Installer l’agent de provisionnement Microsoft Entra

Cet article vous guide tout au long du processus d’installation de l’agent de provisionnement Microsoft Entra et explique comment le configurer initialement dans le centre d’administration Microsoft Entra.

Pour plus d’informations et voir un exemple, regardez la vidéo suivante :

Comptes de service gérés par groupe

Un compte de service managé de groupe (gMSA) est un compte de domaine managé qui fournit la gestion automatique des mots de passe, la gestion simplifiée du nom de principal du service (SPN) et la possibilité de déléguer la gestion à d’autres administrateurs. Un compte gMSA étend également cette fonctionnalité sur plusieurs serveurs. Microsoft Entra Cloud Sync prend en charge et recommande l’utilisation d’un compte gMSA pour l’exécution de l’agent. Pour plus d’informations, consultez Comptes de service administrés de groupe.

Mettre à jour un agent existant pour utiliser un gMSA

Pour mettre à jour un agent existant afin d’utiliser le compte gMSA créé pendant l’installation, mettez à niveau le service de l’agent avec la dernière version en exécutant AADConnectProvisioningAgent.msi. À présent, réexécutez l’Assistant d’installation et fournissez les informations d’identification pour créer le compte lorsque vous y êtes invité.

Installer l’agent

1. Dans le portail Azure, sélectionnez Microsoft Entra ID.

2. Dans le volet gauche, sélectionnez Microsoft Entra Connect, puis Cloud Sync.

   

3. Dans le volet gauche, sélectionnez Agents.

4. Sélectionnez Télécharger l’agent local, puis sélectionnez Accepter les termes & téléchargement.

   

5. Après avoir téléchargé le package de l’agent d’approvisionnement Microsoft Entra Connect, exécutez le fichier d’installation AADConnectProvisioningAgentSetup.exe à partir de votre dossier de téléchargements.

6. Dans l’écran qui s’ouvre, cochez la case Je suis d’accord avec les termes et conditions du contrat de licence , puis sélectionnez Installer.

   

7. Une fois l’installation terminée, l’Assistant Configuration s’ouvre. Sélectionnez Suivant pour démarrer la configuration.

   

8. Connectez-vous avec un compte avec au moins le rôle d’administrateur d’identité hybride . Si vous avez la sécurité renforcée d’Internet Explorer activée, la connexion est bloquée. Si c’est le cas, fermez l’installation, désactivez la sécurité renforcée d’Internet Explorer et redémarrez l’installation du package microsoft Entra Provisioning Agent.

   

9. Dans l’écran Configurer le compte de service, sélectionnez un compte de service administré de groupe (gMSA). Ce compte est utilisé pour exécuter le service d’agent. Si un compte de service géré est déjà configuré dans votre domaine par un autre agent et que vous installez un deuxième agent, sélectionnez Créer un compte gMSA. Le système détecte le compte existant et ajoute les autorisations requises pour le nouvel agent afin d’utiliser le compte gMSA. Lorsque vous y êtes invité, choisissez l’une des deux options suivantes :

   • Créez gMSA : Laissez l’agent créer le compte de service managé provAgentgMSA$ pour vous. Le compte de service géré de groupe (par exemple) CONTOSO\provAgentgMSA$est créé dans le même domaine Active Directory que celui auquel le serveur hôte est joint. Pour utiliser cette option, entrez les informations d’identification de l’administrateur de domaine Active Directory (recommandé).
   • Utilisez gMSA personnalisé : indiquez le nom du compte de service géré que vous avez créé manuellement pour cette tâche.

   

10. Pour continuer, sélectionnez suivant.

11. Dans l’écran Connecter Active Directory, si votre nom de domaine apparaît sous Domaines configurés, passez à l’étape suivante. Sinon, entrez votre nom de domaine Active Directory, puis sélectionnez Ajouter un répertoire.

    

12. Ensuite, connectez-vous avec votre compte d’administrateur de domaine Active Directory. Le mot de passe du compte d’administrateur de domaine ne doit pas avoir expiré. Si le mot de passe a expiré ou change pendant l’installation de l’agent, reconfigurez l’agent avec les nouvelles informations d’identification. Cette opération ajoute votre répertoire local. Sélectionnez OK, puis sélectionnez Suivant pour continuer.

13. Sélectionnez Suivant pour continuer.

14. Dans l’écran Configuration terminée, cliquez sur Confirmer. Cette opération inscrit et redémarre l’agent.

    

15. Une fois l’opération terminée, vous voyez une notification indiquant que la configuration de votre agent a été correctement vérifiée. Sélectionnez Quitter. Si vous obtenez toujours l’écran initial, sélectionnez Fermer.

