Поделиться через

Руководство: Интеграция одного леса с одним клиентом Microsoft Entra

  • Статья

В этом руководстве рассматривается процесс создания среды гибридной идентичности с использованием Microsoft Entra Cloud Sync.

Схема, показывающая поток синхронизации Microsoft Entra Cloud Sync.

Среду, созданную при работе с этим руководством, можно использовать для тестирования или дальнейшего знакомства с принципами облачной синхронизации.

Необходимые условия

В Центре администрирования Microsoft Entra

  • Корпорация Майкрософт рекомендует организациям постоянно назначать две облачные учетные записи для аварийного доступа на роль глобального администратора. Эти учетные записи имеют высокий уровень привилегий и не назначаются определенным лицам. Учетные записи ограничиваются экстренными ситуациями или сценариями чрезвычайного доступа, когда обычные учетные записи не могут быть использованы или все другие администраторы случайно заблокированы. Эти учетные записи должны быть созданы в соответствии с рекомендациями по аварийному доступу .
  • Добавьте одно или несколько пользовательских доменных имен в клиенте Microsoft Entra. Пользователи могут выполнить вход с помощью одного из этих доменных имен.

В локальной среде

  1. Определение присоединенного к домену сервера узла под управлением Windows Server 2016 или более поздней версии с минимальным объемом 4 ГБ ОЗУ и средой выполнения .NET 4.7.1+

  2. Если между серверами и Microsoft Entra ID присутствует брандмауэр, необходимо настроить указанные ниже элементы.

    • Убедитесь, что агенты могут отправлять исходящие запросы к идентификатору Microsoft Entra по следующим портам:

      Номер порта Как он используется
      80 Скачивание списков отзыва сертификатов при проверке TLS/SSL-сертификата.
      443 Обработка всей исходящей связи со службой.
      8080 (необязательно) Агенты передают данные о своем состоянии каждые 10 минут через порт 8080, если порт 443 недоступен. Это состояние отображается на портале.

      Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.

    • Если брандмауэр или прокси-сервер позволяет указать надежные суффиксы, можно добавить подключения к *.msappproxy.net и *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.

    • Агентам требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации. Откройте эти URL-адреса в брандмауэре.

    • Для проверки сертификатов разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 и www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов с другими продуктами Майкрософт, возможно, у вас уже есть эти URL-адреса разблокированы.

Установка агента подготовки Microsoft Entra

Если вы используете руководство по базовой среде AD и Azure, это будет DC1. Вот шаги, которые нужно выполнить, чтобы установить агент.

  1. В портал Azure выберите идентификатор Microsoft Entra.

  2. На левой панели выберите Microsoft Entra Connect, а затем выберите Cloud Sync.

    снимок экрана, на котором показан экран

  3. На левой панели выберите Агенты.

  4. Выберите Скачать локальный агент, а затем выберите Принять условия и скачать.

    #B0 #A1 #A2 #A3 Снимок экрана, показывающий скачивание агента. #A4 #A5 #A6 #C7

  5. После скачивания пакета агента управления Microsoft Entra Connect запустите установочный файл AADConnectProvisioningAgentSetup.exe из папки 'Загрузки'.

    Примечание.

    При установке для облака для государственных организаций США используйте AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Дополнительные сведения см. в статье Установка агента в облаке для правительства США.

  6. На открывшемся экране установите флажок Я согласен с условиями лицензии, а затем выберите Установить.

    #B0 #A1 #A2 #A3 Показан экран пакета агента развертывания Microsoft Entra на снимке экрана. #A4 #A5 #A6 #C7

  7. После завершения установки откроется мастер настройки. Выберите Далее, чтобы начать конфигурацию.

    Снимок экрана, показывающий экран приветствия.

  8. На экране «Выбор расширения» выберите: подготовку на основе кадров (Workday и SuccessFactors) или Azure AD Connect Cloud Sync, а затем нажмите кнопку «Далее».

    #B0 #A1 #A2 #A3 Скриншот, демонстрирующий экран выбора расширения. #A4 #A5 #A6 #C7

    Примечание.

    Если вы устанавливаете агент подготовки для использования с функцией подготовки локальных приложений Microsoft Entra, выберите «Подготовка локальных приложений (идентификатор Microsoft Entra к приложению)».

  9. Войдите в систему, используя учетную запись, которая имеет как минимум роль администратора гибридного удостоверения. Если у вас включена расширенная безопасность Internet Explorer, он блокирует вход. Если это так, закройте установку, отключите функцию повышенной безопасности Internet Explorer и перезапустите установку пакета агента управления Microsoft Entra Connect.

    #B0 #A1 #A2 #A3 Это снимок экрана, на котором отображается экран "Подключение к идентификатору Microsoft Entra ID". #A4 #A5 #A6 #C7

  10. На экране "Настройка учетной записи службы" выберите группу управляемой учетной записи службы (gMSA). Эта учетная запись используется для запуска службы агента. Если управляемая учетная запись службы уже настроена другим агентом в вашем домене, и вы устанавливаете второго агента, выберите Создать gMSA. Система обнаруживает существующую учетную запись и добавляет необходимые разрешения для нового агента для использования учетной записи gMSA. При появлении запроса выберите один из двух вариантов:

    • Создать gMSA: позвольте агенту создать provAgentgMSA$ управляемую учетную запись службы. Учетная запись групповой управляемой службы (например, #B0) создается в том же домене Active Directory, где присоединен сервер узла. Чтобы использовать этот параметр, введите учетные данные администратора домена Active Directory (рекомендуется).
    • #B0 Использовать настраиваемую #A1 gMSA: укажите имя управляемой учетной записи службы, которую вы создали вручную для этой задачи.

