Freigeben über

Tutorial: Integrieren einer einzelnen Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten

Dieses Tutorial führt Sie durch die Schritte zum Erstellen einer Hybrididentitätsumgebung mit Microsoft Entra Cloud Sync.

Diagramm, das den Microsoft Entra Cloud Sync-Fluss zeigt.

Die Umgebung, die Sie in diesem Tutorial erstellen, können Sie zu Testzwecken verwenden oder um sich besser mit der Cloudsynchronisierung vertraut zu machen.

Voraussetzungen

Im Microsoft Entra Admin Center

  • Microsoft empfiehlt Organisationen, zwei Nur-Cloud-Notfallzugriffskonten dauerhaft der Rolle "Globaler Administrator" zugewiesen zu haben. Diese Konten sind hochprivilegiert und werden bestimmten Personen nicht zugewiesen. Die Konten sind auf Notfallszenarien beschränkt, in denen normale Konten nicht verwendet werden können oder alle anderen Administrierenden versehentlich gesperrt sind. Diese Konten sollten nach den Empfehlungen für das Notfallzugriffskonto erstellt werden.
  • Fügen Sie Ihrem Microsoft Entra-Mandanten einen oder mehrere benutzerdefinierte Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrer lokalen Umgebung

  1. Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2016 oder höher mit mindestens 4 GB RAM und .NET-Runtime 4.7.1 oder höher an

  2. Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

    • Stellen Sie sicher, dass Agents ausgehende Anforderungen an die Microsoft Entra ID über die folgenden Ports senden können.

      Portnummer Wie diese verwendet wird
      80 Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
      443 Verarbeitung der gesamten ausgehenden Kommunikation mit dem Dienst
      8080 (optional) Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Portal angezeigt.

      Wenn Ihre Firewall Regeln gemäß Ursprungsbenutzenden erzwingt, öffnen Sie diese Ports für den Datenverkehr aus Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

    • Wenn Ihre Firewall oder Ihr Proxy es Ihnen ermöglicht, sichere Suffixe anzugeben, fügen Sie Verbindungen zu *.msappproxy.net und *.servicebus.windows.net hinzu. Wenn nicht, erlauben Sie den Zugriff auf die IP-Bereiche des Azure-Rechenzentrums, die wöchentlich aktualisiert werden.

    • Ihre Agents benötigen Zugriff auf login.windows.net und login.microsoftonline.com für die erstregistrierung. Öffnen Sie Ihre Firewall auch für diese URLs.

    • Heben Sie für die Zertifikatüberprüfung die Blockierung der folgenden URLs auf: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 und www.microsoft.com:80. Da diese URLs für die Überprüfung des Zertifikats in Verbindung mit anderen Microsoft-Produkten verwendet werden, haben Sie deren Blockierung möglicherweise bereits aufgehoben.

Installieren des Microsoft Entra-Bereitstellungsagents

Wenn Sie das Tutorial Grundlegende AD- und Azure-Umgebung verwenden, ist dies „DC1“. Führen Sie die folgenden Schritte aus, um den Agent zu installieren:

  1. Wählen Sie im Azure-Portal die Microsoft Entra-ID aus.

  2. Wählen Sie im linken Bereich Microsoft Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  3. Wählen Sie im linken Bereich "Agents" aus.

  4. Wählen Sie den lokalen Agent herunterladen und dann "Bedingungen akzeptieren" und "Herunterladen" aus.

    Screenshot, der zeigt, wie der Agent heruntergeladen wird.

  5. Nachdem Sie das Microsoft Entra Connect-Bereitstellungs-Agent-Paket heruntergeladen haben, führen Sie die AADConnectProvisioningAgentSetup.exe Installationsdatei aus Ihrem Downloadordner aus.

    Hinweis

    Wenn Sie eine Installation für die US Government Cloud durchführen, verwenden Sie AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Weitere Informationen finden Sie unter Installieren eines Agents in der US Government Cloud.

