Integrowanie istniejącego i nowego lasu z jedną dzierżawą usługi Microsoft Entra
Ten samouczek przeprowadzi Cię przez proces dodawania synchronizacji z chmurą do istniejącego środowiska tożsamości hybrydowej.
Możesz użyć środowiska utworzonego w tym samouczku na potrzeby testowania lub zapoznania się z działaniem tożsamości hybrydowej.
W tym scenariuszu istnieje las synchronizowany przy użyciu usługi Microsoft Entra Connect Sync z dzierżawą firmy Microsoft Entra. Masz nowy las, który chcesz zsynchronizować z tą samą dzierżawą firmy Microsoft Entra. Skonfigurujesz synchronizację chmury dla nowego lasu.
Wymagania wstępne
W centrum administracyjnym firmy Microsoft Entra
- Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się więcej o dodawaniu konta administratora tożsamości hybrydowej tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
- Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.
W środowisku lokalnym
Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2012 R2 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego .NET 4.7.1+
Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:
Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:
Numer portu Zastosowanie 80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL 443 Obsługa komunikacji wychodzącej do usługi 8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu. Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.
Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.
Agenci muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.
W celu weryfikacji certyfikatu odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www.microsoft.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.
Instalowanie agenta aprowizacji firmy Microsoft
Jeśli używasz samouczka podstawowego usługi AD i środowiska platformy Azure, będzie to DC1. Aby zainstalować agenta, wykonaj następujące kroki:
- W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
- Po lewej stronie wybierz pozycję Microsoft Entra Connect.
- Po lewej stronie wybierz pozycję Synchronizacja w chmurze.
- Po lewej stronie wybierz pozycję Agent.
- Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.
- Po pobraniu pakietu agenta aprowizacji programu Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu pobranego.
Uwaga
Podczas instalowania dla chmury dla instytucji rządowych USA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".
- Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.
- Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację.
- Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizowanie oparte na hr (Workday i SuccessFactors) / Microsoft Entra Connect w chmurze synchronizacji i wybierz przycisk Dalej.
Uwaga
Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).
- Zaloguj się przy użyciu konta z co najmniej rolą administratora tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.
- Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
- Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
- Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.
Aby kontynuować, kliknij przycisk Dalej.
Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.
Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmiany podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.
- Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.
Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.
Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.
- Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.
Weryfikowanie instalacji agenta
Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.
Weryfikacja agenta witryny Azure Portal
Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:
- Zaloguj się w witrynie Azure Portal.
- Wybierz Microsoft Entra ID.
- Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze.
- Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.
Na serwerze lokalnym
Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:
- Zaloguj się na serwerze przy użyciu konta administratora.
- Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
- W obszarze Usługi upewnij się, że program Microsoft Entra Connect Agent Updater i microsoft Entra Connect Provisioning Agent są obecne, a stan to Uruchomiono.
Weryfikowanie wersji agenta aprowizacji
Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:
- Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
- Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
- Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.
Konfigurowanie usługi Microsoft Entra Cloud Sync
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby skonfigurować aprowizację, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
- Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>
- Wybierz nową konfigurację
- Na ekranie konfiguracji wprowadź wiadomość e-mail z powiadomieniem, przenieś selektor do pozycji Włącz i wybierz pozycję Zapisz.
- Stan konfiguracji powinien być teraz w dobrej kondycji.
Weryfikowanie utworzenia użytkowników i przeprowadzania synchronizacji
Teraz sprawdzisz, czy użytkownicy w naszym katalogu lokalnym zostali zsynchronizowani i teraz istnieją w naszej dzierżawie firmy Microsoft Entra. Ukończenie tego procesu może potrwać kilka godzin. Aby sprawdzić, czy użytkownicy są zsynchronizowani, wykonaj następujące czynności:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
- Przejdź do pozycji Użytkownicy tożsamości>.
- Zweryfikuj, czy nowi użytkownicy są widoczni w dzierżawie
Testowanie logowania się przy użyciu jednego z kont użytkowników
Przejdź do https://myapps.microsoft.com
Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie. Musisz zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.
Teraz pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.