安装和配置 Microsoft Entra Cloud Sync

您想要将本地 Active Directory 与 Microsoft Entra 同步。但不想让本地软件保持最新状态并希望云来完成这项工作。实现此目的的一个出色工具是使用 Microsoft Entra Cloud Sync。在本文中，您将了解如何安装和配置 Microsoft Entra Cloud Sync。

Microsoft Entra Cloud Sync 是一款轻量级的现代身份同步工具，旨在支持混合身份场景。它允许您将本地 Active Directory (AD) 用户、组和联系人同步到 Microsoft Entra ID，而无需 Microsoft Entra Connect 的开销。

此解决方案在以下情况下非常理想：

• 您有多个 Active Directory 林。
• 您希望简化高可用性部署。
• 您需要避免复杂的本地基础设施。
• 您希望与 Microsoft Entra ID 进行更快、更可靠的同步。

Microsoft Entra Cloud Sync 使用在本地环境中的 Windows Server 计算机上运行的云预配代理。与 Microsoft Entra Connect 不同，它将大部分同步逻辑卸载到云端，从而简化了管理和扩展。

Microsoft Entra 云同步的先决条件

在继续之前，请确保您拥有：

1. Microsoft Entra ID 租户。
2. 用于初始设置的 Entra ID 全局管理员帐户。
3. 至少一台 Windows Server 2016 或更高版本的计算机（已加入域）用于托管预配代理。
4. 打开必要的防火墙端口：到 Microsoft 云端点的 HTTPS (443) 和 HTTP (80)。
5. 从服务器到域控制器以及外部互联网的正确 DNS 解析。

步骤1.下载云同步代理

1. 登录到微软 Entra 管理中心。
2. 导航至身份 > 显示更多

3. 选择混合管理 > Microsoft Entra Connect
4. 点击云同步

5. 选择代理商
6. 点击下载本地代理

7. 点击接受条款并下载
8. 将可执行文件保存到您的 Windows Server 计算机

步骤 2. 在 Windows Server 上安装 Provisioning Agent

1. 开始文件浏览器
2. 转到已下载的配置代理安装可执行文件
3. 以管理员身份运行下载的 Microsoft Entra Connect Provisioning Agent 安装程序

4. 接受许可条款和条件
5. 点击安装

6. 安装程序开始安装 Microsoft Entra Provisioning Agent

7. 点击下一个在“欢迎使用 Microsoft Entra 配置代理配置向导”屏幕中

8. 选择HR 驱动的配置（Workday 和 SuccessFactors）/Microsoft Entra Cloud Sync
9. 点击下一个

10. 单击“验证”
11. 使用您的登录Microsoft Entra ID 管理员凭据

12. 选择创建gSMA
13. 输入您的本地域管理员凭据
14. 点击下一个

15. 点击下一个

16. 点击确认

17. 点击出口

步骤 3. 验证配置代理状态

1. 登录到微软 Entra 管理中心
2. 点击代理商并验证机器名称是否出现且状态为积极的

3. 开始视窗服务
4. 验证Microsoft Azure AD Connect 配置代理服务正在运行

5. 开始Active Directory 用户和计算机
6. 导航至域 (exoip.local) > 托管服务帐户
7. 验证省代理gMSA出现服务帐户

步骤 4. 设置 Microsoft Entra Cloud 配置

1. 登录到微软 Entra 管理中心
2. 点击配置
3. 选择+ 新配置 > AD 到 Microsoft Entra ID 同步

4. 选择活动目录域
5. 选中复选框启用密码哈希同步
6. 点击创造

7. 点击概述
8. 选择特性
9. 单击铅笔图标可编辑基础知识

10. 配置基础知识:

• 启用密码哈希同步
• 启用 Exchange 混合写回
• 添加通知电子邮件地址
• 启用防止意外删除
• 将意外删除阈值设置为 500

11. 选择申请

12. 点击范围过滤器
13. 选择选定的组织单位
14. 填写专有名称的本地组织单位您想要与 Microsoft Entra ID 同步的
15. 点击添加
16. 点击节省

17. 点击概述
18. 点击检查并启用

19. 点击启用配置

笔记：云配置计划每 2 分钟运行一次。每 2 分钟，任何用户、组和密码哈希更改都会配置到 Microsoft Entra ID。

20. 验证从 AD 到 Microsoft Entra ID 的配置同步显示状态健康

步骤 5. 启用密码写回

按照以下步骤允许 Microsoft Entra ID 中的密码更改同步回本地 AD：

1. 登录到微软 Entra 管理中心
2. 前往保护 > 密码重置 > 本地集成
3. 打开：

• 为同步用户启用密码写回
• 使用 Microsoft Entra Connect 云同步写回密码
• 允许用户通过重置密码来解锁帐户

4. 点击节省

步骤 6. 检查 Microsoft Entra Cloud Sync 日志

1. 登录到微软 Entra 管理中心
2. 选择配置日志

3. 登录到您的 Windows 服务器
4. 检查安装代理的服务器上本地存储的日志：

C:ProgramDataMicrosoft Entra Connect Provisioning AgentLogs

就是这样！

结论

您了解了如何安装和配置 Microsoft Entra Cloud Sync。对于希望以最小的开销进行混合身份管理的组织来说，这是一个绝佳的选择。它提供了一个完整而轻量级的解决方案，用于将本地对象同步到云。

了解更多：为本地配置 Microsoft Entra 密码保护

您喜欢这篇文章吗？您可能还喜欢条件访问 MFA 中断 Azure AD Connect 同步。不要忘记关注我们并分享这篇文章。