將現有及全新樹系與單一 Microsoft Entra 租用戶整合
本教學課程會逐步引導您將雲端同步新增至現有的混合式身分識別環境。
您可以使用在本教學課程中建立的環境進行測試,或更熟悉混合式身分識別的運作方式。
在此案例中,現有的樹系會使用 Microsoft Entra 連線 Sync 同步至 Microsoft Entra 租使用者。 而且您有想要同步處理至相同 Microsoft Entra 租使用者的新樹系。 您將設定新樹系的雲端同步處理。
必要條件
在 Microsoft Entra 系統管理中心
- 在您的 Microsoft Entra 租使用者上建立僅限雲端的全域 管理員 istrator 帳戶。 如此一來,如果內部部署服務失敗或無法使用,您可以管理租用戶的設定。 瞭解如何新增僅限雲端的全域 管理員 istrator 帳戶。 完成此步驟對於確保您不會鎖定租用戶至關重要。
- 將一或多個 自定義功能變數名稱 新增至您的 Microsoft Entra 租使用者。 您的使用者可以使用下列其中一個功能變數名稱登入。
在您的內部部署環境中
識別執行 Windows Server 2012 R2 或更新版本的已加入網域主機伺服器,且至少具有 4 GB RAM 和 .NET 4.7.1+ 運行時間
如果伺服器與 Microsoft Entra ID 之間有防火牆,請設定下列項目:
請確定代理程式可以透過下列埠對 Microsoft Entra ID 提出 輸出 要求:
連接埠號碼 使用方式 80 在驗證 TLS/SSL 憑證時下載憑證時下載憑證 ( CRL) 443 處理所有與服務之間的輸出通訊 8080 (選用) 如果埠 443 無法使用,代理程式會每隔 10 分鐘報告其狀態。 此狀態會顯示在入口網站上。 如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。
如果您的防火牆或 Proxy 可讓您指定安全後綴,請將連線新增至 *.msappproxy.net 和 *.servicebus.windows.net。 如果沒有,請允許存取每周更新的 Azure 資料中心 IP 範圍。
您的代理程式需要存取 初始註冊的 login.windows.net 和 login.microsoftonline.com 。 因此也請針對這些 URL 開啟您的防火牆。
針對憑證驗證,請解除封鎖下列 URL: mscrl.microsoft.com:80、 crl.microsoft.com:80、 ocsp.msocsp.com:80 和 www.microsoft.com:80。 由於這些 URL 會用於與其他 Microsoft 產品的憑證驗證,因此您可能已經解除封鎖這些 URL。
安裝 Microsoft Entra 布建代理程式
如果您使用 基本 AD 和 Azure 環境 教學課程,則其為 DC1。 若要安裝代理程式,請遵循下列步驟:
- 在 Azure 入口網站中,選取 [Microsoft Entra ID]。
- 在左側,選取 [Microsoft Entra 連線]。
- 在左側,選取 [ 雲端同步]。
- 在左側,選取 [ 代理程式]。
- 選取 [ 下載內部部署代理程式],然後選取 [ 接受條款及下載]。
- 下載 Microsoft Entra 連線 布建代理程式套件之後,請從下載資料夾執行 AAD 連線 ProvisioningAgentSetup.exe 安裝檔案。
注意
安裝美國政府雲端時,請使用:
AAD 連線 ProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
如需詳細資訊,請參閱<
- 在啟動顯示畫面上,選取 [我同意授權和條件],然後選取 [ 安裝]。
- 安裝作業完成後,組態精靈就會啟動。 選取 [下一步 ] 以啟動設定。
- 在 [選取擴充功能] 畫面上,選取 HR 驅動布建 (Workday 和 SuccessFactors) / Microsoft Entra 連線 雲端同步,然後選取 [下一步]。
注意
如果您要安裝布建代理程式以搭配 內部部署應用程式 佈建使用,請選取 [內部部署應用程式佈建] (Microsoft Entra ID to application)。
- 使用至少具有混合式身分識別 管理員 istrator 角色的帳戶登入。 如果您已啟用 Internet Explorer 增強式安全性,則會封鎖登入。 若是如此,請關閉安裝、停用 Internet Explorer 增強的安全性,然後重新啟動 Microsoft Entra 連線 布建代理程式套件安裝。
