将现有林和新林与单个 Microsoft Entra 租户集成

本教程将逐步演示如何将云同步添加到现有的混合标识环境。

可以使用本教程中创建的环境进行测试，或者加深了解混合标识的工作原理。

在此场景中，有一个现有的林已通过 Microsoft Entra Connect 同步功能同步到 Microsoft Entra 租户。 你想要将一个新林同步到同一个 Microsoft Entra 租户。 你将为新林设置云同步。

先决条件

在 Microsoft Entra 管理中心中

1. 在 Microsoft Entra 租户中创建仅限云的混合标识管理员帐户。 这样一来，就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要，可确保自己不被锁定在租户外部。
2. 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。

在本地环境中

1. 指定一台已加入域、运行 Windows Server 2012 R2 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器

2. 如果服务器和 Microsoft Entra ID 之间存在防火墙，请配置以下项：

   • 确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求：

     端口号	用途
     80	下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书
     443	处理与服务的所有出站通信
     8080（可选）	如果端口 443 不可用，代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态会显示在门户上。

     如果防火墙根据原始用户强制实施规则，请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。

   • 如果防火墙或代理允许指定安全后缀，请将连接添加到 .msappproxy.net 和 .servicebus.windows.net。 否则，请允许访问每周更新的 Azure 数据中心 IP 范围。

   • 代理需要访问 login.windows.net 和 login.microsoftonline.com 来完成初始注册。 另外，还请为这些 URL 打开防火墙。

   • 为验证证书，请取消阻止以下 URL：mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 由于这些 URL 与其他 Microsoft 产品一起用于证书验证，因此可能已取消阻止这些 URL。

安装 Microsoft Entra 预配代理

如果使用的是基本 AD 和 Azure 环境教程，则该服务器是 DC1。 若要安装代理，请执行以下步骤：

1. 在 Azure 门户中，选择“Microsoft Entra ID”。
2. 在左侧，选择“Microsoft Entra Connect”。
3. 在左侧选择“云同步”。

4. 在左侧选择“代理”。
5. 选择“下载本地代理”，然后选择“接受条款并下载”。

6. Microsoft Entra Connect 预配代理包下载后，请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。

注意

为美国政府云安装时，请使用：
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
有关详细信息，请参阅“在美国政府云中安装代理”。

7. 在初始屏幕上选择“我同意许可条款和条件”，然后选择“安装”。

8. 安装操作完成后，将启动配置向导。 选择“下一步”以开始配置。
9. 在“选择扩展”屏幕上，选择“HR 驱动的预配 (Workday 和 SuccessFactors)/Microsoft Entra Connect 云同步”，然后选择“下一步”。

注意

如果要安装预配代理以用于本地应用预配，请选择“本地应用程序预配 (Microsoft Entra ID 到应用程序)”。

10. 使用至少具有混合标识管理员角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性，那么它会阻止登录。 如果出现这种情况，请关闭安装、禁用 Internet Explorer 增强的安全性，然后重启 Microsoft Entra Connect 预配代理包安装。

11. 在“配置服务帐户”屏幕上，选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果另一个代理已在域中配置托管服务帐户，并且你要安装第二个代理，请选择“创建 gMSA”，因为系统会检测现有帐户，并添加新代理使用 gMSA 帐户所需的权限。 在出现提示时，选择下列项之一：

• “创建 gMSA”，此选项允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户（例如 CONTOSO\provAgentgMSA$）将在主机服务器加入的同一 Active Directory 域中创建。 若要使用此选项，请输入 Active Directory 域管理员凭据（推荐）。
• 使用自定义 gMSA 并提供你已为此任务手动创建的托管服务帐户的名称。

若要继续操作，请选择“下一步”。

12. 在“连接 Active Directory”屏幕上，如果域名显示在“配置的域”下，请跳到下一步。 否则，请键入 Active Directory 域名，然后选择“添加目录”。

13. 使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改，则需要用新凭据重新配置代理。 此操作将添加本地目录。 选择“确定”，然后选择“下一步”以继续。

14. 以下屏幕截图显示了 contoso.com 配置域的示例。 选择“下一步”继续。

15. 在“配置完成”屏幕上，选择“确认”。 此操作注册并重新启动代理。

16. 此操作完成后，应会收到通知“已成功验证代理配置”。你可以选择“退出”。

17. 如果仍然显示初始屏幕，请单击“关闭”。

验证代理安装

代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。

Azure 门户代理验证

若要验证 Microsoft Entra ID 是否会注册代理，请执行以下步骤：

1. 登录 Azure 门户。
2. 选择“Microsoft Entra ID”。
3. 选择“Microsoft Entra Connect”，然后选择“云同步”。
4. 在“云同步”页上，你会看到已安装的代理。 验证该代理是否已显示，并且状态是否为“正常”。

在本地服务器上

若要验证代理是否正在运行，请执行以下步骤：

1. 使用管理员帐户登录到服务器。
2. 通过导航到“服务”或者转到“启动/运行/服务”，打开“服务”。
3. 确保“Microsoft Entra Connect Agent Updater”和“Microsoft Entra Connect Provisioning Agent”包含在“服务”中，并且其状态为“正在运行”。

验证预配代理版本

若要验证正在运行的代理版本，请执行以下步骤：

1. 导航到“C:\Program Files\Microsoft Azure AD Connect Provisioning Agent”
2. 右键单击“AADConnectProvisioningAgent.exe”并选择属性。
3. 点击“详细信息”选项卡，版本号将显示在“产品版本”旁边。

配置 Microsoft Entra 云同步

提示

本文中的步骤可能因开始使用的门户而略有不同。

使用以下步骤配置预配：

1. 至少以混合管理员的身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“混合管理”>“Microsoft Entra Connet”>“云同步”。

3. 选择“新建配置”。
4. 在配置屏幕上输入一条“通知电子邮件”，将选择器切换到“启用”，然后选择“保存”。
5. 现在，配置状态应为“正常”。

验证是否已创建用户并正在进行同步

现在验证本地目录中的用户是否已同步并在 Microsoft Entra 租户中存在。 此过程可能需要几小时才能完成。 要验证用户是否已同步，请执行以下操作：

1. 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
2. 浏览到“标识”>“用户”。
3. 验证租户中是否显示了新用户

使用我们的某位用户测试登录

1. 浏览到 https://myapps.microsoft.com。

2. 使用在我们的新租户中创建的用户帐户登录。 需要使用以下格式登录：(user@domain.onmicrosoft.com)。 使用用户用于在本地登录的相同密码。

   

现已成功设置了一个混合标识环境，可以使用它来测试和熟悉 Azure 提供的功能。

后续步骤

• 什么是预配？
• 什么是 Microsoft Entra 云同步？