Udostępnij przez

Poradnik: integracja pojedynczego lasu z jednym dzierżawcą Microsoft Entra

Ten samouczek przeprowadzi Cię przez proces tworzenia środowiska tożsamości hybrydowej przy użyciu usługi Microsoft Entra Cloud Sync.

Diagram przedstawiający przepływ usługi Microsoft Entra Cloud Sync.

Możesz użyć środowiska utworzonego w tym samouczku na potrzeby testowania lub zapoznania się z synchronizacją w chmurze.

Wymagania wstępne

W centrum administracyjnym Microsoft Entra

  • Firma Microsoft zaleca, aby organizacje miały dwa konta dostępu awaryjnego tylko w chmurze, które zostały trwale przypisane roli administratora globalnego. Te konta są wysoce uprzywilejowane i nie są przypisane do określonych osób. Konta są ograniczone do scenariuszy awaryjnych lub nagłych, w których nie można używać zwykłych kont lub wszyscy inni administratorzy są przypadkowo zablokowani. Te konta należy utworzyć zgodnie z zaleceniami dotyczącymi kont awaryjnego dostępu .
  • Dodaj jedną lub więcej nazw niestandardowych domen do swojej dzierżawy Microsoft Entra. Użytkownicy mogą zalogować się przy użyciu jednej z tych nazw domen.

W twoim środowisku lokalnym

  1. Zidentyfikuj serwer hosta przyłączony do domeny, działający na systemie Windows Server 2016 lub nowszym, z co najmniej 4 GB pamięci RAM i środowiskiem uruchomieniowym .NET 4.7.1 lub nowszym.

  2. Jeśli między serwerami a usługą identyfikatora Microsoft Entra znajduje się zapora, skonfiguruj następujące elementy:

    • Upewnij się, że agenci mogą wysyłać żądania wychodzące do identyfikatora Entra firmy Microsoft na następujących portach:

      Numer portu Zastosowanie
      80 Pobiera listy odwołania certyfikatów (CRL) podczas weryfikowania certyfikatu TLS/SSL
      443 Zarządzanie wszystką komunikacją wychodzącą z usługą
      8080 (opcjonalnie) Agenci zgłaszają swój stan co 10 minut przez port 8080, jeśli port 443 jest niedostępny. Ten stan jest wyświetlany w portalu.

      Jeśli reguły zapory są stosowane w zależności od użytkowników generujących ruch, otwórz te porty dla ruchu przychodzącego z usług systemu Windows działających jako usługi sieciowe.

    • Jeśli zapora lub serwer proxy umożliwia określenie bezpiecznych sufiksów, dodaj połączenia do *.msappproxy.net i *.servicebus.windows.net. Jeśli nie, zezwól na dostęp do zakresów adresów IP centrum danych platformy Azure, które są aktualizowane co tydzień.

    • Agenci muszą mieć dostęp do login.windows.net i login.microsoftonline.com na potrzeby rejestracji początkowej. Otwórz zaporę także dla tych adresów URL.

    • W celu weryfikacji certyfikatu odblokuj następujące adresy URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 i www.microsoft.com:80. Ponieważ te adresy URL są używane do weryfikacji certyfikatów z innymi produktami firmy Microsoft, te adresy URL mogą już zostać odblokowane.

Zainstaluj agenta aprowizacji Microsoft Entra

Jeśli używasz samouczka Podstawowe środowisko AD i Azure, to będzie DC1. Aby zainstalować agenta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. W okienku po lewej stronie wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. W okienku po lewej stronie wybierz pozycję Agenci.

  4. Wybierz opcję Pobierz agenta lokalnego, a następnie wybierz opcję Zaakceptuj warunki oraz pobierz.

    Zrzut ekranu przedstawiający pobieranie agenta.

  5. Po pobraniu pakietu agenta aprowizowania Microsoft Entra Connect uruchom plik instalacyjny AADConnectProvisioningAgentSetup.exe z folderu Pobrane.

  6. Na wyświetlonym ekranie zaznacz pole wyboru Wyrażam zgodę na postanowienia licencyjne, a następnie wybierz pozycję Zainstaluj.

    Zrzut ekranu przedstawiający postanowienia licencyjne pakietu Microsoft Entra Provisioning Agent.

  7. Po zakończeniu instalacji kreator konfiguracji zostanie otwarty. Wybierz przycisk Dalej , aby rozpocząć konfigurację.

    Zrzut ekranu przedstawiający ekran powitalny.

  8. Zaloguj się przy użyciu konta z co najmniej rolą Administrator tożsamości hybrydowej. Jeśli włączono ulepszone zabezpieczenia programu Internet Explorer, blokuje logowanie. Jeśli tak, zamknij instalację, wyłącz rozszerzone zabezpieczenia programu Internet Explorer i uruchom ponownie instalację pakietu agenta microsoft Entra Provisioning Agent.

    Zrzut ekranu przedstawiający ekran Connect Microsoft Entra ID.

  9. Na ekranie Konfigurowanie konta usługi wybierz konto usługi zarządzane przez grupę (gMSA). To konto służy do uruchamiania usługi agenta. Jeśli konto usługi zarządzanej jest już skonfigurowane w domenie przez innego agenta i instalujesz drugiego agenta, wybierz Utwórz konto usługi gMSA. System wykrywa istniejące konto i dodaje wymagane uprawnienia dla nowego agenta do korzystania z konta usługi gMSA. Po wyświetleniu monitu wybierz jedną z dwóch opcji:

    • Utwórz gMSA: Pozwól agentowi stworzyć provAgentgMSA$ konto zarządzanej usługi dla Ciebie. Konto usługi zarządzane przez grupę (na przykład CONTOSO\provAgentgMSA$) jest tworzone w tej samej domenie usługi Active Directory, w której jest przyłączony serwer hosta. Aby użyć tej opcji, wprowadź poświadczenia administratora domeny usługi Active Directory (zalecane).
    • Użyj niestandardowego gMSA: Należy podać nazwę zarządzanego konta usługi utworzonego ręcznie dla tego zadania.

