安裝 Microsoft Entra 佈建代理程式

本文會逐步引導您完成 Microsoft Entra 佈建代理程式的安裝流程，以及如何在 Microsoft Entra 系統管理中心進行初始設定。

如需詳細資訊和範例，請觀看下列影片：

群組受管理的服務帳戶

群組受管理的服務帳戶 (gMSA) 是受控網域帳戶，可提供自動密碼管理、簡化的服務主體名稱 (SPN) 管理，以及將管理委派給其他管理員的能力。 gMSA 也會將此功能擴充至多部伺服器。 Microsoft Entra 雲端同步支援並建議使用 gMSA 來執行代理程式。 如需相關資訊，請參閱 群組受管理的服務帳戶。

更新現有的代理程式以使用 gMSA

若要更新現有的代理程式以使用在安裝期間建立的群組受管理的服務帳戶，請執行 AADConnectProvisioningAgent.msi，將代理程式服務更新至最新版本。 現在再次執行安裝精靈，並在系統提示時提供建立帳戶的憑證。

安裝代理程式

1. 以不低於 [混合式身分識別管理員] 的身分登入 [Microsoft Entra 系統管理中心]。

2. 在左窗格中，選取 [Entra Connect]，然後選取 [雲端同步]。

   

3. 在左窗格中，選取 [ 代理程式]。

4. 選取 [下載內部部署代理程式]，然後選取 [ 接受條款及下載]。

   

5. 下載 Microsoft Entra Connect 布建代理程式套件之後，請從下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。

6. 在開啟的畫面上，選取 [我同意授權條款及條件 ] 複選框，然後選取 [ 安裝]。

   

7. 安裝完成之後，組態精靈隨即開啟。 選取 [下一步] 開始進行設定。

   

8. 使用至少具有 混合式身分識別系統管理員 角色的帳戶登入。 若已啟用 Internet Explorer 增強式安全性，系統會封鎖登入。 如果是，請關閉安裝、 停用 Internet Explorer 增強安全性，然後重新啟動 Microsoft Entra 布建代理程式套件安裝。

   

9. 在 [設定服務帳戶] 畫面上，選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受控服務帳戶已由另一個代理程式在您的網域中設定，而且您正在安裝第二個代理程式，請選取 [建立 gMSA]。 系統會偵測現有的帳戶，並新增新代理程式使用 gMSA 帳戶所需的許可權。 出現提示時，請選擇下列兩個選項之一：

   • 建立 gMSA：讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶 （例如， CONTOSO\provAgentgMSA$） 是在主伺服器加入所在的相同 Active Directory 網域中建立的。 若要使用此選項，請輸入 Active Directory 網域系統管理員認證 (建議使用)。
   • 使用自訂 gMSA：提供您為這項工作手動建立的受控服務帳戶名稱。

   

10. 若要繼續，請選取 [下一步]。

11. 在 [連線 Active Directory] 畫面上，如果您的網域名稱出現在 [設定的網域] 下，請跳至下一個步驟。 否則，請輸入您的 Active Directory 功能變數名稱，然後選取 [新增目錄]。

    

12. 使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝期間過期或變更，請使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定]，然後選取 [ 下一步 ] 繼續。

13. 選取下一步以繼續。

14. 在 [設定完成] 畫面上，選取 [確認]。 此操作會註冊並重新啟動代理程式。

    

15. 作業完成之後，您會看到代理程式設定已成功驗證的通知。 選擇結束。 如果您仍然取得初始畫面，請選取 [關閉]。

驗證代理程式安裝

代理程式驗證會在 Azure 入口網站和執行代理程式的本地伺服器上發生。

在 Azure 入口網站中確認代理程式

若要確認Microsoft Entra ID 註冊代理程式，請遵循下列步驟：

1. 以不低於 [混合式身分識別管理員] 的身分登入 [Microsoft Entra 系統管理中心]。

2. 選取 [Entra Connect]，然後選取 [雲端同步]。

   

3. 在 Cloud Sync 頁面上，按一下 代理程式 以查看您安裝的代理程式。 確認代理程式已顯示，且狀態是否為 作用中。

確認本地伺服器上的代理程式

若要確認代理程式正在執行，請遵循下列步驟：

1. 使用管理員帳戶登入伺服器。

2. 移至 Services。 您也可以使用 Start/Run/Services.msc 來取得它。

3. 在 [ 服務] 底下，確定 Microsoft Azure AD Connect 代理程式更新程式 和 Microsoft Azure AD Connect 佈建代理程式 存在，且狀態為 [執行中]。

   

確認佈建代理程式版本

若要確認執行中的代理程式版本，請遵循下列步驟：

1. 移至 C：\Program Files\Microsoft Azure AD Connect 布建代理程式。
2. 以滑鼠右鍵按下 AADConnectProvisioningAgent.exe，然後選取 [屬性]。
3. 選取 [詳細數據] 索引標籤。版本號碼會出現在產品版本旁邊。

在雲端同步中啟用密碼回寫

您可以直接在入口網站或透過 PowerShell 在 SSPR 中啟用密碼回寫。

在入口網站中啟用密碼回寫

若要使用 [密碼回寫] 並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式，請使用入口網站，完成下列步驟：

1. 以不低於 [混合式身分識別管理員] 的身分登入 [Microsoft Entra 系統管理中心]。
2. 流覽到 Entra ID>密碼重置>本地集成。
3. 選取 [為同步使用者啟用密碼回寫] 選項。
4. (選用) 如果偵測到 Microsoft Entra Connect 佈建代理程式，您可以另外勾選 [使用 Microsoft Entra 雲端同步寫回密碼] 選項。
5. 將 [允許使用者在不重設密碼的情況下解除鎖定帳戶] 的選項核取為 [是]。
6. 在準備就緒時，選取 [儲存]。

使用 PowerShell

若要使用 [密碼回寫] 並啟用自助式密碼重設 (SSPR) 服務來偵測雲端同步代理程式，請使用 Set-AADCloudSyncPasswordWritebackConfiguration Cmdlet 和租用戶的全域管理員認證：

 Import-Module "C:\\Program Files\\Microsoft Azure AD Connect Provisioning Agent\\Microsoft.CloudSync.Powershell.dll" 
 Set-AADCloudSyncPasswordWritebackConfiguration -Enable $true -Credential $(Get-Credential)

如需有關使用 Microsoft Entra Cloud Sync 進行密碼回寫的詳細資訊，請參閱教學課程：啟用雲端同步自助式密碼重設回寫至內部部署環境。

密碼哈希同步與支援雲端同步的 FIPS

如果您的伺服器已依據美國聯邦資訊處理標準 (FIPS) 被鎖定，則 MD5（訊息摘要演算法 5）會停用。

若要為密碼雜湊同步處理啟用 MD5，請執行下列步驟：

1. 移至 %programfiles%\Microsoft Azure AD Connect Provisioning Agent。
2. 開啟 [AADConnectProvisioningAgent.exe.config]。
3. 移至檔案頂端的 configuration/runtime 節點。
4. 新增 <enforceFIPSPolicy enabled="false"/> 節點。
5. 儲存您的變更。

作為參考，您的程式碼看起來應該如下列程式碼片段所示：

<configuration>
   <runtime>
      <enforceFIPSPolicy enabled="false"/>
   </runtime>
</configuration>

如需安全性和 FIPS 的詳細資訊，請參閱 Microsoft Entra 密碼雜湊同步、加密和 FIPS 合規性。

下一步

• 什麼是配置？
• 什麼是 Microsoft Entra 雲端同步？
• 建立 Microsoft Entra 雲端同步的新設定。