Delen via

De Microsoft Entra-provisioneringsagent installeren

In dit artikel wordt u begeleid bij het installatieproces voor de Microsoft Entra-inrichtingsagent en leert u hoe u deze in eerste instantie configureert in het Microsoft Entra-beheercentrum.

Belangrijk

Bij de volgende installatie-instructies wordt ervan uitgegaan dat u aan alle vereisten hebt voldaan.

Notitie

Dit artikel gaat over het installeren van de provisioning-agent met behulp van de wizard. Zie De Microsoft Entra-inrichtingsagent installeren met behulp van een CLI voor informatie over het installeren van de Microsoft Entra-inrichtingsagent met behulp van een CLI en PowerShell.

Bekijk de volgende video voor meer informatie en een voorbeeld:

Door groep beheerde serviceaccounts

Een beheerd serviceaccount (gMSA) van een groep is een beheerd domeinaccount dat automatisch wachtwoordbeheer, vereenvoudigd SPN-beheer (Service Principal Name) en de mogelijkheid biedt om het beheer te delegeren aan andere beheerders. Een gMSA breidt deze functionaliteit ook uit over meerdere servers. Microsoft Entra Cloud Sync ondersteunt en raadt het gebruik van een gMSA aan voor het uitvoeren van de agent. Zie Groepsbeheerde serviceaccounts voor meer informatie.

Een bestaande agent bijwerken om de gMSA te gebruiken

Als u een bestaande agent wilt bijwerken voor het gebruik van het door de groep beheerde serviceaccount dat tijdens de installatie is gemaakt, voert u een upgrade uit van de agentservice naar de nieuwste versie door AADConnectProvisioningAgent.msi uit te voeren. Voer nu de installatiewizard opnieuw uit en geef de inloggegevens op om het account te maken wanneer daarom wordt gevraagd.

De agent installeren

Notitie

De Microsoft Entra-inrichtingsagent wordt standaard geïnstalleerd in de standaardomgeving van Azure.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

  2. Selecteer In het linkerdeelvenster Entra Connect en selecteer vervolgens CloudSynchronisatie.

    schermopname met het scherm Aan de slag.

  3. Selecteer in het linkerdeelvenster Agents.

  4. Selecteer on-premises agentdownloaden en selecteer vervolgens Voorwaarden accepteren &downloaden.

    schermopname van het downloaden van de agent.

  5. Nadat u het Microsoft Entra Connect Provisioning Agent Package hebt gedownload, voert u het AADConnectProvisioningAgentSetup.exe installatiebestand uit vanuit de downloadmap.

  6. Op het scherm dat wordt geopend, vink je het selectievakje Ik ga akkoord met de licentievoorwaarden aan en selecteer daarna Installeren.

    Schermopname van de licentievoorwaarden voor het Microsoft Entra Provisioning Agent Package.

  7. Nadat de installatie is voltooid, wordt de configuratiewizard geopend. Selecteer Volgende om de configuratie te starten.

    Schermopname van het welkomstscherm.

  8. Meld u aan met een account met ten minste de Hybride Identiteitsbeheerder-rol. Als u verbeterde beveiliging van Internet Explorer hebt ingeschakeld, wordt de aanmelding geblokkeerd. Sluit de installatie, schakel verbeterde beveiliging van Internet Explorer uit en start de installatie van het Microsoft Entra Provisioning Agent-pakket opnieuw.

    Schermopname van het Microsoft Entra ID-verbindingsscherm.

  9. Op het Configure Service Account-scherm, selecteer een groep beheerd serviceaccount (gMSA). Dit account wordt gebruikt om de agentservice uit te voeren. Als een beheerd serviceaccount al door een andere agent is geconfigureerd in uw domein en u een tweede agent installeert, selecteert u gMSA aanmaken. Het systeem detecteert het bestaande account en voegt de vereiste machtigingen voor de nieuwe agent toe om het gMSA-account te gebruiken. Wanneer u hierom wordt gevraagd, kiest u een van de volgende twee opties:

    • gMSA-maken: laat de agent het provAgentgMSA$ beheerde serviceaccount voor u maken. Het beheerde serviceaccount van de groep (bijvoorbeeld CONTOSO\provAgentgMSA$) wordt aangemaakt in hetzelfde Active Directory-domein waar de hostserver is toegevoegd. Als u deze optie wilt gebruiken, voert u de referenties van de Active Directory-domeinbeheerder in (aanbevolen).
    • Aangepaste gMSA-gebruiken: geef de naam op van het beheerde serviceaccount dat u handmatig voor deze taak hebt gemaakt.

    Schermopname van het configureren van het beheerde serviceaccount van de groep.

  10. Selecteer Volgende om door te gaan.

  11. Als uw domeinnaam wordt weergegeven onder Geconfigureerde domeinen, gaat u naar de volgende stap in het scherm Active Directory verbinden. Voer anders uw Active Directory-domeinnaam in en selecteer Directory toevoegen.

    Schermopname van geconfigureerde domeinen.

