安装和配置Microsoft Entra Cloud Sync

您想将本地Active Directory与Microsoft Entra同步。但是，不想使软件保持最新的本地效果，并希望云完成工作。实现此目的的绝佳工具是使用Microsoft Entra Cloud Sync。在本文中，您将学习如何安装和配置Microsoft Entra Cloud Sync。

Microsoft Entra Cloud Sync是一种轻巧且现代的身份同步工具，旨在实现混合身份方案。它允许您同步本地Active Directory（AD）用户，组和联系人与Microsoft Entra ID，而无需Microsoft Entra Connect的开销。

当：

• 您有多个活跃目录森林。
• 您想简化高可用性部署。
• 您需要避免复杂的本地基础架构。
• 您希望与Microsoft Entra ID更快，更可靠的同步。

Microsoft Entra Cloud Sync使用的是在本地环境中在Windows Server计算机上运行的云配置代理。与Microsoft Entra Connect不同，它将大部分同步逻辑卸载到云中，从而简化了管理和扩展。

建议阅读：如何配置Microsoft Entra特权身份管理（PIM）

Microsoft Entra Cloud Sync的先决条件

在继续之前，请确保您有：

1. Microsoft Entra ID租户。
2. ENTRA ID全局管理员帐户进行初始设置。
3. 至少一个Windows Server 2016或更高版本的机器（域结合）可以托管配置代理。
4. 必要的防火墙端口打开：https（443）和http（80）到Microsoft Cloud Endpoints。
5. 从服务器到您的域控制器和外部Internet的适当DNS分辨率。

步骤1。下载云同步代理

1. 登录微软Entra管理中心。
2. 导航到身份>显示更多

3. 选择混合管理> Microsoft Entra Connect
4. 点击云同步

5. 选择代理商
6. 点击下载本地代理

7. 点击接受条款并下载
8. 将可执行文件保存到Windows Server机器

步骤2。在Windows Server上安装配置代理

1. 开始文件资源管理器
2. 转到下载配置代理设置可执行文件
3. 运行下载的Microsoft Entra Connect Provisioning代理安装程序作为管理员

4. 接受许可条款和条件
5. 点击安装

6. 设置开始安装Microsoft Entra Provisioning Agent

7. 点击下一个欢迎来到Microsoft Entra Provisioning Agent配置向导屏幕

8. 选择HR驱动的供应（工作日和成功量） / Microsoft Entra Cloud Sync
9. 点击下一个

10. 单击身份验证
11. 与您的Microsoft Entra ID管理员凭据

12. 选择创建GSMA
13. 输入您的本地域管理凭据
14. 点击下一个

15. 点击下一个

16. 点击确认

17. 点击出口

步骤3。验证供应代理状态

1. 登录微软Entra管理中心
2. 点击代理商并验证机器名称出现，状态为积极的

3. 开始Windows服务
4. 验证Microsoft Azure AD Connect Provisioning代理服务正在运行

5. 开始Active Directory用户和计算机
6. 导航到域（exoip.local）>托管服务帐户
7. 验证Provatentgmsa出现服务帐户

步骤4。设置Microsoft Entra Cloud配置

1. 登录到微软Entra管理中心
2. 点击配置
3. 选择+新配置> AD至Microsoft Entra ID同步

4. 选择Active Directory域
5. 检查复选框启用密码哈希同步
6. 点击创造

7. 点击概述
8. 选择特性
9. 单击铅笔图标以编辑基础

10. 配置基础：

• 启用密码哈希同步
• 启用Exchange混合写作
• 添加电子邮件地址以进行通知
• 启用预防意外删除
• 将意外删除treshold设置为500

11. 选择申请

12. 点击范围过滤器
13. 选择选定的组织单位
14. 填写杰出的名字的本地OU您想与Microsoft Entra ID同步
15. 点击添加
16. 点击节省

17. 点击概述
18. 点击审查和启用

19. 点击启用配置

笔记：云供应计划每2分钟运行一次。每2分钟，任何用户，组和密码哈希更改都会提供给Microsoft Entra ID。

20. 验证配置是否同步从AD到Microsoft Entra ID显示状态健康

步骤5。启用密码写入

允许Microsoft Entra ID中的密码更改以通过以下步骤同步到本地广告：

1. 登录微软Entra管理中心
2. 去保护>密码重置>本地集成
3. 打开：

• 启用密码回信为同步用户
• 使用Microsoft Entra Connect Cloud Sync回报密码
• 允许用户通过重置密码解锁帐户

4. 点击节省

步骤6。检查Microsoft Entra Cloud Sync日志

1. 登录微软Entra管理中心
2. 选择配置日志

3. 登录到Windows服务器
4. 检查本地存储在安装代理的服务器上的日志：

C:ProgramDataMicrosoft Entra Connect Provisioning AgentLogs

就是这样！

结论

您学习了如何安装和配置Microsoft Entra Cloud Sync。对于想要具有最小开销的混合身份管理的组织来说，这是一个绝佳的选择。它提供了一个完整而轻巧的解决方案，用于将本地对象同步到云。

您喜欢这篇文章吗？您可能还喜欢有条件的访问MFA破坏Azure AD Connect同步。不要忘记关注我们并分享这篇文章。