使用 CLI 和 PowerShell 安装 Microsoft Entra 预配代理

本文介绍如何使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理。

注意

本文介绍如何使用命令行接口（CLI）安装预配代理。 有关如何使用向导安装 Microsoft Entra 预配代理的信息，请参阅 安装 Microsoft Entra 预配代理。

先决条件

使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理之前，Windows 服务器必须启用 TLS 1.2。 若要启用 TLS 1.2，请按照 Microsoft Entra Cloud Sync的 先决条件中的步骤操作。

重要

以下安装说明假定所有先决条件均已具备。

使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理

提示

本文中的步骤可能因你开始时的入口而略有不同。

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

3. 选择“管理”。
4. 选择“下载预配代理”
5. 在右侧，选择“接受条款并下载”。
6. 出于这些说明的目的，代理已下载到 C：\temp 文件夹。
7. 在静默模式下安装 ProvisioningAgent。

   $installerProcess = Start-Process 'c:\temp\AADConnectProvisioningAgentSetup.exe' /quiet -NoNewWindow -PassThru 
   $installerProcess.WaitForExit()
   
   

8. 导入预配代理 PS 模块。

   Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.PowerShell.dll" 
   

9. 使用具有混合标识角色的帐户连接到 Microsoft Entra ID。 可以自定义本部分，以便从某个安全存储中提取密码。

   $hybridAdminPassword = ConvertTo-SecureString -String "Hybrid Identity Administrator password" -AsPlainText -Force 
   
   $hybridAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("HybridIDAdmin@contoso.onmicrosoft.com", $hybridAdminPassword) 
   
   Connect-AADCloudSyncAzureAD -Credential $hybridAdminCreds 
   

10. 添加 gMSA 帐户，并提供域管理员的凭据以创建默认 gMSA 帐户。

    $domainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $domainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $domainAdminPassword) 
    
    Add-AADCloudSyncGMSA -Credential $domainAdminCreds 
    

11. 或使用前面的 cmdlet 来提供一个已经预创建的 gMSA 帐户。

    Add-AADCloudSyncGMSA -CustomGMSAName preCreatedGMSAName$ 
    

12. 添加域。

    $contosoDomainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $contosoDomainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $contosoDomainAdminPassword) 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds 
    

13. 或使用前面的 cmdlet 配置首选域控制器。

    $preferredDCs = @("PreferredDC1", "PreferredDC2", "PreferredDC3") 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds -PreferredDomainControllers $preferredDCs 
    

14. 若要添加更多域，请重复上一步。 提供相应域的帐户名和域名。
15. 重启服务。

    Restart-Service -Name AADConnectProvisioningAgent  
    

16. 若要创建云同步配置，请转到 Microsoft Entra 管理中心。

预配代理 gMSA PowerShell cmdlet

安装代理后，可以向 gMSA 应用更精细的权限。 有关如何配置权限的信息和分步说明，请参阅 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet。

针对美国政府云安装

默认情况下，Microsoft Entra 预配代理针对默认 Azure 云环境安装。 如果要安装代理以在美国政府云中使用，请执行以下操作：

• 在步骤 8 中，将 ENVIRONMENTNAME=AzureUSGovernment 添加到命令行，例如示例。

  $installerProcess = Start-Process -FilePath "c:\temp\AADConnectProvisioningAgent.Installer.exe" -ArgumentList "/quiet ENVIRONMENTNAME=AzureUSGovernment" -NoNewWindow -PassThru 
  $installerProcess.WaitForExit()
  

后续步骤

• 什么是预配？
• Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet
• 什么是 Microsoft Entra Cloud Sync？