Freigeben über

Integrieren einer vorhandenen und einer neuen Gesamtstruktur mit einem einzelnen Microsoft Entra-Mandanten

In diesem Tutorial erfahren Sie Schritt für Schritt, wie Sie die Cloudsynchronisierung einer vorhandenen Hybrididentitätsumgebung hinzufügen.

Diagramm zeigt den Flow für die Microsoft Entra-Cloudsynchronisierung.

Die Umgebung, die Sie in diesem Tutorial erstellen, können Sie zu Testzwecken verwenden oder um sich mit der Funktionsweise einer Hybrididentität vertraut zu machen.

In diesem Szenario gibt es eine vorhandene Gesamtstruktur, die mithilfe der Microsoft Entra Connect-Synchronisierung mit einem Microsoft Entra-Mandanten synchronisiert wird. Und Sie haben einen neuen Wald, den Sie mit demselben Microsoft Entra-Mandanten synchronisieren möchten. Sie richten die Cloudsynchronisierung für die neue Gesamtstruktur ein.

Voraussetzungen

Im Microsoft Entra Admin Center

  1. Erstellen Sie in Ihrem Microsoft Entra-Mandanten ein auf die Cloud beschränktes Benutzerkonto für die Rolle „Administrator für hybride Identität“. Auf diese Weise können Sie die Konfiguration Ihres Mandanten verwalten, falls Ihre lokalen Dienste ausfallen oder nicht verfügbar sind. Erfahren Sie, wie Sie ein rein cloudbasiertes Hybrididentitätsadministratorkonto hinzufügen. Die Ausführung dieses Schritts ist sehr wichtig, damit sichergestellt ist, dass Sie für Ihren Mandanten nicht gesperrt werden.
  2. Fügen Sie Ihrem Microsoft Entra-Mandanten mindestens einen benutzerdefinierten Domänennamen hinzu. Ihre Benutzer können sich mit einem dieser Domänennamen anmelden.

In Ihrer lokalen Umgebung

  1. Geben Sie einen in die Domäne eingebundenen Hostserver unter Windows Server 2012 R2 oder höher mit mindestens 4 GB RAM und .NET 4.7.1 + Runtime an.

  2. Wenn zwischen Ihren Servern und Microsoft Entra ID eine Firewall eingerichtet wurde, konfigurieren Sie die folgenden Elemente:

    • Stellen Sie sicher, dass Agents über die folgenden Ports ausgehende Anforderungen an Microsoft Entra ID senden können:

      Portnummer Wie diese verwendet wird
      80 Herunterladen der Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) bei der Überprüfung des TLS/SSL-Zertifikats
      443 Verwaltet die gesamte ausgehende Kommunikation mit dem Dienst
      8080 (wahlweise) Agents melden ihren Status alle zehn Minuten über den Port 8080, wenn der Port 443 nicht verfügbar ist. Dieser Status wird im Portal angezeigt.

      Wenn Ihre Firewall Regeln basierend auf den Ursprungsbenutzern erzwingt, öffnen Sie diese Ports für den Datenverkehr von Windows-Diensten, die als Netzwerkdienst ausgeführt werden.

    • Wenn Ihre Firewall oder Ihr Proxy die Angabe sicherer Suffixe erlaubt, fügen Sie Verbindungen zu *.msappproxy.net und *.servicebus.windows.net hinzu. Aktivieren Sie andernfalls den Zugriff auf die IP-Adressbereiche für das Azure-Rechenzentrum, die wöchentlich aktualisiert werden.

    • Ihre Agents benötigen für die Erstregistrierung Zugriff auf login.windows.net und login.microsoftonline.com. Öffnen Sie Ihre Firewall auch für diese URLs.

    • Geben Sie für die Überprüfung des Zertifikats folgende URLs frei: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 und www.microsoft.com:80. Da diese URLs für die Überprüfung des Zertifikats in Verbindung mit anderen Microsoft-Produkten verwendet werden, haben Sie deren Blockierung möglicherweise bereits aufgehoben.

Installieren des Microsoft Entra-Bereitstellungs-Agents

Wenn Sie das Tutorial zur grundlegenden AD- und Azure-Umgebung verwenden, könnte es sich um den Server „DC1“ handeln. Führen Sie die folgenden Schritte aus, um den Agent zu installieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Wählen Sie im linken Bereich Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  3. Wählen Sie im linken Bereich Agents aus.