  12. Meld u aan met uw Active Directory-domeinbeheerdersaccount. Het domeinbeheerdersaccount mag geen verlopen wachtwoord hebben. Als het wachtwoord is verlopen of tijdens de installatie van de agent wordt gewijzigd, configureert u de agent opnieuw met de nieuwe referenties. Met deze bewerking wordt uw on-premises map toegevoegd. Selecteer OK-en selecteer vervolgens Volgende om door te gaan.

  13. Selecteer Volgende om door te gaan.

  14. Selecteer Bevestigen in het scherm Configuratie voltooid. Met deze bewerking wordt de agent geregistreerd en opnieuw gestart.

    Schermopname van het voltooiingsscherm.

  15. Nadat de bewerking is voltooid, ziet u een melding dat uw agentconfiguratie is geverifieerd. Selecteer Afsluiten. Als u het eerste scherm nog steeds krijgt, selecteert u Sluiten.

De installatie van de agent controleren

Agentverificatie vindt plaats in Azure Portal en op de lokale server waarop de agent wordt uitgevoerd.

De agent controleren in Azure Portal

Voer de volgende stappen uit om te controleren of de Microsoft Entra-id de agent registreert:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.

  2. Selecteer Entra Connect en selecteer vervolgens CloudSynchronisatie.

    schermopname met het scherm Aan de slag.

  3. Klik op de pagina Cloudsynchronisatie op Agents om de agents te zien die u hebt geïnstalleerd. Controleer of de agent wordt weergegeven en of de status actief is.

De agent op de lokale server controleren

Voer de volgende stappen uit om te controleren of de agent actief is.

  1. Meld u aan bij de server met een beheerdersaccount.

  2. Ga naar Services. U kunt ook Start/Run/Services.msc gebruiken om er toegang toe te krijgen.

  3. Controleer onder Services of Microsoft Azure AD Connect Agent Updater en Microsoft Azure AD Connect Provisioning Agent aanwezig zijn en of de status Wordt uitgevoerd.

    Schermopname van de Windows-services.

De versie van de provisioning agent verifiëren

Volg deze stappen om de versie van de agent die wordt uitgevoerd te verifiëren:

  1. Ga naar C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Klik met de rechtermuisknop op AADConnectProvisioningAgent.exe en selecteer eigenschappen.
  3. Selecteer het tabblad Details. Het versienummer wordt weergegeven naast de productversie.

Belangrijk

Nadat u de agent hebt geïnstalleerd, moet u deze configureren en inschakelen voordat gebruikers worden gesynchroniseerd. Zie Een nieuwe configuratie maken voor Microsoft Entra Cloud Sync als u een nieuwe agent wilt configureren.

Wachtwoord terugschrijven inschakelen in cloudsynchronisatie

U kunt wachtwoord terugschrijven inschakelen in SSPR rechtstreeks in de portal of via PowerShell.

Wachtwoord terugschrijven inschakelen in de portal

Om wachtwoordterugschrijven te gebruiken en de selfservice voor wachtwoordherstel (SSPR) in te schakelen om de cloudsync-agent te detecteren, voert u de volgende stappen uit:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een hybride identiteitsbeheerder.
  2. Blader naar Entra ID>wachtwoordherstel>on-premises integratie.
  3. Schakel de optie voor Wachtwoord terugschrijven inschakelen voor gesynchroniseerde gebruikers in.
  4. (optioneel) Als microsoft Entra Connect-inrichtingsagents worden gedetecteerd, kunt u ook de optie voor wachtwoord terugschrijven controleren met Microsoft Entra Cloud Sync.
  5. Selecteer de optie Gebruikers toestaan accounts te ontgrendelen zonder hun wachtwoord te resetten op Ja.
  6. Selecteer Opslaan wanneer u klaar bent.

PowerShell gebruiken

Als u wachtwoord terugschrijven wilt gebruiken en de selfservice wachtwoordreset (SSPR) wilt inschakelen om de cloudsynchronisatieagent te detecteren, gebruikt u de Set-AADCloudSyncPasswordWritebackConfiguration cmdlet en de Global Administrator-referenties van de tenant:

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

Voor meer informatie over het gebruik van wachtwoord terugschrijven met Microsoft Entra Cloud Sync, zie Zelfstudie: Selfservice voor wachtwoordreset bij cloudsynchronisatie inschakelen voor terugschrijven naar een on-premises omgeving.

Wachtwoord-hash-synchronisatie en FIPS met cloudsynchronisatie

Als uw server is vergrendeld volgens de Federal Information Processing Standard (FIPS), is MD5 (message-digest algorithm 5) uitgeschakeld.

Ga als volgt te werk om MD5 in te schakelen voor wachtwoord-hashsynchronisatie:

  1. Ga naar %programfiles%\Microsoft Azure AD Connect Voorzieningsagent.
  2. Open AADConnectProvisioningAgent.exe.config.
  3. Ga naar het configuratie-/runtime-knooppunt boven aan het bestand.
  4. Voeg het <enforceFIPSPolicy enabled="false"/> knooppunt toe.
  5. Sla uw wijzigingen op.

Ter referentie moet uw code eruitzien als het volgende codefragment:

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

Zie Microsoft Entra wachtwoordhashsynchronisatie, versleuteling en FIPS-naleving voor informatie over beveiliging en FIPS.

Volgende stappen

  • Last updated on