Udostępnij za pośrednictwem

Integrowanie istniejącego i nowego lasu z jedną dzierżawą usługi Microsoft Entra

  • Artykuł

Ten samouczek przeprowadzi Cię przez proces dodawania synchronizacji z chmurą do istniejącego środowiska tożsamości hybrydowej.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Możesz użyć środowiska utworzonego w tym samouczku na potrzeby testowania lub zapoznania się z działaniem tożsamości hybrydowej.

W tym scenariuszu istnieje las synchronizowany przy użyciu usługi Microsoft Entra Connect Sync z dzierżawą firmy Microsoft Entra. Masz nowy las, który chcesz zsynchronizować z tą samą dzierżawą firmy Microsoft Entra. Skonfigurujesz synchronizację chmury dla nowego lasu.

Wymagania wstępne

W centrum administracyjnym firmy Microsoft Entra

  1. Utwórz konto administratora tożsamości hybrydowej tylko w chmurze w dzierżawie firmy Microsoft Entra. W ten sposób można zarządzać konfiguracją dzierżawy, jeśli usługi lokalne kończą się niepowodzeniem lub staną się niedostępne. Dowiedz się więcej o dodawaniu konta administratora tożsamości hybrydowej tylko w chmurze. Wykonanie tego kroku ma kluczowe znaczenie, aby upewnić się, że nie masz blokady z dzierżawy.
  2. Dodaj co najmniej jedną niestandardową nazwę domeny do dzierżawy firmy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W środowisku lokalnym

  1. Zidentyfikuj serwer hosta przyłączony do domeny z systemem Windows Server 2012 R2 lub nowszym z co najmniej 4 GB pamięci RAM i środowiska uruchomieniowego .NET 4.7.1+

  2. Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
      443 Obsługa komunikacji wychodzącej do usługi
      8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu.

      Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

    • Agenci muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

    • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www.microsoft.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Instalowanie agenta aprowizacji firmy Microsoft

Jeśli używasz samouczka podstawowego usługi AD i środowiska platformy Azure, będzie to DC1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. W witrynie Azure Portal wybierz pozycję Microsoft Entra ID.
  2. Po lewej stronie wybierz pozycję Microsoft Entra Connect.
  3. Po lewej stronie wybierz pozycję Synchronizacja w chmurze.

Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.

  1. Po lewej stronie wybierz pozycję Agent.
  2. Wybierz pozycję Pobierz agenta lokalnego, a następnie wybierz pozycję Akceptuj warunki i pobierz.

Zrzut ekranu przedstawiający agenta pobierania.

  1. Po pobraniu pakietu agenta aprowizacji programu Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu pobranego.

Uwaga

Podczas instalowania dla chmury dla instytucji rządowych USA:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Aby uzyskać więcej informacji, zobacz "Instalowanie agenta w chmurze dla instytucji rządowych USA".

  1. Na ekranie powitalnym wybierz pozycję Zgadzam się na licencję i warunki, a następnie wybierz pozycję Zainstaluj.

Zrzut ekranu przedstawiający ekran powitalny pakietu microsoft Entra Connect Provisioning Agent.

  1. Po zakończeniu operacji instalacji zostanie uruchomiony kreator konfiguracji. Wybierz przycisk Dalej , aby rozpocząć konfigurację. Zrzut ekranu przedstawiający ekran powitalny.
  2. Na ekranie Wybieranie rozszerzenia wybierz pozycję Aprowizowanie oparte na hr (Workday i SuccessFactors) / Microsoft Entra Connect w chmurze synchronizacji i wybierz przycisk Dalej. Zrzut ekranu przedstawiający ekran wybierania rozszerzeń.

Uwaga

Jeśli instalujesz agenta aprowizacji do użycia z lokalną aprowizowaniem aplikacji, wybierz pozycję Aprowizacja aplikacji lokalnych (Identyfikator entra firmy Microsoft do aplikacji).

  1. Zaloguj się przy użyciu konta z co najmniej rolą administratora tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta aprowizacji programu Microsoft Entra Connect.

Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID (Łączenie identyfikatora entra firmy Microsoft).