- 在 [ 設定服務帳戶 ] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶用來執行代理程序服務。 如果受控服務帳戶已由另一個代理程式在您的網域中設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA],因為系統偵測到現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的許可權。 出現提示時,請選擇下列其中一項:
- 建立 gMSA ,讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶(例如 CONTOSO\provAgentgMSA$)將會建立在主機伺服器已加入的相同 Active Directory 網域中。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證(建議使用)。
- 使用自定義 gMSA ,並提供您為此工作手動建立的受控服務帳戶名稱。
若要繼續,請選取 [下一步]。
在 [連線 Active Directory] 畫面上,如果您的域名出現在 [已設定的網域] 底下,請跳至下一個步驟。 否則,請輸入您的 Active Directory 功能變數名稱,然後選取 [ 新增目錄]。
使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶不應該有過期的密碼。 如果密碼在代理程式安裝期間過期或變更,您必須使用新的認證重新設定代理程式。 這項作業會新增您的內部部署目錄。 選取 [ 確定],然後選取 [ 下一步 ] 繼續。
- 下列螢幕快照顯示 contoso.com 已設定網域的範例。 選取下一步以繼續。
在 [ 組態完成] 畫面上 ,選取 [ 確認]。 這項作業會註冊並重新啟動代理程式。
此作業完成後,您應該會收到代理程式設定已成功驗證的通知 。 您可以選取 [ 結束]。
- 如果您仍然收到初始啟動顯示畫面,請選取 [ 關閉]。
確認代理程式安裝
代理程式驗證發生在 Azure 入口網站 和執行代理程式的本機伺服器上。
Azure 入口網站 代理程序驗證
若要確認代理程式正由 Microsoft Entra ID 註冊,請遵循下列步驟:
- 登入 Azure 入口網站。
- 選取 [Microsoft Entra ID]。
- 選取 [Microsoft Entra 連線],然後選取 [雲端同步]。
- 在雲端 同步 頁面上,您會看到已安裝的代理程式。 確認代理程式已顯示且狀態良好。
在本機伺服器上
若要確認代理程式正在執行,請遵循下列步驟:
- 使用系統管理員帳戶登入伺服器。
- 流覽至服務,或移至 Start/Run/Services.msc 來開啟服務。
- 在 [服務] 底下,確定 Microsoft Entra 連線 Agent Updater 和 Microsoft Entra 連線 布建代理程式存在,且狀態為 [正在執行]。
確認布建代理程式版本
若要確認代理程式版本正在執行,請遵循下列步驟:
- 流覽至 'C:\Program Files\Microsoft Azure AD 連線 布建代理程式'
- 以滑鼠右鍵按兩下 [AAD 連線 ProvisioningAgent.exe],然後選取 [屬性]。
- 按兩下 [詳細數據] 索引標籤,[產品版本] 旁會顯示版本號碼。
設定 Microsoft Entra Cloud Sync
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
使用下列步驟來設定布建:
- 以至少混合式 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至身分>識別混合式管理>Microsoft Entra 連線> Cloud 同步處理。
- 選取 [新增設定]
- 在設定畫面上,輸入 通知電子郵件,將選取器移至 [ 啟用 ],然後選取 [ 儲存]。
- 組態狀態現在應該是 [ 狀況良好]。
確認使用者已建立併發生同步處理
您現在會確認您在內部部署目錄中擁有的使用者已同步處理,且現在存在於我們的 Microsoft Entra 租使用者中。 此程式可能需要數小時才能完成。 若要確認使用者已同步處理,請執行下列動作:
- 以至少混合式身分識別 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分識別>使用者]。
- 確認您在租使用者中看到新使用者
使用我們的其中一位用戶測試登入
使用在我們的新租使用者中建立的用戶帳戶登入。 您必須使用下列格式登入:(user@domain.onmicrosoft.com)。 使用使用者用來登入內部部署的相同密碼。
您現在已成功設定混合式身分識別環境,可用來測試並熟悉 Azure 必須提供的內容。