Установка агента подготовки Microsoft Entra

В этой статье описывается процесс установки агента подготовки Microsoft Entra и его первоначальная настройка в Центре администрирования Microsoft Entra.

Дополнительные сведения и пример см. в следующем видео:

Групповые управляемые учетные записи служб

Групповая управляемая учетная запись службы (gMSA) представляет собой управляемую доменную учетную запись, которая обеспечивает автоматическое управление паролями, упрощенное управление именами основных участников службы (SPN) и возможность делегировать управление другим администраторам. GMSA также расширяет эту функцию на нескольких серверах. Microsoft Entra Cloud Sync поддерживает и рекомендует использовать gMSA для запуска агента. Дополнительные сведения см. в разделе Групповые управляемые учетные записи служб.

Обновление существующего агента для использования gMSA

Чтобы обновить существующий агент для использования учетной записи управляемой службы группы, созданной во время установки, обновите службу агента до последней версии, выполнив AADConnectProvisioningAgent.msi. Теперь снова запустите мастер установки и укажите учетные данные для создания учетной записи при появлении запроса на это.

Установка агента

1. В портал Azure выберите идентификатор Microsoft Entra.

2. На левой панели выберите Microsoft Entra Connect, а затем выберите Cloud Sync.

   

3. На левой панели выберите Агенты.

4. Выберите Скачать локальный агент, а затем выберите Принять условия и скачать.

   #B0 #A1 #A2 #A3 снимок экрана, на котором показано скачивание агента. #A4 #A5 #A6 #C7

5. После скачивания пакета агента управления Microsoft Entra Connect запустите установочный файл AADConnectProvisioningAgentSetup.exe из папки загрузки.

   Примечание.

   При установке для облака для государственных организаций США используйте AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Дополнительные сведения см. в разделе Установка агента в облачной системе для государственного сектора США.

6. На открывшемся экране установите флажок Я согласен с условиями лицензии, а затем выберите Установить.

   #B0 #A1 #A2 #A3 снимок экрана с окном пакета агента настройки Microsoft Entra. #A4 #A5 #A6 #C7

7. После завершения установки откроется мастер настройки. Выберите Далее, чтобы запустить конфигурацию.

   Снимок экрана, на котором показан экран приветствия.

8. На экране «Выбор расширения» выберите «Подготовка на основе HR (Workday и SuccessFactors) / Azure AD Connect Cloud Sync», а затем выберите «Далее».

   #B0 #A1 #A2 #A3 снимок экрана, на котором показан экран выбора расширения. #A4 #A5 #A6 #C7

   Примечание.

   Если вы устанавливаете агент подготовки для использования с локальным подготовлением приложений Microsoft Entra, выберите подготовку локальных приложений (от идентификатора Microsoft Entra к приложению).

9. Войдите с помощью учетной записи, у которой по крайней мере есть роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите функцию повышенной безопасности Internet Explorer и перезапустите установку пакета агента подготовки к развертыванию Microsoft Entra Connect.

   #B0 #A1 #A2 #A3 снимок экрана, на котором показан экран "Подключить идентификатор Microsoft Entra ID". #A4 #A5 #A6 #C7

10. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом, и вы устанавливаете второго агента, выберите Создать gMSA. Система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из двух вариантов:

    • Создание gMSA: Позвольте агенту создать управляемую учетную запись службы provAgentgMSA$. Учетная запись группы управляемых служб (например, #B0) создается в том же домене Active Directory, к которому присоединен сервер-хост. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
    • Использовать пользовательские gMSA: укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.

11. Чтобы продолжить работу, щелкните Далее.

    #B0 #A1 #A2 #A3 Снимок экрана, на котором показан экран настройки учетной записи службы. #A4 #A5 #A6 #C7

12. На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и выберите Добавить каталог.

13. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или он был изменён во время установки агента, перенастройте агента с новыми учетными данными. Эта операция добавляет ваш локальный каталог. Нажмите ОК, а затем Далее, чтобы продолжить.

    

14. На следующем снимка экрана показан пример домена, настроенного для contoso.com. Выберите Далее для продолжения.

    #B0 #A1 #A2 #A3 снимок экрана, на котором показан экран Connect Active Directory. #A4 #A5 #A6 #C7

15. На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.