  4. Wählen Sie On-Premises-Agent herunterladen aus, und wählen Sie dann Bedingungen akzeptieren und herunterladen.

    Screenshot, der zeigt, wie der Agent heruntergeladen wird.

  5. Nachdem Sie das Microsoft Entra Connect-Bereitstellungs-Agent-Paket heruntergeladen haben, führen Sie die AADConnectProvisioningAgentSetup.exe Installationsdatei aus Ihrem Downloadordner aus.

  6. Wählen Sie auf dem geöffneten Bildschirm die Ich stimme den Lizenzbedingungen zu-Checkbox aus, und wählen Sie dann Installieren.

    Screenshot der Lizenzierungsbedingungen des Microsoft Entra-Bereitstellungs-Agent-Pakets.

  7. Nach Abschluss der Installation wird der Konfigurations-Assistent geöffnet. Wählen Sie Weiter aus, um die Konfiguration zu starten.

    Screenshot, der den Willkommensbildschirm zeigt.

  8. Melden Sie sich mit einem Konto mit mindestens der Rolle Hybrididentitätsadmin an. Wenn Sie die erweiterte Sicherheit von Internet Explorer aktiviert haben, wird die Anmeldung blockiert. Wenn ja, schließen Sie die Installation, deaktivieren Sie die erweiterte Sicherheit von Internet Explorer, und starten Sie die Installation des Microsoft Entra-Bereitstellungs-Agent-Pakets neu.

    Screenshot, der den Bildschirm

  9. Wählen Sie im Bildschirm Dienstkonto konfigurieren ein gruppenverwaltetes Dienstkonto (gMSA) aus. Dieses Konto wird zum Ausführen des Agent-Diensts verwendet. Wenn ein verwaltetes Dienstkonto bereits von einem anderen Agent in Ihrer Domäne konfiguriert wurde und Sie einen zweiten Agent installieren, wählen Sie gMSA erstellen. Das System erkennt das vorhandene Konto und fügt die erforderlichen Berechtigungen für den neuen Agent hinzu, um das gMSA-Konto zu verwenden. Wenn Sie dazu aufgefordert werden, wählen Sie eine von zwei Optionen aus:

    • gMSA erstellen: Lassen Sie den Agenten das verwaltete Dienstkonto provAgentgMSA$ für Sie erstellen. Das gruppenverwaltete Dienstkonto (z. B. #B0) wird in derselben Active Directory-Domäne erstellt, in der der Hostserver mitglied ist. Um diese Option zu verwenden, geben Sie die Anmeldeinformationen des Active Directory-Domänenadministratorkontos ein (empfohlen).
    • Benutzerdefinierte gMSA verwenden: Geben Sie den Namen des verwalteten Dienstkontos an, das Sie für diese Aufgabe manuell erstellt haben.

    Screenshot, der zeigt, wie Sie das Verwaltete Dienstkonto der Gruppe konfigurieren.

  10. Wählen Sie zum Fortsetzen des Vorgangs Weiter aus.

  11. Wenn Ihr Domänenname im Bildschirm Active Directory verbinden unter Konfigurierte Domänen angezeigt wird, fahren Sie mit dem nächsten Schritt fort. Geben Sie andernfalls Ihren Active Directory-Domänennamen ein, und wählen Sie Verzeichnis hinzufügen aus.

    Screenshot, der konfigurierte Domänen zeigt.

  12. Melden Sie sich mit Ihrem Active Directory-Domänenadministratorkonto an. Das Kennwort des Domänenadministratorkontos darf nicht abgelaufen sein. Wenn das Kennwort während der Agentinstallation abgelaufen ist oder sich ändert, konfigurieren Sie den Agent mit den neuen Anmeldeinformationen neu. Dadurch wird Ihr lokales Verzeichnis hinzugefügt. Wählen Sie OK aus, und wählen Sie dann Weiter aus, um fortzufahren.

  13. Klicken Sie auf Weiter, um fortzufahren.

  14. Wählen Sie auf dem Bildschirm Konfiguration abgeschlossen die Option Bestätigen aus. Damit wird der Agent registriert und neu gestartet.