    Zrzut ekranu przedstawiający sposób konfigurowania konta usługi zarządzanej przez grupę.

  10. Aby kontynuować, kliknij przycisk Dalej.

  11. Na ekranie Łączenie usługi Active Directory , jeśli nazwa domeny jest wyświetlana w obszarze Skonfigurowane domeny, przejdź do następnego kroku. W przeciwnym razie wprowadź nazwę domeny usługi Active Directory i wybierz pozycję Dodaj katalog.

    Zrzut ekranu przedstawiający skonfigurowane domeny.

  12. Zaloguj się przy użyciu konta administratora domeny usługi Active Directory. Konto administratora domeny nie powinno mieć wygasłego hasła. Jeśli hasło wygasło lub zmienia się podczas instalacji agenta, skonfiguruj ponownie agenta przy użyciu nowych poświadczeń. Ta operacja dodaje lokalny katalog. Wybierz OK, a następnie wybierz Dalej, aby kontynuować.

  13. Wybierz przycisk Dalej, aby kontynuować.

  14. Na ekranie Konfiguracja ukończona wybierz pozycję Potwierdź. Operacja ta rejestruje agenta i uruchamia go ponownie.

    Zrzut ekranu przedstawiający ekran zakończenia.

  15. Po zakończeniu operacji zostanie wyświetlone powiadomienie o pomyślnym zweryfikowaniu konfiguracji agenta. Wybierz pozycję Zakończ. Jeśli ekran początkowy nadal jest wyświetlany, wybierz pozycję Zamknij.

Weryfikowanie instalacji agenta

Weryfikacja agenta odbywa się w witrynie Azure Portal i na serwerze lokalnym z uruchomionym agentem.

Zweryfikuj agenta w portalu Azure

Aby sprawdzić, czy identyfikator Entra firmy Microsoft rejestruje agenta, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Wybierz pozycję Entra Connect, a następnie wybierz pozycję Synchronizacja w chmurze.

    Zrzut ekranu przedstawiający ekran rozpoczęcia.

  3. Na stronie Synchronizacja w chmurze kliknij pozycję Agenci , aby wyświetlić zainstalowanych agentów. Sprawdź, czy agent jest wyświetlany i czy stan jest aktywny.

Weryfikowanie agenta na serwerze lokalnym

Aby sprawdzić, czy agent jest uruchomiony, wykonaj następujące kroki:

  1. Zaloguj się na serwerze przy użyciu konta administratora.

  2. Przejdź do Services. Możesz również użyć Start/Run/Services.msc, aby uzyskać do niego dostęp.

  3. W obszarze Usługi upewnij się, że Microsoft Azure AD Connect Agent Updater i Agent aprowizacji Microsoft Azure AD Connect są obecne i że ich stan to Uruchomiony.

    Zrzut ekranu przedstawiający usługi systemu Windows.

Zweryfikuj wersję agenta aprowizacji

Aby sprawdzić wersję uruchomionego agenta, wykonaj następujące kroki:

  1. Przejdź do C:\Program Files\Microsoft Azure AD Connect Provisioning Agent.
  2. Kliknij prawym przyciskiem myszy AADConnectProvisioningAgent.exe i wybierz pozycję właściwości .
  3. Wybierz kartę Szczegóły. Numer wersji jest wyświetlany obok wersji produktu.

Konfigurowanie usługi Microsoft Entra Cloud Sync

Wykonaj następujące kroki, aby skonfigurować i uruchomić aprowizację:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.

  2. Przejdź do Entra ID>Entra Connect>Synchronizacja z chmurą.

    Zrzut ekranu przedstawiający stronę główną usługi Microsoft Entra Connect Cloud Sync.

  1. Wybierz Nowa konfiguracja>Synchronizacja AD z identyfikatorem Microsoft Entra ID.
  2. Wybierz domenę, którą chcesz zsynchronizować, a następnie wybierz pozycję Utwórz.

Aby uzyskać więcej informacji na temat konfigurowania usługi Microsoft Entra Cloud Sync, zobacz Provision Active Directory do Microsoft Entra ID (Konfiguracja Active Directory w Microsoft Entra ID).

Zweryfikuj, czy użytkownicy są utworzeni i czy synchronizacja jest przeprowadzana

Teraz zweryfikujesz, czy ci użytkownicy, których miałeś w swoim katalogu lokalnym i którzy zostali wybrani do synchronizacji, zostali zsynchronizowani i teraz istnieją w dzierżawie Microsoft Entra. Ukończenie operacji synchronizacji może potrwać kilka godzin. Aby sprawdzić, czy użytkownicy są zsynchronizowani, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej administrator tożsamości hybrydowej.
  2. Przejdź do pozycji Entra ID>Użytkownicy.
  3. Sprawdź, czy nowi użytkownicy są widoczni w dzierżawie

Testuj logowanie za pomocą jednego ze swoich użytkowników

  1. Przejdź do https://myapps.microsoft.com

  2. Zaloguj się przy użyciu konta użytkownika utworzonego w Twojej dzierżawie. Musisz zalogować się przy użyciu następującego formatu: (user@domain.onmicrosoft.com). Użyj tego samego hasła, za pomocą którego użytkownik loguje się lokalnie.

Zrzut ekranu przedstawiający portal moje aplikacje z zalogowanymi użytkownikami.

Teraz pomyślnie skonfigurowano środowisko tożsamości hybrydowej przy użyciu usługi Microsoft Entra Cloud Sync.

Następne kroki

  • Last updated on