Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве описывается добавление функции облачной синхронизации в существующую среду гибридной идентификации.
Среду, созданную в этом руководстве можно использовать для тестирования или дальнейшего знакомства с принципами работы гибридной идентификации.
В этом сценарии существует существующий лес, синхронизированный с помощью Службы синхронизации Microsoft Entra Connect с клиентом Microsoft Entra. И у вас есть новый лес, который вы хотите синхронизировать с тем же клиентом Microsoft Entra. Вы настроите облачную синхронизацию для нового леса.
Предварительные требования
В Центре администрирования Microsoft Entra
- Создайте учетную запись администратора гибридного удостоверения только в облаке в клиенте Microsoft Entra. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными. Узнайте о добавлении учетной записи администратора гибридных удостоверений в облаке. Этот шаг критически важен, чтобы вы не оказались заблокированными от вашего арендатора.
- Добавьте одно или несколько пользовательских доменных имен для клиента Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.
В локальной среде
Определите сервер, присоединенный к домену, под управлением Windows Server 2012 R2 или более поздней версии с минимальным объемом памяти 4 ГБ ОЗУ и средой выполнения .NET версии 4.7.1 или выше.
Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.
Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:
Номер порта Как он используется 80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата. 443 Обрабатывает всю исходящую связь со службой. 8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале. Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.
Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, можно добавить подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.
Агентам требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.
Для проверки сертификатов разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.
Установка агента подготовки Microsoft Entra
Если вы используете руководство по базовой среде AD и Azure, это будет DC1. Чтобы установить агент, выполните следующие действия.
В портал Azure выберите идентификатор Microsoft Entra.
На левой панели выберите Microsoft Entra Connect, а затем выберите Cloud Sync.
На левой панели выберите Агенты.
Выберите Скачать локальный агент, а затем выберите Принять условия и скачать.
#B0 #A1 #A2 #A3 Снимок экрана, показывающий скачивание агента. #A4 #A5 #A6 #C7
После скачивания пакета агента управления Microsoft Entra Connect запустите установочный файл AADConnectProvisioningAgentSetup.exe из папки 'Загрузки'.
Примечание.
При установке для облака для государственных организаций США используйте AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Дополнительные сведения см. в разделе Установка агента в облачной системе для государственного сектора США.
На открывшемся экране установите флажок Я согласен с условиями лицензии, а затем выберите Установить.
#B0 #A1 #A2 #A3 Показан экран пакета агента развертывания Microsoft Entra на снимке экрана. #A4 #A5 #A6 #C7
После завершения установки откроется мастер настройки. Выберите Далее, чтобы начать конфигурацию.
На экране «Выбор расширения» выберите «Подготовка на основе HR (Workday и SuccessFactors) / Azure AD Connect Cloud Sync», а затем выберите «Далее».
#B0 #A1 #A2 #A3 Скриншот, демонстрирующий экран выбора расширения. #A4 #A5 #A6 #C7
Примечание.
Если вы устанавливаете агент подготовки для использования с функцией подготовки локальных приложений Microsoft Entra, выберите «Подготовка локальных приложений (идентификатор Microsoft Entra к приложению)».
Войдите в систему, используя учетную запись, которая имеет как минимум роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите функцию повышенной безопасности Internet Explorer и перезапустите установку пакета агента управления Microsoft Entra Connect.
#B0 #A1 #A2 #A3 Это снимок экрана, на котором отображается экран "Подключение к идентификатору Microsoft Entra ID". #A4 #A5 #A6 #C7
На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена другим агентом в вашем домене, и вы устанавливаете второго агента, выберите Создать gMSA. Система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из двух вариантов:
- Создание gMSA: Позвольте агенту создать управляемую учетную запись службы provAgentgMSA$. Учетная запись группы управляемых служб (например, #B0) создается в том же домене Active Directory, к которому присоединен сервер-хост. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
- Использовать пользовательские gMSA: укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.
Чтобы продолжить работу, щелкните Далее.
#B0 #A1 #A2 #A3 снимок экрана, на котором показан экран «Настройка учетной записи службы». #A4 #A5 #A6 #C7
На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и выберите Добавить директорию.
Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или он изменился во время установки агента, необходимо перенастроить агента с новыми учетными данными. Эта операция добавляет ваш локальный каталог. Выберите ОК, а затем Далее, чтобы продолжить.
На следующем снимка экрана показан пример домена, настроенного для contoso.com. Выберите Далее для продолжения.
На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.
После завершения операции вы увидите уведомление о том, что конфигурация агента успешно проверена. Щелкните Выход.
Если вы по-прежнему видите начальный экран, выберите Закрыть.
Проверка установки агента
Проверка агента выполняется на портале Azure и на локальном сервере, на котором выполняется агент.
Проверка агента на портале Azure
Чтобы удостовериться, что Microsoft Entra ID регистрирует агента, выполните следующие действия.
Войдите на портал Azure.
Выберите Microsoft Entra ID.
Выберите Microsoft Entra Connect, а затем выберите Облачная синхронизация.
На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и что состояние исправно.
Проверка агента на локальном сервере
Чтобы убедиться, что агент запущен, выполните следующие действия.
Войдите на сервер, используя учетную запись администратора.
Перейдите к услугам. Вы также можете использовать Start/Run/Services.msc, чтобы открыть его.
В разделе Servicesубедитесь, что агент обновления Microsoft Entra Connect и агент подготовки Microsoft Entra Connect присутствуют и что состояние работает.
Проверьте версию агента предоставления
Чтобы проверить версию запущенного агента, выполните следующие шаги.
- Перейдите к C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
- Щелкните правой кнопкой мыши AADConnectProvisioningAgent.exe и выберите Свойства.
- Выберите вкладку Детали. Номер версии отображается рядом с версией продукта.
Настройка Microsoft Entra Cloud Sync
Чтобы настроить автоматизацию, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора гибридных удостоверений .
Перейдите к Identity>гибридное управление>Microsoft Entra Connect>синхронизация с облаком.
- Выбор новой конфигурации
- На экране конфигурации введите адрес электронной почты для уведомлений, переместите селектор на Включено и выберите Сохранить.
- Теперь состояние конфигурации должно быть Healthy (Работоспособное).
Убедитесь, что пользователи созданы и синхронизация выполняется.
Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, были синхронизированы и теперь существуют в нашем клиенте Microsoft Entra. Выполнение этого процесса может занять несколько часов. Чтобы убедиться, что пользователи синхронизированы, выполните следующие действия.
- Войдите в административный центр Microsoft Entra как минимум в качестве Гибридного администратора удостоверений.
- Перейдите к Identity>Users.
- Убедитесь, что вы видите новых пользователей в нашем арендаторе.
Проверка входа с помощью одной из учетных записей
Перейдите по адресу https://myapps.microsoft.com.
Выполните вход с помощью учетной записи пользователя, которая была создана в новом клиенте. Вам потребуется выполнить вход с помощью следующего формата: ([email protected]). Используйте тот же пароль, что и для входа в локальную среду.
Вы успешно настроили среду гибридной идентификации, которую можно использовать для тестирования и ознакомления с возможностями Azure.