使用 CLI 和 PowerShell 来安装 Microsoft Entra 预配代理

本文介绍如何使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理。

注意

本文介绍如何通过使用命令行界面 (CLI) 来安装预配代理。 若要了解如何使用向导安装 Microsoft Entra 预配代理,请参阅安装 Microsoft Entra 预配代理

先决条件

Windows 服务器必须启用 TLS 1.2,然后你才能使用 PowerShell cmdlet 来安装 Microsoft Entra 预配代理。 若要启用 TLS 1.2,请按照 Microsoft Entra 云同步的先决条件中的步骤操作。

重要

以下安装说明假定所有先决条件均已具备。

使用 PowerShell cmdlet 安装 Microsoft Entra 预配代理

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。Screenshot of cloud sync home page.
  1. 选择“管理”。
  2. 单击“下载预配代理
  3. 在右侧,单击“接受条款并下载”。
  4. 为了进行这些说明,该代理已下载到 C:\temp 文件夹。
  5. 在静默模式下安装预配代理。
    $installerProcess = Start-Process 'c:\temp\AADConnectProvisioningAgentSetup.exe' /quiet -NoNewWindow -PassThru 
    $installerProcess.WaitForExit()
    
    
  6. 导入预配代理 PS 模块。
    Import-Module "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\Microsoft.CloudSync.PowerShell.dll" 
    
  7. 使用具有混合标识角色的帐户连接到 Microsoft Entra ID。 可以自定义本部分,以便从某个安全存储中提取密码。
    $hybridAdminPassword = ConvertTo-SecureString -String "Hybrid Identity Administrator password" -AsPlainText -Force 
    
    $hybridAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("HybridIDAdmin@contoso.onmicrosoft.com", $hybridAdminPassword) 
    
    Connect-AADCloudSyncAzureAD -Credential $hybridAdminCreds 
    
  8. 添加 gMSA 帐户,并提供域管理员的凭据,以创建默认的 gMSA 帐户。
    $domainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $domainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $domainAdminPassword) 
    
    Add-AADCloudSyncGMSA -Credential $domainAdminCreds 
    
  9. 或使用前一个 cmdlet 来提供预先创建的 gMSA 帐户。
    Add-AADCloudSyncGMSA -CustomGMSAName preCreatedGMSAName$ 
    
  10. 添加域。
    $contosoDomainAdminPassword = ConvertTo-SecureString -String "Domain admin password" -AsPlainText -Force 
    
    $contosoDomainAdminCreds = New-Object System.Management.Automation.PSCredential -ArgumentList ("DomainName\DomainAdminAccountName", $contosoDomainAdminPassword) 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds 
    
  11. 或者使用前一个 cmdlet 来配置首选域控制器。
    $preferredDCs = @("PreferredDC1", "PreferredDC2", "PreferredDC3") 
    
    Add-AADCloudSyncADDomain -DomainName contoso.com -Credential $contosoDomainAdminCreds -PreferredDomainControllers $preferredDCs 
    
  12. 重复前一步,以添加更多的域。 分别提供这些域的帐户名称和域名。
  13. 重启服务。
    Restart-Service -Name AADConnectProvisioningAgent  
    
  14. 转到 Microsoft Entra 管理中心以创建云同步配置。

预配代理 gMSA PowerShell cmdlet

现在已安装代理,可以将更多精细权限应用于 gMSA 了。 有关如何配置权限的信息和分步说明,请参阅 Microsoft Entra Connect 云预配代理 gMSA PowerShell cmdlet

针对美国政府云安装

默认情况下,Microsoft Entra 预配代理会针对默认的 Azure 云环境进行安装。 如果是为了在美国政府云中使用而安装该代理,请执行以下操作:

  • 在步骤 #8 中,将 ENVIRONMENTNAME=AzureUSGovernment 添加到命令行,如下例所示。
    $installerProcess = Start-Process -FilePath "c:\temp\AADConnectProvisioningAgent.Installer.exe" -ArgumentList "/quiet ENVIRONMENTNAME=AzureUSGovernment" -NoNewWindow -PassThru 
    $installerProcess.WaitForExit()
    

后续步骤