本教學課程將逐步引導您將雲端同步新增至現有的混合式身分識別環境。
您可以將本教學課程中建立的環境用於測試,或進一步熟悉混合式身分識別的運作方式。
在此案例中,現有的目錄會透過 Microsoft Entra Connect Sync 同步至 Microsoft Entra 租戶。 你有一個新樹系,想要同步到相同的 Microsoft Entra 租用戶。 您將為新樹系設定雲端同步。
必要條件
在 Microsoft Entra 系統管理中心
- 在 Microsoft Entra 租用戶上建立雲端專屬的混合式身分識別管理員帳戶。 如此一來,若是內部部署服務失效或無法使用,您便可以管理租用戶的設定。 了解如何新增僅限雲端的混合式身分識別系統管理員帳戶。 完成此步驟以確保您不會遭租用戶帳戶鎖定。
- 將一或多個自訂網域名稱新增至 Microsoft Entra 租用戶。 您的使用者可以使用其中一個網域名稱登入。
在您的內部部署環境中
識別已加入網域、執行 Windows Server 2012 R2 或更新版本,且至少有 4 GB RAM 和 .NET 4.7.1+ 執行階段的主機伺服器
如果伺服器與 Microsoft Entra ID 之間有防火牆,請設定下列項目:
確定代理程式可透過下列連接埠對 Microsoft Entra ID 提出輸出要求:
連接埠號碼 使用方式 80 驗證 TLS/SSL 憑證時下載憑證撤銷清單 (CRL) 443 處理所有與服務之間的對外通訊 8080 (選擇性) 如果無法使用連接埠 443,則代理程式會透過連接埠 8080 每 10 分鐘報告其狀態一次。 此狀態會顯示在入口網站上。 如果您的防火牆會根據原始使用者強制執行規則,請開啟這些連接埠,讓來自以網路服務形式執行之 Windows 服務的流量得以通行。
如果您的防火牆或 Proxy 允許您指定安全尾碼,請將連線新增至 *.msappproxy.net 和 *.servicebus.windows.net。 如果否則,請允許存取每週更新的 Azure 資料中心 IP 範圍。
您的代理程式必須可存取 login.windows.net 與 login.microsoftonline.com,才能進行初始註冊。 因此也請針對這些 URL 開啟您的防火牆。
為了驗證憑證,請解除封鎖以下 URL:mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 由於這些 URL 會用於其他 Microsoft 產品的憑證驗證,因此您可能已將這些 URL 解除封鎖。
安裝 Microsoft Entra 佈建代理程式
如果您正在使用基本 AD 和 Azure 環境教學課程,那麼應為 DC1。 若要安裝代理程式,請遵循下列步驟:
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
在左窗格中,選取 [Entra Connect],然後選取 [雲端同步]。
![顯示 [開始使用] 畫面的螢幕快照。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png)
在左窗格中,選取 [ 代理程式]。
選取 [下載內部部署代理程式],然後選取 [ 接受條款及下載]。
下載 Microsoft Entra Connect 布建代理程式套件之後,請從下載資料夾執行 AADConnectProvisioningAgentSetup.exe 安裝檔案。
在開啟的畫面上,選取 [我同意授權條款及條件 ] 複選框,然後選取 [ 安裝]。
安裝完成之後,組態精靈隨即開啟。 選取 [下一步] 開始進行設定。
使用至少具有 混合式身分識別系統管理員 角色的帳戶登入。 若已啟用 Internet Explorer 增強式安全性,系統會封鎖登入。 如果是,請關閉安裝、 停用 Internet Explorer 增強安全性,然後重新啟動 Microsoft Entra 布建代理程式套件安裝。
![顯示 [連接 Microsoft Entra ID] 介面的螢幕截圖。](../../../includes/media/entra-cloud-sync-how-to-install/username.png)
在 [設定服務帳戶] 畫面上,選取群組受控服務帳戶 (gMSA)。 此帳戶可用來執行代理程式服務。 如果受控服務帳戶已由另一個代理程式在您的網域中設定,而且您正在安裝第二個代理程式,請選取 [建立 gMSA]。 系統會偵測現有的帳戶,並新增新代理程式使用 gMSA 帳戶所需的許可權。 出現提示時,請選擇下列兩個選項之一:
-