16. После завершения операции вы увидите уведомление о том, что конфигурация агента успешно проверена. Щелкните Выход.

    

17. Если вы по-прежнему получаете начальный экран, выберите Закрыть.

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, на котором выполняется агент.

Проверка агента на портале Azure

Чтобы удостовериться, что Microsoft Entra ID регистрирует агента, выполните следующие действия.

1. Войдите на портал Azure.

2. Выберите Microsoft Entra ID.

3. Выберите Microsoft Entra Connect, а затем выберите Облачная синхронизация.

   

4. На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и что состояние исправно.

Проверка агента на локальном сервере

Чтобы убедиться, что агент работает, сделайте следующее.

1. Войдите на сервер, используя учетную запись администратора.

2. Перейдите к услугам. Вы также можете использовать Start/Run/Services.msc, чтобы открыть его.

3. В разделе Servicesубедитесь, что агент обновления Microsoft Entra Connect и агент подготовки Microsoft Entra Connect присутствуют и что состояние работает.

   

Проверка версии агента подготовки

Чтобы проверить версию запущенного агента, выполните следующие действия.

1. Перейдите к C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Щелкните правой кнопкой мыши AADConnectProvisioningAgent.exe и выберите Свойства.
3. Выберите вкладку Детали. Номер версии отображается рядом с версией продукта.

Включение обратной записи паролей в облачной синхронизации

Вы можете включить обратную запись паролей в SSPR непосредственно на портале или с помощью PowerShell.

Включение обратной записи паролей на портале

Чтобы использовать обратную запись паролей и включить службу самостоятельного сброса пароля (SSPR) для обнаружения агента облачной синхронизации с помощью портала, выполните следующие действия:

1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора гибридных удостоверений.
2. Слева выберите "Защита", выберите "Сброс пароля", а затем выберите локальную интеграцию.
3. Проверьте параметр включения обратной записи паролей для синхронизированных пользователей .
4. (необязательно) Если обнаружены агенты предоставления Microsoft Entra Connect, можно также отметить параметр обратной записи паролей с помощью Microsoft Entra Cloud Sync.
5. Укажите для параметра Разрешить пользователям разблокировать учетные записи без сброса пароля значение Да.
6. Когда все будет готово, щелкните Сохранить.

Использование PowerShell

Чтобы использовать обратную синхронизацию паролей и включить службу самостоятельного сброса пароля (SSPR) для обнаружения агента облачной синхронизации, используйте Set-AADCloudSyncPasswordWritebackConfiguration командлет и учетные данные глобального администратора арендатора:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Для получения дополнительной информации об использовании обратной записи паролей с Microsoft Entra Cloud Sync см. руководство: Включение обратной записи самостоятельного сброса пароля облачной синхронизации в локальную среду.

Установите агента в государственном облаке США

По умолчанию агент подготовки Microsoft Entra устанавливается в Azure-среде по умолчанию. Если вы устанавливаете агент для государственных организаций США, внесите это изменение в шаге 7 предыдущей процедуры установки:

• Вместо выбора открытого файла нажмите кнопку "Запустить, а затем перейдите к файлу >. В поле "Запуск" после исполняемого файла введите ENVIRONMENTNAME=AzureUSGovernment и нажмите кнопку "ОК".

  

Синхронизация хэша паролей и FIPS в облаке

Если сервер заблокирован в соответствии со стандартом FIPS, MD5 (алгоритм дайджеста сообщений 5) отключен.

Чтобы включить md5 для синхронизации хэша паролей, сделайте следующее:

1. Перейдите к %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
2. Откройте файл AADConnectProvisioningAgent.exe.config.
3. Перейдите к узлу configuration/runtime в начале файла.
4. Добавьте узел <enforceFIPSPolicy enabled="false"/>.
5. Сохраните ваши изменения.

Для справки код должен выглядеть следующим фрагментом кода:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Сведения о безопасности и FIPS см. в разделе синхронизация хэша паролей Microsoft Entra, шифрование и соответствие стандартам FIPS.

Следующие шаги

• Что такое обеспечение?
• Что такое облачная синхронизация Microsoft Entra?
• Создайте новую конфигурацию для Microsoft Entra Cloud Sync.