  11. Чтобы продолжить работу, щелкните Далее.

    #B0 #A1 #A2 #A3 снимок экрана, на котором показан экран «Настройка учетной записи службы». #A4 #A5 #A6 #C7

  12. На экране Connect Active Directory, если имя домена отображается в разделе "Настроенные домены", перейдите к следующему шагу. В противном случае введите доменное имя Active Directory и выберите Добавить директорию.

  13. Войдите с помощью учетной записи администратора домена Active Directory. Учетная запись администратора домена не должна иметь пароль с истекшим сроком действия. Если срок действия пароля истек или он изменился во время установки агента, необходимо перенастроить агента с новыми учетными данными. Эта операция добавляет ваш локальный каталог. Выберите ОК, а затем Далее, чтобы продолжить.

    Снимок экрана: ввод учетных данных администратора домена.

  14. На следующем снимка экрана показан пример домена, настроенного для contoso.com. Выберите Далее для продолжения.

    Скриншот, на котором показан экран подключения Active Directory.

  15. На странице Конфигурация завершена щелкните Подтвердить. Эта операция регистрирует и перезапускает агент.

  16. После завершения операции вы увидите уведомление о том, что конфигурация агента успешно проверена. Щелкните Выход.

    Снимок экрана: экран завершения.

  17. Если вы по-прежнему видите начальный экран, выберите Закрыть.

Проверка установки агента

Проверка агента выполняется на портале Azure и на локальном сервере, на котором выполняется агент.

Проверка агента на портале Azure

Чтобы удостовериться, что Microsoft Entra ID регистрирует агента, выполните следующие действия.

  1. Войдите на портал Azure.

  2. Выберите Microsoft Entra ID.

  3. Выберите Microsoft Entra Connect, а затем выберите Облачная синхронизация.

    снимок экрана, на котором показан экран

  4. На странице облачной синхронизации вы увидите установленные агенты. Убедитесь, что агент отображается и что состояние исправно.

Проверка агента на локальном сервере

Чтобы убедиться, что агент выполняется, выполните следующие шаги.

  1. Войдите на сервер, используя учетную запись администратора.

  2. Перейдите к услугам. Вы также можете использовать Start/Run/Services.msc, чтобы открыть его.

  3. В разделе Servicesубедитесь, что агент обновления Microsoft Entra Connect и агент подготовки Microsoft Entra Connect присутствуют и что состояние работает.

    Снимок экрана: службы Windows.

Проверка версии агента подготовки

Чтобы проверить версию агента, который работает в данный момент, выполните следующие действия.

  1. Перейдите к C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Щелкните правой кнопкой мыши AADConnectProvisioningAgent.exe и выберите Свойства.
  3. Выберите вкладку Детали. Номер версии отображается рядом с версией продукта.

Настройка Microsoft Entra Cloud Sync

Чтобы настроить и запустить процесс подготовки, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в качестве администратора гибридных удостоверений .

  2. Перейдите к Identity>гибридное управление>Microsoft Entra Connect>синхронизация с облаком.

    снимок экрана, на котором показана домашняя страница Microsoft Entra Connect Cloud Sync.

  1. Выбор новой конфигурации
  2. На экране конфигурации введите электронный адрес уведомления, переместите селектор в положение Включить и нажмите Сохранить.
  3. Теперь состояние конфигурации должно быть Healthy (Работоспособное).

Дополнительные сведения о настройке Microsoft Entra Cloud Sync см. в разделе Проведение подготовки Active Directory к использованию с Microsoft Entra ID.

Убедитесь, что пользователи создаются и выполняется синхронизация.

Теперь убедитесь, что пользователи, имеющиеся в локальном каталоге, которые находятся в области синхронизации, были синхронизированы и теперь существуют в клиенте Microsoft Entra. Операция синхронизации может занять несколько часов. Чтобы проверить синхронизацию пользователей, выполните следующие действия.

  1. Войдите в центр администрирования Microsoft Entra как минимум в роли администратора гибридной идентичности.
  2. Перейдите к Идентификатору>Пользователи.
  3. Убедитесь, что новые пользователи отображаются в нашем тенанте.

Проверка входа с помощью одной из учетных записей

  1. Перейдите по адресу https://myapps.microsoft.com.

  2. Войдите в систему, используя учетную запись пользователя, созданную в вашей служебной среде. Вам потребуется выполнить вход с помощью следующего формата: ([email protected]). Используйте тот же пароль, что и для входа в локальную среду.

Снимок экрана: портал моих приложений с вошедшими пользователями.

Теперь вы успешно настроили гибридную среду удостоверений при помощи Microsoft Entra Cloud Sync.

Следующие шаги