安裝 Microsoft Entra 布建代理程式

本文將逐步引導您完成 Microsoft Entra 布建代理程式的安裝程式,以及如何在 Microsoft Entra 系統管理中心進行初始設定。

重要

下列安裝指示假設您已符合所有 必要條件

注意

本文說明如何使用精靈來安裝布建代理程式。 如需使用 CLI 安裝 Microsoft Entra 布建代理程式的相關信息,請參閱 使用 CLI 和 PowerShell 安裝 Microsoft Entra 布建代理程式。

如需詳細資訊和範例,請觀看下列影片:

群組受管理的服務帳戶

群組受控服務帳戶 (gMSA) 是受控網域帳戶,可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理,以及將管理委派給其他系統管理員的能力。 gMSA 也會將這項功能延伸至多部伺服器。 Microsoft Entra Cloud Sync 支援並建議使用 gMSA 來執行代理程式。 如需詳細資訊,請參閱 群組受管理的服務帳戶

更新現有的代理程式以使用 gMSA

若要更新現有的代理程式以使用安裝期間建立的群組受控服務帳戶,請執行 AAD 連線 ProvisioningAgent.msi,將代理程式服務升級至最新版本。 現在再次執行安裝精靈,並提供認證,以便在系統提示您這麼做時建立帳戶。

安裝代理程式

  1. 在 Azure 入口網站中,選取 [Microsoft Entra ID]
  2. 在左側,選取 [Microsoft Entra 連線]。
  3. 在左側,選取 [ 雲端同步]。

Screenshot of new UX screen.

  1. 在左側,選取 [ 代理程式]。
  2. 選取 [ 下載內部部署代理程式],然後選取 [ 接受條款及下載]。

Screenshot of download agent.

  1. 一旦 Microsoft Entra 連線 布建代理程式套件完成下載,請從下載資料夾執行 AAD 連線 ProvisioningAgentSetup.exe 安裝檔案。

注意

安裝美國政府雲端時,請使用:
AAD 連線 ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊,請參閱<在美國政府雲端安裝代理程式>。

  1. 在啟動顯示畫面上,選取 [我同意授權和條件],然後選取 [ 安裝]。

Screenshot that shows the Microsoft Entra Connect Provisioning Agent Package splash screen.

  1. 安裝作業完成後,組態精靈將會啟動。 選取 [下一步 ] 以啟動設定。 Screenshot of the welcome screen.
  2. 在 [選取擴充功能] 畫面上,選取 HR 驅動布建 (Workday 和 SuccessFactors) / Microsoft Entra 連線 雲端同步,然後按 [下一步]。 Screenshot of the select extensions screen.

注意

如果您要安裝布建代理程式以搭配 內部部署應用程式 佈建使用,請選取 [內部部署應用程式佈建] (Microsoft Entra ID to application)。

  1. 使用 Microsoft Entra Global 管理員 istrator 或 Hybrid Identity 管理員 istrator 帳戶登入。 如果您已啟用 Internet Explorer 增強式安全性,則會封鎖登入。 若是如此,請關閉安裝、停用 Internet Explorer 增強的安全性,然後重新啟動 Microsoft Entra 連線 布建代理程式套件安裝。

Screenshot of the Connect Microsoft Entra ID screen.

  1. 在 [ 設定服務帳戶 ] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶用來執行代理程序服務。 如果受控服務帳戶已由另一個代理程式在您的網域中設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA ],因為系統會偵測現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的許可權。 出現提示時,請選擇下列其中一項:
  • 建立 gMSA ,讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶(例如 CONTOSO\provAgentgMSA$)將會建立在主機伺服器已加入的相同 Active Directory 網域中。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證(建議使用)。
  • 使用自定義 gMSA ,並提供您為此工作手動建立的受控服務帳戶名稱。

若要繼續,請選取 [下一步]。

Screenshot of the Configure Service Account screen.

  1. 在 [連線 Active Directory] 畫面上,如果您的域名出現在 [已設定的網域] 底下,請跳至下一個步驟。 否則,請輸入您的 Active Directory 功能變數名稱,然後選取 [ 新增目錄]。

  2. 使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶不應該有過期的密碼。 如果密碼在代理程式安裝期間過期或變更,您必須使用新的認證重新設定代理程式。 這項作業將會新增您的內部部署目錄。 選取 [ 確定],然後選取 [ 下一步 ] 繼續。

Screenshot that shows how to enter the domain admin credentials.

  1. 下列螢幕快照顯示 contoso.com 已設定網域的範例。 選取下一步以繼續。

Screenshot of the Connect Active Directory screen.

