本教程将逐步演示如何将云同步添加到现有的混合标识环境。
可以使用本教程中创建的环境进行测试,或者加深了解混合标识的工作原理。
在此方案中,有一个现有的林已通过 Microsoft Entra Connect 同步功能同步到 Microsoft Entra 租户。 你想要将一个新林同步到同一个 Microsoft Entra 租户。 你将为新林设置云同步。
先决条件
在 Microsoft Entra 管理中心
- 在 Microsoft Entra 租户中创建仅限云的混合标识管理员帐户。 这样一来,就可以在本地服务出现故障或不可用时管理租户的配置。 了解如何添加仅限云的混合标识管理员帐户。 完成此步骤至关重要,可确保自己不被锁定在租户外部。
- 在 Microsoft Entra 租户中添加一个或多个自定义域名。 用户可以使用其中一个域名登录。
在本地环境中
指定一台已加入域、运行 Windows Server 2012 R2 或更高版本、至少有 4-GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器
如果服务器和 Microsoft Entra ID 之间存在防火墙,请配置以下项:
确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:
端口号 用途 80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书 443 处理与服务的所有出站通信 8080(可选) 如果端口 443 不可用,代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态会显示在门户上。 如果防火墙根据原始用户强制实施规则,请打开这些端口以允许来自作为网络服务运行的 Windows 服务的流量。
如果防火墙或代理允许指定安全后缀,请将连接添加到 .msappproxy.net 和 .servicebus.windows.net。 否则,请允许访问每周更新的 Azure 数据中心 IP 范围。
代理需要访问 login.windows.net 和 login.microsoftonline.com 来完成初始注册。 另外,还请为这些 URL 打开防火墙。
为验证证书,请取消阻止以下 URL:mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 由于这些 URL 与其他 Microsoft 产品一起用于证书验证,因此可能已取消阻止这些 URL。
安装 Microsoft Entra 预配代理
如果使用的是基本 AD 和 Azure 环境教程,则该服务器是 DC1。 若要安装代理,请执行以下步骤:
在 Azure 门户中,选择“Microsoft Entra ID”。
在左侧窗格中,选择“Microsoft Entra Connect”,然后选择“云同步”。
在左侧窗格中,选择“代理”。
选择“下载本地代理”,然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后,请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。
注意
为美国政府云执行安装时,请使用 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment。 有关详细信息,请参阅在美国政府云中安装代理。
在打开的屏幕上,选中“我同意许可条款和条件”复选框,然后选择“安装”。
在安装完成后,会打开配置向导。 选择“下一步”以开始配置。
在“选择扩展”屏幕上,选择“HR 驱动的预配(Workday 和 SuccessFactors)/Azure AD Connect 云同步”,然后选择“下一步”。
注意
如果安装与 Microsoft Entra 本地应用程序预配配合使用的预配代理,请选择“本地应用程序预配(Microsoft Entra ID 到应用程序)”。
使用一个至少具有混合标识管理员角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性,那么它会阻止登录。 如果出现这种情况,请关闭安装,禁用 Internet Explorer 增强的安全性,然后重启 Microsoft Entra Connect 预配代理包安装。
在“配置服务帐户”屏幕上,选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果已在域中由另一个代理配置托管服务帐户,并且你要安装第二个代理,请选择“创建 gMSA”。 系统检测现有帐户,并添加新代理使用 gMSA 帐户所需的权限。 出现提示时,请选择下面两个选项之一:
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
CONTOSO\provAgentgMSA$)是在主机服务器加入的同一 Active Directory 域中创建的。 若要使用此选项,请输入 Active Directory 域管理员凭据(推荐)。 - 使用自定义 gMSA:提供你已为此任务手动创建的托管服务帐户的名称。
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
若要继续操作,请选择“下一步”。
在“连接 Active Directory”屏幕上,如果域名显示在“配置的域”下,请跳到下一步。 否则,请输入你的 Active Directory 域名,然后选择“添加目录”。
使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改,请使用新凭据重新配置代理。 此操作将添加本地目录。 选择“确定”,然后选择“下一步”以继续。
以下屏幕截图显示了为 contoso.com 配置的域示例。 选择“下一步”以继续。
在“配置完成”屏幕上,选择“确认”。 此操作注册并重新启动代理。
操作完成后,会显示一条通知,指出代理配置已成功验证。 选择退出。
如果仍然显示初始屏幕,请单击“关闭”。
验证代理安装
代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。
在 Azure 门户中验证代理
若要验证 Microsoft Entra ID 是否注册代理,请执行以下步骤:
登录 Azure 门户。
选择“Microsoft Entra ID”。
选择“Microsoft Entra Connect”,然后选择“云同步”。
在“云同步”页上,你会看到已安装的代理。 验证代理是否显示以及状态是否为“正常”。
验证本地服务器上的代理
若要验证代理是否正在运行,请执行以下步骤:
使用管理员帐户登录到服务器。
转到“服务”。 还可以使用 Start/Run/Services.msc 来访问它。
确保“Microsoft Entra Connect 代理更新程序”和“Microsoft Entra Connect 预配代理”包含在“服务”中,并且其状态为“正在运行”。
验证预配代理版本
若要验证正在运行的代理版本,请执行以下步骤:
- 转到 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent。
- 右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
- 选择“详细信息”选项卡。版本号显示在产品版本旁边。
配置 Microsoft Entra Cloud Sync
使用以下步骤配置预配:
至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
- 选择“新建配置”
- 在配置屏幕上输入“通知电子邮件”,将选择器切换到“启用”,然后选择“保存”。
- 现在,配置状态应为“正常”。
验证是否已创建用户并正在进行同步
现在验证本地目录中的用户是否已同步并在 Microsoft Entra 租户中存在。 此过程可能需要几小时才能完成。 要验证用户是否已同步,请执行以下操作:
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户页面。
- 验证租户中是否显示了新用户
使用我们的某位用户测试登录
使用在我们的新租户中创建的用户帐户登录。 需要使用以下格式登录:(user@___domain.onmicrosoft.com)。 使用用户用于在本地登录的相同密码。
现已成功设置了一个混合标识环境,可以使用它来测试和熟悉 Azure 提供的功能。