  1. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz pozycję Utwórz konto gMSA , ponieważ system wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta gMSA. Po wyświetleniu monitu wybierz jedną z następujących opcji:
  • Utwórz konto usługi zarządzanej przez grupę, która umożliwia agentowi utworzenie zarządzanego konta usługi provAgentgMSA$ . Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) zostanie utworzone w tej samej domenie usługi Active Directory, w której przyłączono serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
  • Użyj niestandardowego konta gMSA i podaj nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

Aby kontynuować, kliknij przycisk Dalej.

Zrzut ekranu przedstawiający ekran Konfigurowanie konta usługi.

  1. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wpisz nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

  2. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmiany podczas instalacji agenta, należy ponownie skonfigurować agenta przy użyciu nowych poświadczeń. Ta operacja dodaje katalog lokalny. Wybierz przycisk OK, a następnie wybierz przycisk Dalej , aby kontynuować.

Zrzut ekranu przedstawiający sposób wprowadzania poświadczeń administratora domeny.

  1. Poniższy zrzut ekranu przedstawia przykład contoso.com skonfigurowanej domeny. Wybierz przycisk Dalej, aby kontynuować.

Zrzut ekranu przedstawiający ekran Connect Active Directory (Łączenie usługi Active Directory).

  1. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Ta operacja rejestruje i uruchamia ponownie agenta.

  2. Po zakończeniu tej operacji powinno zostać wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Możesz wybrać pozycję Zakończ.

Zrzut ekranu przedstawiający ekran zakończenia.

  1. Jeśli ekran powitalny jest nadal wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym, na którym jest uruchomiony agent.

Weryfikacja agenta witryny Azure Portal

Aby sprawdzić, czy agent jest zarejestrowany przez identyfikator Firmy Microsoft Entra, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz Microsoft Entra ID.
  3. Wybierz pozycję Microsoft Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze. Zrzut ekranu przedstawiający nowy ekran środowiska użytkownika.
  4. Na stronie synchronizacji z chmurą zobaczysz zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest w dobrej kondycji.

Na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.
  2. Otwórz usługę , przechodząc do niej lub przechodząc do strony Start/Run/Services.msc.
  3. W obszarze Usługi upewnij się, że program Microsoft Entra Connect Agent Updater i microsoft Entra Connect Provisioning Agent są obecne, a stan to Uruchomiono. Zrzut ekranu przedstawiający usługi systemu Windows.

Weryfikowanie wersji agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do folderu "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
  2. Kliknij prawym przyciskiem myszy pozycję "AADConnectProvisioningAgent.exe" i wybierz pozycję właściwości.
  3. Kliknij kartę Szczegóły, a numer wersji zostanie wyświetlony obok pozycji Wersja produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Aby skonfigurować aprowizację, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator hybrydowy.
  2. Przejdź do sekcji Zarządzanie hybrydowe tożsamościami>— synchronizacja z chmurą>Microsoft Entra Connect.>Zrzut ekranu przedstawiający stronę główną synchronizacji chmury.
  1. Wybierz nową konfigurację
  2. Na ekranie konfiguracji wprowadź wiadomość e-mail z powiadomieniem, przenieś selektor do pozycji Włącz i wybierz pozycję Zapisz.
  3. Stan konfiguracji powinien być teraz w dobrej kondycji.

Weryfikowanie utworzenia użytkowników i przeprowadzania synchronizacji

Teraz sprawdzisz, czy użytkownicy w naszym katalogu lokalnym zostali zsynchronizowani i teraz istnieją w naszej dzierżawie firmy Microsoft Entra. Ukończenie tego procesu może potrwać kilka godzin. Aby sprawdzić, czy użytkownicy są zsynchronizowani, wykonaj następujące czynności:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Użytkownicy tożsamości>.
  3. Zweryfikuj, czy nowi użytkownicy są widoczni w dzierżawie

Testowanie logowania się przy użyciu jednego z kont użytkowników

  1. Przejdź do https://myapps.microsoft.com

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w nowej dzierżawie. Musisz zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.

    Zrzut ekranu przedstawiający portal moje aplikacje z zalogowanymi użytkownikami.

Teraz pomyślnie skonfigurowano środowisko tożsamości hybrydowej, którego można użyć do testowania i zapoznania się z ofertą platformy Azure.

Następne kroki