  1. 在 [ 組態完成] 畫面上 ,選取 [ 確認]。 這項作業將會註冊並重新啟動代理程式。

  2. 此作業完成後,您應該會收到代理程式設定已成功驗證的通知 您可以選取 [ 結束]。

Screenshot that shows the finish screen.

  1. 如果您仍然收到初始啟動顯示畫面,請選取 [ 關閉]。

確認代理程式安裝

代理程式驗證會發生在執行代理程式的 Azure 入口網站 和本地伺服器上。

Azure 入口網站 代理程序驗證

若要確認代理程式正由 Microsoft Entra ID 註冊,請遵循下列步驟:

  1. 登入 Azure 入口網站
  2. 選取 [Microsoft Entra ID]
  3. 選取 [Microsoft Entra 連線],然後選取 [雲端同步]。Screenshot of new UX screen.
  4. 在雲端 同步 頁面上,您會看到已安裝的代理程式。 確認代理程式已顯示且狀態良好

在本機伺服器上

若要確認代理程式正在執行,請遵循下列步驟:

  1. 使用系統管理員帳戶登入伺服器。
  2. 流覽至服務,或移至 Start/Run/Services.msc 來開啟服務
  3. 在 [服務] 底下,確定 [Microsoft Entra 連線 代理程式更新程式和 Microsoft Entra 連線 布建代理程式存在,且狀態為 [正在執行]。 Screenshot that shows the Windows services.

確認布建代理程式版本

若要確認代理程式版本正在執行,請遵循下列步驟:

  1. 流覽至 'C:\Program Files\Microsoft Azure AD 連線 布建代理程式'
  2. 以滑鼠右鍵按兩下 [AAD 連線 ProvisioningAgent.exe],然後選取 [屬性]。
  3. 按兩下 [詳細數據] 索引標籤,[產品版本] 旁會顯示版本號碼。

重要

安裝代理程序之後,您必須先設定並啟用它,才能開始同步處理使用者。 若要設定新的代理程式,請參閱 建立 Microsoft Entra Cloud Sync 的新設定。

在雲端同步中啟用密碼回寫

您可以直接在入口網站或透過PowerShell在SSPR中啟用密碼回寫。

在入口網站中啟用密碼回寫

若要使用 密碼回寫 並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式,請使用入口網站,完成下列步驟:

  1. 以至少混合式身分識別 管理員 istrator 身分登入 Microsoft Entra 系統管理中心
  2. 在左側選取 [保護],選取 [密碼重設],然後選擇 [ 內部部署整合]。
  3. 核取 [啟用同步使用者 的密碼回寫] 選項。
  4. (選擇性)如果偵測到 Microsoft Entra 連線 布建代理程式,您可以另外檢查 [使用 Microsoft Entra Cloud Sync 回寫密碼] 選項
  5. 核取 [允許使用者解除鎖定帳戶而不將密碼重設為 [是] 選項。
  6. 準備好時,請選取 [ 儲存]。

使用 PowerShell

若要使用 密碼回 寫並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式,請使用 Set-AADCloudSyncPasswordWritebackConfiguration Cmdlet 和租使用者的全域管理員認證:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

如需搭配 Microsoft Entra Cloud Sync 使用密碼回寫的詳細資訊,請參閱 教學課程:啟用雲端同步自助式密碼重設回寫至內部部署環境 (預覽版)

在美國政府雲端安裝代理程式

根據預設,Microsoft Entra 布建代理程式會安裝在預設 Azure 環境中。 如果您要安裝美國政府使用的代理程式,請在上述安裝程式的步驟 7 中進行這項變更:

  • 不要選取 [開啟檔案],請選取 [啟動>執行],然後移至 AAD 連線 ProvisioningAgentSetup.exe 檔案。 在 [ 執行 ] 方塊中,於可執行檔後面輸入 ENVIRONMENTNAME=AzureUSGovernment,然後選取 [ 確定]。

    Screenshot that shows how to install an agent in the US government cloud.

使用雲端同步處理的密碼哈希同步處理和 FIPS

如果您的伺服器已根據聯邦資訊處理標準 (FIPS) 鎖定,MD5 (訊息摘要演算法 5) 已停用。

若要啟用 MD5 進行密碼哈希同步處理,請執行下列動作:

  1. 移至 %programfiles%\Microsoft Azure AD 連線 布建代理程式。
  2. 開啟 AAD 連線 ProvisioningAgent.exe.config
  3. 移至檔案頂端的組態/運行時間節點。
  4. <enforceFIPSPolicy enabled="false"/>新增節點。
  5. 儲存您的變更。

如需參考,您的程式代碼看起來應該像下列代碼段:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

如需安全性和 FIPS 的相關信息,請參閱 Microsoft Entra 密碼哈希同步處理、加密和 FIPS 合規性

下一步