本教程将逐步演示如何使用 Microsoft Entra 云同步创建混合标识环境。
可以使用本教程中创建的环境进行测试,或者加深对云同步的了解。
先决条件
在 Microsoft Entra 管理中心
- Microsoft 建议组织为两个仅限云的紧急访问帐户永久分配全局管理员角色。 这些帐户具有很高的特权,不会分配给特定个人。 这些帐户仅限用于紧急情况或“救火式”情况,在这种情况下,普通帐户无法使用,或者所有其他管理员均已被意外锁定。应按照紧急访问帐户建议创建这些帐户。
- 向 Microsoft Entra 租户添加一个或多个自定义域名。 用户可以使用其中一个域名登录。
在本地环境中
指定一台已加入域的、运行 Windows Server 2016 或更高版本、至少有 4 GB RAM 且装有 .NET 4.7.1+ 运行时的主机服务器
如果服务器和 Microsoft Entra ID 之间存在防火墙,请配置以下项:
确保代理可以通过以下端口向 Microsoft Entra ID 发出出站请求:
端口号 用途 80 下载证书吊销列表 (CRL) 的同时验证 TLS/SSL 证书 443 处理与服务的所有出站通信 8080(可选) 如果端口 443 不可用,代理将每隔 10 分钟通过端口 8080 报告其状态。 此状态会显示在门户上。 如果您的防火墙根据原始用户实施规则,请为以网络服务身份运行的 Windows 服务打开这些端口,以允许其流量通过。
如果防火墙或代理允许指定安全后缀,请将连接添加到 .msappproxy.net 和 .servicebus.windows.net。 否则,请允许访问每周更新的 Azure 数据中心 IP 范围。
代理需要访问 login.windows.net 和 login.microsoftonline.com 来完成初始注册。 另外,还请为这些 URL 打开防火墙。
为验证证书,请取消阻止以下 URL:mscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80 和 www.microsoft.com:80。 由于这些 URL 与其他 Microsoft 产品一起用于证书验证,因此可能已取消阻止这些 URL。
安装 Microsoft Entra 预配代理
如果使用的是基本 AD 和 Azure 环境教程,则该服务器是 DC1。 若要安装代理,请执行以下步骤:
在 Azure 门户中,选择“Microsoft Entra ID”。
在左侧窗格中,选择“Microsoft Entra Connect”,然后选择“云同步”。
在左侧窗格中,选择“代理”。
选择“下载本地代理”,然后选择“接受条款并下载”。
下载 Microsoft Entra Connect 预配代理包后,请运行 downloads 文件夹中的 AADConnectProvisioningAgentSetup.exe 安装文件。
注意
为美国政府云执行安装时,请使用 AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment。 有关详细信息,请参阅在美国政府云中安装代理。
在打开的屏幕上,选中“我同意许可条款和条件”复选框,然后选择“安装”。
在安装完成后,会打开配置向导。 选择“下一步”以开始配置。
在“选择扩展”屏幕上,选择“HR 驱动的预配(Workday 和 SuccessFactors)/Azure AD Connect 云同步”,然后选择“下一步”。
注意
如果安装与 Microsoft Entra 本地应用程序预配配合使用的预配代理,请选择“本地应用程序预配(Microsoft Entra ID 到应用程序)”。
使用一个至少具有混合标识管理员角色的帐户登录。 如果启用了 Internet Explorer 增强的安全性,那么它会阻止登录。 如果出现这种情况,请关闭安装,禁用 Internet Explorer 增强的安全性,然后重启 Microsoft Entra Connect 预配代理包安装。
在“配置服务帐户”屏幕上,选择一个组托管服务帐户 (gMSA)。 此帐户用于运行代理服务。 如果已在域中由另一个代理配置托管服务帐户,并且你要安装第二个代理,请选择“创建 gMSA”。 系统检测现有帐户,并添加新代理使用 gMSA 帐户所需的权限。 出现提示时,请选择下面两个选项之一:
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
CONTOSO\provAgentgMSA$)是在主机服务器加入的同一 Active Directory 域中创建的。 若要使用此选项,请输入 Active Directory 域管理员凭据(推荐)。 - 使用自定义 gMSA:提供你已为此任务手动创建的托管服务帐户的名称。
-
创建 gMSA:此允许代理为你创建 provAgentgMSA$ 托管服务帐户。 组托管服务帐户(例如
若要继续操作,请选择“下一步”。
在“连接 Active Directory”屏幕上,如果域名显示在“配置的域”下,请跳到下一步。 否则,请输入你的 Active Directory 域名,然后选择“添加目录”。
使用你的 Active Directory 域管理员帐户登录。 域管理员帐户不应具有过期的密码。 如果密码在安装期间过期或发生更改,请使用新凭据重新配置代理。 此操作将添加您的本地目录。 选择“确定”,然后选择“下一步”以继续。
以下屏幕截图显示了为 contoso.com 配置的域示例。 选择“下一步”继续。
在“配置完成”屏幕上,选择“确认”。 此操作注册并重新启动代理。
操作完成后,会显示一条通知,指出代理配置已成功验证。 选择退出。
如果仍然显示初始屏幕,请单击“关闭”。
验证代理安装
代理验证是在 Azure 门户中以及在运行该代理的本地服务器上进行的。
在 Azure 门户中验证代理
若要验证 Microsoft Entra ID 是否注册代理,请执行以下步骤:
登录 Azure 门户。
选择“Microsoft Entra ID”。
选择“Microsoft Entra Connect”,然后选择“云同步”。
在“云同步”页上,你会看到已安装的代理。 验证代理是否显示以及状态是否为“正常”。
验证本地服务器上的代理
若要验证代理是否正在运行,请执行以下步骤:
使用管理员帐户登录到服务器。
转到“服务”。 还可以使用 Start/Run/Services.msc 来访问它。
确保“Microsoft Entra Connect 代理更新程序”和“Microsoft Entra Connect 预配代理”包含在“服务”中,并且其状态为“正在运行”。
验证预配代理版本
若要验证正在运行的代理版本,请执行以下步骤:
- 转到 C:\Program Files\Microsoft Azure AD Connect Provisioning Agent。
- 右键单击“AADConnectProvisioningAgent.exe”并选择“属性”。
- 选择“详细信息”选项卡。版本号显示在产品版本旁边。
配置 Microsoft Entra 云同步
使用以下步骤配置并启动预配:
至少以混合身份管理员的身份登录到Microsoft Entra 管理中心。
浏览到 Entra ID>Entra Connect>云同步。
- 选择“新建配置”。
- 在配置屏幕上输入一条“通知电子邮件”,将选择器切换到“启用”,然后选择“保存”。
- 现在,配置状态应为“正常”。
有关配置 Microsoft Entra Cloud Sync 的详细信息,请参阅 将 Active Directory 预配到 Microsoft Entra ID。
验证是否已创建用户并正在进行同步
现在验证已在同步范围内的本地目录中的用户是否已同步并在 Microsoft Entra 租户中存在。 同步操作可能需要几个小时才能完成。 若要验证用户是否已同步,请执行以下步骤:
- 至少以混合标识管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>用户页面。
- 验证租户中是否显示了新用户
使用其中某个用户测试登录
使用在租户中创建的用户帐户登录。 需要使用以下格式登录:(user@___domain.onmicrosoft.com)。 使用用户用于在本地登录的相同密码。
你现在已使用 Microsoft Entra 云同步成功配置了混合标识环境。