Vérifier l’installation de l’agent

La vérification de l’agent se produit dans le portail Azure et sur le serveur local qui exécute l’agent.

Vérifier l’agent dans le portail Azure

Pour vérifier que l’ID Microsoft Entra inscrit l’agent, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Sélectionnez Microsoft Entra ID.

3. Sélectionnez Microsoft Entra Connect, puis sélectionnez Synchronisation cloud.

   

4. Dans la page Cloud Sync , vous voyez les agents que vous avez installés. Vérifiez que l’agent apparaît et que son état est Sain.

Vérifier l’agent sur le serveur local

Pour vérifier que l’agent est en cours d’exécution, procédez comme suit :

1. Connectez-vous au serveur avec un compte Administrateur.

2. Accédez à Services. Vous pouvez également utiliser Start/Run/Services.msc pour y accéder.

3. Sous Services, vérifiez que Microsoft Entra Connect Agent Updater et Microsoft Entra Connect Provisioning Agent sont présents et que l’état est en cours d’exécution.

   

Vérifier la version de l’agent d’approvisionnement

Pour vérifier la version de l’agent en cours d’exécution, suivez les étapes suivantes :

1. Accédez à C :\Program Files\Microsoft Azure AD Connect Provisioning Agent.
2. Cliquez avec le bouton droit surAADConnectProvisioningAgent.exe et sélectionnez Propriétés.
3. Sélectionnez l’onglet Détails . Le numéro de version apparaît en regard de la version du produit.

Activer la réécriture du mot de passe dans la synchronisation cloud

Vous pouvez activer la réécriture du mot de passe dans SSPR directement dans le portail ou via PowerShell.

Activer la réécriture du mot de passe dans le portail

Pour utiliser la réécriture du mot de passe et activer le service de réinitialisation de mot de passe en libre-service (SSPR) afin de détecter l’agent de synchronisation cloud, à l’aide du portail, procédez comme suit :

1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu'administrateur d'identité hybride.
2. Accédez à Entra ID>Réinitialisation du mot de passe>Intégration sur site.
3. Cocher l’option Activer la mettre à jour du mot de passe pour les utilisateurs synchronisés.
4. (facultatif) Si des agents de provisionnement Microsoft Entra Connect sont détectés, vous pouvez également choisir d’activer l’option Réécrire les mots de passe avec la synchronisation cloud de Microsoft Entra.
5. Activez l’option Autoriser les utilisateurs à déverrouiller les comptes sans réinitialiser leur mot de passe.
6. Quand vous êtes prêt, sélectionnez Enregistrer.

Utilisation de PowerShell

Pour utiliser la réécriture du mot de passe et activer le service de réinitialisation de mot de passe en libre-service (SSPR) pour détecter l’agent de synchronisation cloud, utilisez l’applet de commande Set-AADCloudSyncPasswordWritebackConfiguration et les informations d’identification de l’Administrateur général du locataire :

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Si vous souhaitez en savoir plus sur l’utilisation de la réécriture de mot de passe avec Microsoft Entra Cloud Sync, veuillez consulter la rubrique Tutoriel : Activer l’écriture différée de réinitialisation de mot de passe en libre-service de synchronisation cloud dans un environnement local.

Synchronisation de hachage du mot de passe et de FIPS avec le cloud

Si votre serveur a été verrouillé selon la norme FIPS (Federal Information Processing Standard), MD5 (message-digest algorithm 5) est désactivé.

Pour activer MD5 pour la synchronisation de hachage de mot de passe, procédez comme suit :

1. Accédez à %programfiles%\Microsoft Azure AD Connect Provisioning Agent.
2. Ouvrez AADConnectProvisioningAgent.exe.config.
3. Accédez au nœud configuration/runtime en haut du fichier.
4. Ajoutez le nœud <enforceFIPSPolicy enabled="false"/>.
5. Enregistrez vos modifications.

Pour référence, votre code devrait se présenter comme l’extrait suivant :

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Pour plus d’informations sur la sécurité et FIPS, voir Synchronisation, chiffrement et conformité à la norme FIPS du hachage de mot de passe Microsoft Entra.

Étapes suivantes

• Qu'est-ce que le provisionnement ?
• Qu’est-ce que Microsoft Entra Cloud Sync ?
• Créer une nouvelle configuration pour la synchronisation cloud Microsoft Entra.