  6. Aktivieren Sie auf dem daraufhin geöffneten Bildschirm das Kontrollkästchen "Ich stimme den Lizenzbedingungen zu " zu, und wählen Sie dann "Installieren" aus.

    Screenshot des Bildschirms des Microsoft Entra-Bereitstellungs-Agent-Pakets.

  7. Nach Abschluss der Installation wird der Konfigurations-Assistent geöffnet. Wählen Sie "Weiter" aus, um die Konfiguration zu starten.

    Screenshot, der den Willkommensbildschirm zeigt.

  8. Wählen Sie auf dem Bildschirm "Erweiterung auswählen" die Option "HR-gesteuerte Bereitstellung" (Workday and SuccessFactors) / Azure AD Connect Cloud Sync aus, und wählen Sie dann "Weiter" aus.

    Screenshot des Bildschirms

    Hinweis

    Wenn Sie den Bereitstellungs-Agent für die Verwendung mit der lokalen Bereitstellung von Microsoft Entra installieren, wählen Sie die lokale Anwendungsbereitstellung (Microsoft Entra-ID für Anwendung) aus.

  9. Melden Sie sich mit einem Konto mit mindestens der Rolle des Hybrididentitätsadministrators an. Wenn Sie die erweiterte Sicherheit von Internet Explorer aktiviert haben, wird die Anmeldung blockiert. Wenn ja, schließen Sie die Installation, deaktivieren Sie die erweiterte Sicherheit von Internet Explorer, und starten Sie die Installation des Microsoft Entra Connect Bereitstellungs-Agent-Pakets neu.

    Screenshot, der den Bildschirm

  10. Wählen Sie auf dem Bildschirm " Dienstkonto konfigurieren " ein gruppenverwaltetes Dienstkonto (gMSA) aus. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet. Wenn ein verwaltetes Dienstkonto bereits von einem anderen Agent in Ihrer Domäne konfiguriert ist und Sie einen zweiten Agent installieren, wählen Sie "gMSA erstellen" aus. Das System erkennt das vorhandene Konto und fügt die erforderlichen Berechtigungen für den neuen Agent hinzu, um das gMSA-Konto zu verwenden. Wenn Sie dazu aufgefordert werden, wählen Sie eine von zwei Optionen aus:

    • gMSA erstellen: Lassen Sie den Agenten das verwaltete Dienstkonto provAgentgMSA$ für Sie erstellen. Das gruppenverwaltete Dienstkonto (z. B. ) wird in derselben Active Directory-Domäne erstellt, CONTOSO\provAgentgMSA$in der der Hostserver mitglied ist. Um diese Option zu verwenden, geben Sie die Anmeldeinformationen des Active Directory-Domänenadministratorkontos ein (empfohlen).
    • Verwenden Sie benutzerdefinierte gMSA: Geben Sie den Namen des verwalteten Dienstkontos an, das Sie für diese Aufgabe manuell erstellt haben.

  11. Um fortzufahren, wählen Sie "Weiter" aus.

    Screenshot des Bildschirms

  12. Wenn Ihr Domänenname auf dem Bildschirm "Active Directory verbinden" unter "Konfigurierte Domänen" angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Geben Sie andernfalls Ihren Active Directory-Domänennamen ein, und wählen Sie "Verzeichnis hinzufügen" aus.

  13. Melden Sie sich mit Ihrem Active Directory-Domänenadministratorkonto an. Das Kennwort des Domänenadministratorkontos darf nicht abgelaufen sein. Wenn das Kennwort während der Agentinstallation abgelaufen ist oder sich ändert, konfigurieren Sie den Agent mit den neuen Anmeldeinformationen neu. Dieser Vorgang fügt Ihr lokales Verzeichnis hinzu. Wählen Sie "OK" und dann "Weiter" aus, um fortzufahren.

    Screenshot, der zeigt, wie Sie die Anmeldeinformationen des Domänenadministrators eingeben.

  14. Der folgende Screenshot zeigt ein Beispiel für die domäne, die für contoso.com konfiguriert ist. Wählen Sie "Weiter" aus, um fortzufahren.

