使用)。
  • 使用自訂 gMSA,並提供您為此工作手動建立的受管理的服務帳戶名稱。

若要繼續,請選取 [下一步]。

設定服務帳戶畫面的螢幕擷取畫面。

  1. 在 [連線 Active Directory] 畫面上,如果您的網域名稱出現在 [設定的網域] 下,請跳至下一個步驟。 否則,請鍵入您的 Active Directory 網域名稱,並選取 [新增目錄]

  2. 使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝過程中過期或遭變更,您必須使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定],並選取 [下一步] 繼續。

該螢幕擷取畫面顯示如何進行網域系統管理員認證。

  1. 下面螢幕擷取畫面顯示已設定網域 contoso.com 的範例。 選取下一步以繼續。

連線 Active Directory 畫面的螢幕擷取畫面。

  1. 在 [設定完成] 畫面上,選取 [確認]。 此操作會註冊並重新啟動代理程式。

  2. 作業完成之後,您應該會收到通知,指出 [已成功驗證您的代理程式設定]。您可以選取 [結束]

該螢幕擷取畫面顯示完成畫面。

  1. 如果您仍看到初始啟動顯示畫面,請選取 [關閉]

驗證代理程式安裝

代理程式驗證可在 Azure 入口網站中以及執行代理程式的本機伺服器上進行。

Azure 入口網站代理程式驗證

若要確認 Microsoft Entra ID 正在註冊此代理程式,請遵循下列步驟:

  1. 登入 Azure 入口網站
  2. 選取 [Microsoft Entra ID]
  3. 選取 [Microsoft Entra Connect],然後選取 [雲端同步]新 UX 畫面的螢幕擷取畫面。
  4. 在 [雲端同步] 頁面上,您會看到已安裝的代理程式。 確認代理程式已顯示,且狀態良好

在本機伺服器上

若要確認代理程式正在執行,請遵循下列步驟:

  1. 使用管理員帳戶登入伺服器。
  2. 瀏覽至 [服務],或前往 [開始/執行/Services.msc],以開啟 [服務]。
  3. 在 [服務] 底下,確定存在 [Microsoft Entra Connect 代理程式更新程式] 和 [Microsoft Entra Connect 佈建代理程式],且狀態為 [執行中]該螢幕擷取畫面顯示 Windows 服務。

確認佈建代理程式版本

若要驗證執行的代理程式版本,請遵循下列步驟:

  1. 瀏覽至 'C:\Program Files\Microsoft Azure AD Connect Provisioning Agent'
  2. 以滑鼠右鍵按一下 [AADConnectProvisioningAgent.exe],然後選取屬性。
  3. 按一下 [詳細資料] 索引標籤,版本號碼會顯示在 [產品版本] 旁。

重要

安裝代理程式後,必須先設定並啟用代理程式,才能開始同步處理使用者。 若要設定新的代理程式,請參閱建立新設定以進行 Microsoft Entra Cloud Sync

在雲端同步中啟用密碼回寫

您可以直接在入口網站或透過 PowerShell 在 SSPR 中啟用密碼回寫。

在入口網站中啟用密碼回寫

若要使用 [密碼回寫] 並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式,請使用入口網站,完成下列步驟:

  1. 以不低於 [混合式身分識別管理員] 的身分登入 [Microsoft Entra 系統管理中心]
  2. 在左側選取 [保護],選取 [密碼重設],然後選擇 [內部部署整合]
  3. 勾選 [啟用同步使用者的密碼寫回] 選項。
  4. (選用) 如果偵測到 Microsoft Entra Connect 佈建代理程式,您可以另外勾選 [使用 Microsoft Entra 雲端同步寫回密碼] 選項。
  5. 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]
  6. 在準備就緒時,選取 [儲存]

使用 PowerShell

若要使用 [密碼回寫] 並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式,請使用 Set-AADCloudSyncPasswordWritebackConfiguration Cmdlet 和租用戶的全域管理員認證:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

如需使用密碼回寫搭配 Microsoft Entra Cloud Sync 的詳細資訊,請參閱教學課程:啟用雲端同步自助式密碼重設回寫至內部部署環境

在美國政府雲端安裝代理程式

根據預設,Microsoft Entra 佈建代理程式會安裝在預設 Azure 環境中。 若要安裝美國政府使用的代理程式,請在上述安裝程序的步驟 7 中進行此變更:

  • 不要選取 [開啟檔案],而是選取 [開始]>[執行],然後移至 [AADConnectProvisioningAgentSetup.exe] 檔案。 在 [執行] 方塊中,於可執行檔之後輸入 [ENVIRONMENTNAME=AzureUSGovernment],然後選取 [確定]

    該螢幕擷取畫面顯示如何在美國政府雲端中安裝代理程式。

密碼雜湊同步處理和具有雲端同步的 FIPS

如果我們已經根據美國聯邦資訊處理標準 (FIPS) 鎖定您的伺服器,則 MD5 (訊息摘要演算法 5) 會停用。

若要為密碼雜湊同步處理啟用 MD5,請執行下列步驟:

  1. 移至 %programfiles%\Microsoft Azure AD Connect Provisioning Agent。
  2. 開啟 [AADConnectProvisioningAgent.exe.config]
  3. 移至檔案頂端的 configuration/runtime 節點。
  4. 新增 <enforceFIPSPolicy enabled="false"/> 節點。
  5. 儲存您的變更。

作為參考,您的程式碼看起來應該如下列程式碼片段所示:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

如需安全性和 FIPS 的詳細資訊,請參閱 Microsoft Entra 密碼雜湊同步、加密和 FIPS 合規性

下一步