Интеграция существующего и нового лесов с одним арендатором Microsoft Entra
В этом руководстве описывается добавление функции облачной синхронизации в существующую среду гибридной идентификации.
Среду, созданную в этом руководстве можно использовать для тестирования или дальнейшего знакомства с принципами работы гибридной идентификации.
В этом сценарии существует существующий лес, синхронизированный с помощью Службы синхронизации Microsoft Entra Connect с клиентом Microsoft Entra. И у вас есть новый лес, который вы хотите синхронизировать с тем же клиентом Microsoft Entra. Вы настроите облачную синхронизацию для нового леса.
Необходимые компоненты
В Центре администрирования Microsoft Entra
- Создайте учетную запись администратора гибридного удостоверения только в облаке в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте о добавлении учетной записи администратора гибридного удостоверения только для облака. Этот шаг очень важен, чтобы не потерять доступ к клиенту.
- Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.
В локальной среде
Определение присоединенного к домену сервера узла под управлением Windows Server 2012 R2 или более поздней с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+
Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.
Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:
Номер порта Как он используется 80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата. 443 Обработка всего исходящего трафика для службы. 8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале. Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.
Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, можно добавить подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.
Агентам требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.
Для проверки сертификатов разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.
Установка агента подготовки Microsoft Entra
Если вы используете учебник по базовой среде AD и Azure , это будет DC1. Чтобы установить агент, выполните следующие действия.
- В портал Azure выберите идентификатор Microsoft Entra.
- Слева выберите Microsoft Entra Connect.
- Слева выберите "Облачная синхронизация".
- Слева выберите агент.
- Выберите "Скачать локальный агент" и выберите "Принять условия" и "Скачать".
- После скачивания пакета агента подготовки Microsoft Entra Connect запустите файл установки AADConnectProvisioningAgentSetup.exe из папки загрузки.
Примечание.
При установке для использования облака для государственных организаций США:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".
- На экране-заставку выберите "Я согласен с лицензией и условиями", а затем нажмите кнопку "Установить".
- После завершения операции установки мастер конфигурации запускается. Нажмите кнопку "Рядом ", чтобы запустить конфигурацию.
- На экране выбора расширения выберите подготовку на основе кадров (Workday и SuccessFactors) или облачную синхронизацию Microsoft Entra Connect и нажмите кнопку "Далее".
Примечание.
Если вы устанавливаете агент подготовки для использования с предварительной подготовкой приложений, выберите локальную подготовку приложений (идентификатор Microsoft Entra в приложение).
- Войдите с учетной записью по крайней мере роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите расширенную безопасность Internet Explorer и перезапустите установку пакета агента подготовки Microsoft Entra Connect.
- На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA ", так как система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из следующих вариантов:
- Создайте gMSA , которая позволяет агенту создать учетную запись управляемой службы provAgentgMSA$ для вас. Учетная запись управляемой группы (например, CONTOSO\provAgentgMSA$) будет создана в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
- Используйте настраиваемую gMSA и укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.
Чтобы продолжить работу, щелкните Далее.
На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и нажмите кнопку "Добавить каталог".
Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или изменяется во время установки агента, необходимо перенастроить агент с новыми учетными данными. Эта операция добавляет локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".
- На следующем снимка экрана показан пример contoso.com настроенного домена. Выберите Далее для продолжения.
На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.
После завершения этой операции необходимо уведомить о том, что конфигурация агента успешно проверена. Вы можете выбрать " Выйти".
- Если вы по-прежнему получаете начальный экран-заставку, нажмите кнопку "Закрыть".
Проверка установки агента
Проверка агента выполняется на портале Azure и на локальном сервере, где выполняется агент.
Проверка агента на портале Azure
Чтобы убедиться, что агент зарегистрирован идентификатором Microsoft Entra, выполните следующие действия:
- Войдите на портал Azure.
- Выберите Microsoft Entra ID.
- Выберите Microsoft Entra Connect и выберите "Облачная синхронизация".
- На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и состояние работоспособно.
На локальном сервере
Чтобы убедиться, что агент выполняется, сделайте следующее.
- Войдите на сервер, используя учетную запись администратора.
- Откройте службы , перейдя к нему или перейдя в раздел Start/Run/Services.msc.
- В разделе "Службы" убедитесь, что microsoft Entra Connect Agent Updater и Microsoft Entra Connect Provisioning Agent присутствуют, а состояние выполняется.
Проверка версии агента подготовки
Чтобы проверить версию запущенного агента, выполните следующие действия.
- Перейдите к разделу "C:\Program Files\Microsoft Azure AD Connect Provisioning Agent"
- Щелкните правой кнопкой мыши "AADConnectProvisioningAgent.exe" и выберите свойства.
- Щелкните вкладку сведений и номер версии будет отображаться рядом с версией продукта.
Настройка Microsoft Entra Cloud Sync
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Чтобы настроить процесс подготовки, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор.
- Перейдите к синхронизации Microsoft Entra Connect>Cloud для гибридного управления удостоверениями>>.
- Выбор новой конфигурации
- На экране конфигурации введите сообщение электронной почты уведомления, переместите селектор, чтобы включить и нажмите кнопку "Сохранить".
- Теперь состояние конфигурации должно быть Healthy (Работоспособное).
Проверка создания пользователей и выполнения синхронизации
Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, были синхронизированы и теперь существуют в нашем клиенте Microsoft Entra. Выполнение этого процесса может занять несколько часов. Чтобы убедиться, что пользователи синхронизированы, выполните следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум гибридный администратор удостоверений.
- Перейдите к пользователям удостоверений>.
- Убедитесь в том, что новый пользователь отображается в клиенте.
Проверка входа с помощью одной из учетных записей
Перейдите по адресу https://myapps.microsoft.com.
Выполните вход с помощью учетной записи пользователя, которая была создана в новом клиенте. Вам потребуется выполнить вход с помощью следующего формата: ([email protected]). Используйте тот же пароль, что и для входа в локальную среду.
Вы успешно настроили среду гибридной идентификации, которую можно использовать для тестирования и ознакомления с возможностями Azure.