Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве рассматривается процесс создания среды гибридной идентичности с использованием Microsoft Entra Cloud Sync.
Среду, созданную при работе с этим руководством, можно использовать для тестирования или дальнейшего знакомства с принципами облачной синхронизации.
Необходимые условия
В Центре администрирования Microsoft Entra
- Корпорация Майкрософт рекомендует организациям иметь две учётные записи аварийного доступа только в облаке, постоянно назначенные ролью глобального администратора. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи ограничиваются экстренными ситуациями или сценариями чрезвычайного доступа, когда обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по аварийному доступу .
- Добавьте одно или несколько имен личного домена в клиент Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.
В локальной среде
Определение присоединенного к домену сервера узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+
Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.
Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:
Номер порта Как он используется 80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата. 443 Обработка всей исходящей связи со службой. 8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале. Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.
Если брандмауэр или прокси-сервер позволяет указать безопасные суффиксы, добавьте подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure, которые обновляются еженедельно.
Агенты должны получить доступ к login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.
Для проверки сертификата разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.
Установка агента подготовки Microsoft Entra
Если вы используете учебное пособие по базовой среде AD и Azure, это будет DC1. Вот шаги, которые нужно выполнить, чтобы установить агент.
На портале Azure выберите идентификатор Microsoft Entra.
На левой панели выберите Microsoft Entra Connect и выберите "Облачная синхронизация".
На левой панели выберите Агенты.
Выберите "Скачать локальный агент" и нажмите кнопку "Принять условия" и "Скачать".
После скачивания пакета агента подготовки Microsoft Entra Connect запустите файл установки AADConnectProvisioningAgentSetup.exe из папки загрузки.
Примечание.
При установке для облака для государственных организаций США используйте AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Дополнительные сведения см. в разделе "Установка агента в облаке для государственных организаций США".
На открываемом экране установите флажок "Я согласен с условиями лицензии " и нажмите кнопку "Установить".
После завершения установки откроется мастер настройки. Выберите «Далее», чтобы начать настройку.
На экране «Выбор расширения» выберите: подготовку на основе кадров (Workday и SuccessFactors) или Azure AD Connect Cloud Sync, а затем нажмите кнопку «Далее».
Примечание.
Если вы устанавливаете агент подготовки для использования с функцией подготовки локальных приложений Microsoft Entra, выберите «Подготовка локальных приложений (идентификатор Microsoft Entra к приложению)».
Войдите в систему, используя учетную запись, которая имеет как минимум роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите функцию повышенной безопасности Internet Explorer и перезапустите установку пакета агента управления Microsoft Entra Connect.
На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена в вашем домене другим агентом и вы устанавливаете второй агент, выберите "Создать gMSA". Система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из двух вариантов:
- Создание gMSA: Позвольте агенту создать управляемую учетную запись службы provAgentgMSA$. Учетная запись управляемой групповой службы (например,
CONTOSO\provAgentgMSA$) создается в том же домене Active Directory, где присоединен сервер. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется). - Используйте настраиваемую gMSA: укажите имя управляемой учетной записи службы, созданной вручную для этой задачи.
- Создание gMSA: Позвольте агенту создать управляемую учетную запись службы provAgentgMSA$. Учетная запись управляемой групповой службы (например,
Чтобы продолжить, нажмите кнопку "Далее".
На экране Connect Active Directory , если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и выберите "Добавить каталог".
Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или он изменился во время установки агента, необходимо перенастроить агента с новыми учетными данными. Эта операция добавляет ваш локальный каталог. Нажмите кнопку "ОК", а затем нажмите кнопку "Далее ".
На следующем снимка экрана показан пример домена, настроенного для contoso.com. Нажмите кнопку "Далее ", чтобы продолжить.
Скриншот, на котором показан экран подключения Active Directory.
На полном экране "Конфигурация" нажмите кнопку "Подтвердить". Эта операция регистрирует и перезапускает агент.
После завершения операции вы увидите уведомление о том, что конфигурация агента успешно проверена. Нажмите кнопку "Выйти".
Если вы по-прежнему получаете начальный экран, нажмите кнопку "Закрыть".
Проверка установки агента
Проверка агента выполняется на портале Azure и на локальном сервере, на котором выполняется агент.
Проверка агента на портале Azure
Чтобы удостовериться, что Microsoft Entra ID регистрирует агента, выполните следующие действия.
Войдите на портал Azure.
Выберите идентификатор Microsoft Entra.
Выберите Microsoft Entra Connect и выберите "Облачная синхронизация".
На странице "Облачная синхронизация" отображаются установленные агенты. Убедитесь, что агент отображается и состояние в порядке.
Проверка агента на локальном сервере
Чтобы убедиться, что агент выполняется, выполните следующие шаги.
Войдите на сервер, используя учетную запись администратора.
Перейдите к службам. Вы также можете использовать start/Run/Services.msc , чтобы добраться до него.
В разделе "Службы" убедитесь, что Microsoft Entra Connect Agent Updater и Microsoft Entra Connect Provisioning Agent присутствуют и что состояние Запущено.
Проверка версии агента подготовки
Чтобы проверить версию агента, который работает в данный момент, выполните следующие действия.
- Перейдите в раздел C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
- Щелкните правой кнопкой мыши AADConnectProvisioningAgent.exe и выберите пункт "Свойства".
- Перейдите на вкладку "Сведения ". Номер версии отображается рядом с версией продукта.
Настройка Microsoft Entra Cloud Sync
Чтобы настроить и запустить процесс подготовки, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra в роли администратора гибридных удостоверений или выше.
Перейдите к Entra ID>Entra Connect>Синхронизация в облаке.
- Выбор новой конфигурации
- На экране конфигурации введите уведомление по электронной почте, переведите селектор в положение Включить и выберите Сохранить.
- Теперь состояние конфигурации должно быть работоспособным.
Дополнительные сведения о настройке Microsoft Entra Cloud Sync см. в статье "Подготовка Active Directory к идентификатору Microsoft Entra ID".
Убедитесь, что пользователи создаются и выполняется синхронизация.
Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, которые находятся в области синхронизации, были синхронизированы и теперь существуют в клиенте Microsoft Entra. Операция синхронизации может занять несколько часов. Чтобы проверить синхронизацию пользователей, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra как минимум в роли администратора гибридной идентичности.
- Перейдите к Entra ID>пользователям.
- Убедитесь, что новые пользователи отображаются в нашем тенанте.
Проверка входа с помощью одной из учетных записей
Перейдите по адресу https://myapps.microsoft.com.
Войдите в систему, используя учетную запись пользователя, созданную в вашей служебной среде. Вам потребуется выполнить вход с помощью следующего формата: ([email protected]). Используйте тот же пароль, что и для входа в локальную среду.
Теперь вы успешно настроили гибридную среду удостоверений при помощи Microsoft Entra Cloud Sync.