    Screenshot des Bildschirms

  15. Wählen Sie auf dem Bildschirm "Konfiguration abgeschlossen " die Option "Bestätigen" aus. Damit wird der Agent registriert und neu gestartet.

  16. Nach Abschluss des Vorgangs wird eine Benachrichtigung angezeigt, dass die Agentkonfiguration erfolgreich überprüft wurde. Wählen Sie "Beenden" aus.

    Screenshot des Bildschirms

  17. Wenn Der Anfangsbildschirm weiterhin angezeigt wird, wählen Sie "Schließen" aus.

Überprüfen der Agent-Installation

Die Agentüberprüfung erfolgt im Azure-Portal und auf dem lokalen Server, auf dem der Agent ausgeführt wird.

Überprüfen des Agents im Azure-Portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Microsoft Entra-ID den Agent registriert:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie "Microsoft Entra-ID" aus.

  3. Wählen Sie Microsoft Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  4. Auf der Seite "Cloud Sync " werden die Agents angezeigt, die Sie installiert haben. Überprüfen Sie, ob der Agent angezeigt wird und dass der Status fehlerfrei ist.

Überprüfen des Agents auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird:

  1. Melden Sie sich beim Server mit einem Administratorkonto an.

  2. Wechseln Sie zu "Dienste". Sie können auch "Start/Run/Services.msc " verwenden, um darauf zu gelangen.

  3. Vergewissern Sie sich unter "Dienste", dass microsoft Entra Connect Agent Updater und Microsoft Entra Connect-Bereitstellungs-Agent vorhanden sind und dass der Status "Ausgeführt" lautet.

    Screenshot der Windows-Dienste.

Überprüfen der Version des Bereitstellungs-Agents

Führen Sie die folgenden Schritte aus, um die Version des ausgeführten Agents zu überprüfen:

  1. Wechseln Sie zu "C:\Programme\Microsoft Azure AD Connect-Bereitstellungs-Agent".
  2. Klicken Sie mit der rechten Maustaste auf AADConnectProvisioningAgent.exe , und wählen Sie "Eigenschaften" aus.
  3. Wählen Sie die Registerkarte "Details " aus. Die Versionsnummer wird neben der Produktversion angezeigt.

Konfigurieren der Microsoft Entra-Cloudsynchronisierung

Führen Sie die folgenden Schritte aus, um die Bereitstellung zu konfigurieren und zu starten:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Neue Konfiguration auswählen
  2. Geben Sie auf dem Konfigurationsbildschirm eine Benachrichtigungs-E-Mail ein, verschieben Sie die Auswahl auf "Aktivieren ", und wählen Sie " Speichern" aus.
  3. Der Konfigurationsstatus sollte jetzt fehlerfrei sein.

Weitere Informationen zum Konfigurieren von Microsoft Entra Cloud Sync finden Sie unter Bereitstellen von Active Directory für Microsoft Entra ID.

Überprüfen, ob Benutzer erstellt wurden und die Synchronisierung erfolgt

Sie werden nun überprüfen, ob die Benutzer, die Sie in Ihrem lokalen Verzeichnis hatten, synchronisiert wurden und jetzt in Ihrem Microsoft Entra-Mandanten vorhanden sind. Der Synchronisierungsvorgang kann einige Stunden dauern. Führen Sie die folgenden Schritte aus, um zu überprüfen, ob Benutzer synchronisiert wurden:

  1. Melden Sie sich mindestens als Hybrididentitätsadministrator beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Benutzer.
  3. Bestätigen Sie, dass die neuen Benutzenden in unserem Mandanten angezeigt werden

Testanmeldung mit einem Ihrer Benutzer

  1. Navigieren Sie zu https://myapps.microsoft.com.

  2. Melden Sie sich mit einem Benutzerkonto an, das in Ihrem Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer lokal anmeldet.

Screenshot des Portals

Sie haben nun mit Microsoft Entra Could Sync erfolgreich eine Hybrididentitätsumgebung konfiguriert.

Nächste Schritte

  • Last updated on