建立 gMSA:讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶 (例如,
CONTOSO\provAgentgMSA$) 是在主伺服器加入所在的相同 Active Directory 網域中建立的。 若要使用此選項,請輸入 Active Directory 網域系統管理員認證 (建議使用)。 - 使用自訂 gMSA:提供您為這項工作手動建立的受控服務帳戶名稱。
-
建立 gMSA:讓代理程式為您建立 provAgentgMSA$ 受控服務帳戶。 群組受控服務帳戶 (例如,
若要繼續,請選取 [下一步]。
在 [連線 Active Directory] 畫面上,如果您的網域名稱出現在 [設定的網域] 下,請跳至下一個步驟。 否則,請輸入您的 Active Directory 功能變數名稱,然後選取 [新增目錄]。
使用您的 Active Directory 網域系統管理員帳戶登入。 網域系統管理員帳戶應該不會有過期密碼。 如果密碼在代理程式安裝期間過期或變更,請使用新的認證重新設定代理程式。 此作業會新增您的內部部署目錄。 選取 [確定],然後選取 [ 下一步 ] 繼續。
選取下一步以繼續。
在 [設定完成] 畫面上,選取 [確認]。 此操作會註冊並重新啟動代理程式。
作業完成之後,您會看到代理程式設定已成功驗證的通知。 選擇結束。 如果您仍然取得初始畫面,請選取 [關閉]。
![顯示 [開始使用] 畫面的螢幕快照。](../../../includes/media/entra-cloud-sync-how-to-install/new-ux-1.png#lightbox)
![顯示 [連接 Microsoft Entra ID] 介面的螢幕截圖。](../../../includes/media/entra-cloud-sync-how-to-install/username.png#lightbox)
驗證代理程式安裝
代理程式驗證會在 Azure 入口網站和執行代理程式的本地伺服器上發生。
在 Azure 入口網站中確認代理程式
若要確認Microsoft Entra ID 註冊代理程式,請遵循下列步驟:
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
選取 [Entra Connect],然後選取 [雲端同步]。
在 Cloud Sync 頁面上,按一下 代理程式 以查看您安裝的代理程式。 確認代理程式已顯示,且狀態是否為 作用中。
確認本地伺服器上的代理程式
若要確認代理程式正在執行,請遵循下列步驟:
使用管理員帳戶登入伺服器。
移至 Services。 您也可以使用 Start/Run/Services.msc 來取得它。
在 [ 服務] 底下,確定 Microsoft Azure AD Connect 代理程式更新程式 和 Microsoft Azure AD Connect 佈建代理程式 存在,且狀態為 [執行中]。
確認佈建代理程式版本
若要確認執行中的代理程式版本,請遵循下列步驟:
- 移至 C:\Program Files\Microsoft Azure AD Connect 布建代理程式。
- 以滑鼠右鍵按下 AADConnectProvisioningAgent.exe,然後選取 [屬性]。
- 選取 [詳細數據] 索引標籤。版本號碼會出現在產品版本旁邊。
設定 Microsoft Entra 雲端同步
使用下列步驟來設定佈建:
至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
流覽至 Entra ID>Entra Connect>Cloud sync。
- 選擇新增設定
- 在 [設定] 畫面上輸入通知電子郵件,將選取器移至 [啟用],並選取 [儲存]。
- 設定狀態此時應顯示為 [狀況良好]。
確認已建立使用者且已進行同步
現在,您將確認內部部署的目錄中的使用者已同步,並且現已存在於 Microsoft Entra 租用戶中。 此程序可能需要幾小時的時間來完成。 若要確認使用者是否已同步,請執行下列動作。
- 至少以混合式身分識別管理員的身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>使用者。
- 請確認您在我們的租戶中看到新用戶
使用我們其中一個使用者來測試登入
請使用在我們新用戶端中建立的使用者帳戶來登入。 您必須使用下列格式登入:(user@domain.onmicrosoft.com)。 使用者應使用相同的密碼來登入內部部署系統。
您現在已成功設定混合式身分識別環境,可用來測試及熟悉 Azure 的功能。