    Screenshot, der den Abschlussbildschirm zeigt.

  15. Nach Abschluss des Vorgangs wird eine Benachrichtigung angezeigt, dass die Agentkonfiguration erfolgreich überprüft wurde. Wählen Sie Beenden aus. Wenn der Startbildschirm weiterhin angezeigt wird, wählen Sie Schließen aus.

Überprüfen der Agent-Installation

Die Agentüberprüfung erfolgt im Azure-Portal und auf dem lokalen Server, auf dem der Agent ausgeführt wird.

Überprüfen des Agents im Azure-Portal

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob die Microsoft Entra-ID den Agent registriert:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Wählen Sie Entra Connect und dann Cloud Sync aus.

    Screenshot des Bildschirms

  3. Klicken Sie auf der Seite "CloudSynchronisierung" auf "Agents", um die agents anzuzeigen, die Sie installiert haben. Überprüfen Sie, ob der Agent angezeigt wird und der Status aktiv ist.

Überprüfen des Agents auf dem lokalen Server

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Agent ausgeführt wird:

  1. Melden Sie sich beim Server mit einem Administratorkonto an.

  2. Gehen Sie zu Services. Sie können auch Start/Run/Services.msc verwenden, um darauf zuzugreifen.

  3. Stellen Sie unter "Dienste" sicher, dass microsoft Azure AD Connect Agent Updater und Microsoft Azure AD Connect Provisioning Agent vorhanden sind und dass der Status "Ausgeführt" ist.

    Screenshot, das die Windows-Dienste zeigt.

Überprüfen Sie die Version des Bereitstellungs-Agents

Führen Sie die folgenden Schritte aus, um die Version des ausgeführten Agents zu überprüfen:

  1. Wechseln Sie zu C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klicken Sie mit der rechten Maustaste auf AADConnectProvisioningAgent.exe , und wählen Sie "Eigenschaften" aus.
  3. Wählen Sie die Registerkarte Details aus. Die Versionsnummer wird neben der Produktversion angezeigt.

Konfigurieren der Microsoft Entra-Cloudsynchronisierung

Gehen Sie wie folgt vor, um die Bereitstellung zu konfigurieren:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.

  2. Navigieren Sie zur Entra ID>Entra Connect>Cloud-Synchronisierung.

    Screenshot der Startseite von Microsoft Entra Connect Cloud Sync.

  1. Wählen Sie Neue Konfiguration aus.
  2. Geben Sie auf dem Konfigurationsbildschirm eine E-Mail-Adresse für Benachrichtigungen ein, verschieben Sie den Selektor auf Aktivieren, und klicken Sie auf Speichern.
  3. Der Konfigurationsstatus sollte jetzt Fehlerfrei lauten.

Überprüfen, ob Benutzer erstellt wurden und die Synchronisierung erfolgt

Überprüfen Sie als Nächstes, ob die Benutzer, die in unserem lokalen Verzeichnis enthalten waren, synchronisiert wurden und jetzt in unserem Microsoft Entra-Mandanten vorhanden sind. Dieser Vorgang kann einige Stunden dauern. Gehen Sie wie folgt vor, um zu überprüfen, ob Benutzer synchronisiert werden:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Hybrididentitätsadministrator an.
  2. Navigieren Sie zu Entra ID>Benutzer.
  3. Überprüfen Sie, ob Sie die neuen Benutzer in unserem Mandanten sehen.

Testen Sie die Anmeldung mit einem unserer Benutzer

  1. Navigieren Sie zu https://myapps.microsoft.com.

  2. Melden Sie sich mit einem Benutzerkonto an, das im neuen Mandanten erstellt wurde. Sie müssen sich mit folgendem Format anmelden: (user@domain.onmicrosoft.com). Verwenden Sie dasselbe Kennwort, mit dem sich der Benutzer lokal anmeldet.

    Screenshot: Portal „Meine Apps“ mit einem angemeldeten Benutzer

Sie haben nun erfolgreich eine Hybrididentitätsumgebung eingerichtet, die Sie verwenden können, um Tests durchzuführen und sich mit den Möglichkeiten von Azure vertraut zu machen.

Nächste Schritte

  • Last updated on