Sdílet prostřednictvím

Integrace stávající doménové struktury a nové doménové struktury s jedním tenantem Microsoft Entra

  • Článek

Tento kurz vás provede přidáním cloudové synchronizace do existujícího prostředí hybridní identity.

Diagram znázorňující tok Microsoft Entra Cloud Sync

Prostředí, které vytvoříte v tomto kurzu, můžete použít k testování nebo k seznámení s fungováním hybridní identity.

V tomto scénáři je existující doménová struktura synchronizovaná pomocí nástroje Microsoft Entra Connect Sync s tenantem Microsoft Entra. A máte novou doménovou strukturu, kterou chcete synchronizovat se stejným tenantem Microsoft Entra. Pro novou doménovou strukturu nastavíte synchronizaci cloudu.

Požadavky

V Centru pro správu Microsoft Entra

  1. Ve svém tenantovi Microsoft Entra vytvořte účet správce hybridní identity jen pro cloud. Tímto způsobem můžete spravovat konfiguraci vašeho tenanta, pokud vaše místní služby selžou nebo nebudou dostupné. Přečtěte si informace o přidání účtu správce hybridní identity pouze v cloudu. Dokončení tohoto kroku je důležité, abyste se ujistili, že se z tenanta nezamknete.
  2. Přidejte do tenanta Microsoft Entra jeden nebo více vlastních názvů domén. Vaši uživatelé se můžou přihlásit pomocí jednoho z těchto názvů domén.

V místním prostředí

  1. Identifikace hostitelského serveru připojeného k doméně se systémem Windows Server 2012 R2 nebo novějším s minimálně 4 GB paměti RAM a modulem runtime .NET 4.7.1+

  2. Pokud je mezi vašimi servery a Microsoft Entra ID brána firewall, nakonfigurujte následující položky:

    • Ujistěte se, že agenti můžou provádět odchozí požadavky na ID Microsoft Entra přes následující porty:

      Číslo portu K čemu slouží
      80 Stáhne seznamy odvolaných certifikátů (CRL) při ověřování certifikátu TLS/SSL.
      443 Přes tento port se zpracovává veškerá odchozí komunikace se službou.
      8080 (volitelné) Agenti hlásí svůj stav každých 10 minut přes port 8080, pokud port 443 není dostupný. Tento stav se zobrazí na portálu.

      Pokud vaše brána firewall vynucuje pravidla v závislosti na zdroji uživatelů, otevřete tyto porty pro přenos ze služeb pro Windows, které běží jako síťové služby.

    • Pokud brána firewall nebo proxy server umožňují zadat bezpečné přípony, přidejte připojení k *.msappproxy.net a *.servicebus.windows.net. Pokud ne, povolte přístup k rozsahům IP adres datacentra Azure, které se aktualizují každý týden.

    • Vaši agenti potřebují přístup k login.windows.net a login.microsoftonline.com pro počáteční registraci. Otevřete svou bránu firewall také pro tyto adresy URL.

    • Pro ověření certifikátu odblokujte následující adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 a www.microsoft.com:80. Vzhledem k tomu, že se tyto adresy URL používají k ověřování certifikátů u jiných produktů Microsoftu, můžete už tyto adresy URL odblokovat.

Instalace agenta zřizování Microsoft Entra

Pokud používáte kurz základní služby AD a prostředí Azure, bude to DC1. Chcete-li nainstalovat agenta, postupujte takto:

  1. Na webu Azure Portal vyberte ID Microsoft Entra.
  2. Vlevo vyberte Microsoft Entra Connect.
  3. Na levé straně vyberte cloudovou synchronizaci.

Snímek obrazovky s novým uživatelským prostředím

  1. Na levé straně vyberte Agent.
  2. Vyberte Stáhnout místního agenta a vyberte Přijmout podmínky a stáhnout.

Snímek obrazovky agenta pro stahování

  1. Po stažení balíčku agenta Microsoft Entra Connect Provisioning spusťte instalační soubor AADConnectProvisioningAgentSetup.exe ze složky stažené soubory.

Poznámka:

Při instalaci pro cloud státní správy USA použijte:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Další informace najdete v tématu Instalace agenta v cloudu státní správy USA.

  1. Na úvodní obrazovce vyberte Souhlasím s licencí a podmínkami a pak vyberte Nainstalovat.

Snímek obrazovky znázorňující úvodní obrazovku balíčku agenta microsoft Entra Connect

  1. Po dokončení instalace se spustí průvodce konfigurací. Výběrem možnosti Další spusťte konfiguraci. Snímek obrazovky s úvodní obrazovkou
  2. Na obrazovce Vybrat rozšíření vyberte zřizování řízené hrou (Workday a SuccessFactors) / Synchronizace cloudu Microsoft Entra Connect a vyberte Další. Snímek obrazovky s výběrem rozšíření

Poznámka:

Pokud instalujete agenta zřizování pro použití s místním zřizováním aplikací, vyberte místní zřizování aplikací (Microsoft Entra ID pro aplikaci).

  1. Přihlaste se pomocí účtu s alespoň rolí Správce hybridní identity. Pokud máte povolené rozšířené zabezpečení Internet Exploreru, zablokuje přihlášení. Pokud ano, zavřete instalaci, zakažte rozšířené zabezpečení aplikace Internet Explorer a restartujte instalaci balíčku agenta zřizování microsoft Entra Connect.

Snímek obrazovky Připojit Microsoft Entra ID

  1. Na obrazovce Konfigurovat účet služby vyberte skupinu Účet spravované služby (gMSA). Tento účet slouží ke spuštění služby agenta. Pokud je účet spravované služby už ve vaší doméně nakonfigurovaný jiným agentem a instalujete druhého agenta, vyberte Vytvořit gMSA , protože systém zjistí existující účet a přidá požadovaná oprávnění pro nového agenta, aby používal účet gMSA. Po zobrazení výzvy zvolte jednu z těchto:
  • Vytvořte gMSA , který umožňuje agentovi vytvořit účet spravované služby provAgentgMSA$ za vás. Účet spravované služby skupiny (například CONTOSO\provAgentgMSA$) se vytvoří ve stejné doméně služby Active Directory, do které je hostitelský server připojený. Pokud chcete tuto možnost použít, zadejte přihlašovací údaje správce domény služby Active Directory (doporučeno).
  • Použijte vlastní účet gMSA a zadejte název účtu spravované služby, který jste pro tuto úlohu vytvořili ručně.

Pokračujte výběrem tlačítka Next (Další).

Snímek obrazovky Konfigurovat účet služby

  1. Pokud se název domény zobrazí v části Nakonfigurované domény, přejděte na obrazovku Connect Active Directory a přejděte k dalšímu kroku. V opačném případě zadejte název domény služby Active Directory a vyberte Přidat adresář.

  2. Přihlaste se pomocí účtu správce domény služby Active Directory. Účet správce domény by neměl mít heslo, jehož platnost vypršela. V případě, že vypršela platnost hesla nebo se během instalace agenta změní, musíte agenta překonfigurovat pomocí nových přihlašovacích údajů. Tato operace přidá místní adresář. Vyberte OK a pak pokračujte výběrem možnosti Další .

Snímek obrazovky, který ukazuje, jak zadat přihlašovací údaje správce domény

  1. Následující snímek obrazovky ukazuje příklad contoso.com nakonfigurované domény. Pokračujte výběrem tlačítka Další.

Snímek obrazovky Připojení služby Active Directory

  1. Na obrazovce Dokončení konfigurace vyberte Potvrdit. Tato operace zaregistruje a restartuje agenta.

  2. Po dokončení této operace byste měli být upozorněni, že konfigurace agenta byla úspěšně ověřena. Můžete vybrat Možnost Ukončit.

Snímek obrazovky znázorňující obrazovku dokončení

  1. Pokud se vám stále zobrazuje úvodní obrazovka, vyberte Zavřít.

Ověření instalace agenta

K ověření agenta dochází na webu Azure Portal a na místním serveru, na kterém běží agent.

Ověření agenta na webu Azure Portal

Pokud chcete ověřit, že agent je zaregistrovaný pomocí ID Microsoft Entra, postupujte takto:

  1. Přihlaste se k portálu Azure.
  2. Vyberte Microsoft Entra ID.
  3. Vyberte Microsoft Entra Connect a pak vyberte Cloud sync. Snímek obrazovky s novým uživatelským prostředím
  4. Na stránce synchronizace cloudu uvidíte agenty, které jste nainstalovali. Ověřte, že se agent zobrazí a stav je v pořádku.

Na místním serveru

Pokud chcete ověřit, že je agent spuštěný, postupujte takto:

  1. Přihlaste se k serveru pomocí účtu správce.
  2. Otevřete služby tak, že na ni přejdete nebo přejdete na Start/Run/Services.msc.
  3. V části Služby se ujistěte, že je k dispozici aktualizátor agenta Microsoft Entra Connect a agenta zřizování Microsoft Entra Connect a že je spuštěný. Snímek obrazovky znázorňující služby systému Windows

Ověření verze agenta zřizování

Pokud chcete ověřit verzi spuštěného agenta, postupujte takto:

  1. Přejděte na C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klikněte pravým tlačítkem na AADConnectProvisioningAgent.exe a vyberte vlastnosti.
  3. Klikněte na kartu podrobností a vedle verze produktu se zobrazí číslo verze.

Konfigurace Microsoft Entra Cloud Sync

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

Ke konfiguraci zřizování použijte následující postup:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň hybridní správce.
  2. Přejděte ke správě hybridních>identit>Microsoft Entra Connect>Cloud sync.Snímek obrazovky domovské stránky synchronizace cloudu
  1. Výběr nové konfigurace
  2. Na konfigurační obrazovce zadejte e-mail s oznámením, přesuňte selektor na Povolit a vyberte Uložit.
  3. Stav konfigurace by teď měl být v pořádku.

Ověřte, že se uživatelé vytvářejí a dochází k synchronizaci.

Teď ověříte, že uživatelé, které jste měli v našem místním adresáři, jsou synchronizovaní a teď existují v našem tenantovi Microsoft Entra. Dokončení tohoto procesu může trvat několik hodin. Pokud chcete ověřit, že jsou uživatelé synchronizovaní, postupujte takto:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce hybridní identity.
  2. Přejděte na Uživatele identity>.
  3. Ověřte, že se v našem tenantovi zobrazují noví uživatelé.

Testování přihlašování pomocí jednoho z našich uživatelů

  1. Přejděte na https://myapps.microsoft.com.

  2. Přihlaste se pomocí uživatelského účtu vytvořeného v našem novém tenantovi. Budete se muset přihlásit pomocí následujícího formátu: (user@domain.onmicrosoft.com). Použijte stejné heslo, které uživatel používá k přihlášení místně.

    Snímek obrazovky znázorňující portál moje aplikace se přihlášenými uživateli

Teď jste úspěšně nastavili prostředí hybridní identity, které můžete použít k otestování a seznámení s tím, co Azure nabízí.

Další kroky