Connessione di AWS Managed Microsoft AD a Microsoft Entra Connect Sync - AWS Directory Service
PrerequisitiCrea un utente di dominio Active DirectoryScarica Entra Connect SyncEsegui script PowerShellInstallazione di Entra Connect Sync

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connessione di AWS Managed Microsoft AD a Microsoft Entra Connect Sync

Questo tutorial illustra i passaggi necessari per l'installazione e Microsoft Entra Connect Syncla sincronizzazione Microsoft Entra IDcon AWS Managed Microsoft AD.

In questo tutorial, esegui quanto indicato di seguito:

  1. Crea un utente di dominio Microsoft AD AWS gestito.

  2. Scarica Entra Connect Sync.

  3. Viene utilizzato PowerShell per eseguire uno script per fornire le autorizzazioni appropriate per l'utente appena creato.

  4. Installare Entra Connect Sync.

Prerequisiti

Per completare questo tutorial, occorre quanto indicato di seguito:

Crea un utente di dominio Active Directory

Questo tutorial presuppone che tu abbia già un AWS Managed Microsoft AD e un'istanza EC2 Windows Server con Active Directory Administration Tools installato. Per ulteriori informazioni, consulta Installazione degli strumenti di amministrazione di Active Directory per AWS Managed Microsoft AD.

  1. Connect all'istanza in cui è Administration Tools stato installato Active Directory.

  2. Crea un utente di dominio Microsoft AD AWS gestito. Questo utente diventerà il Active Directory Directory Service (AD DS) Connector account destinatarioEntra Connect Sync. Per i passaggi dettagliati di questo processo, vedereCreazione di un utente Microsoft AD AWS gestito.

Scarica Entra Connect Sync

  • Scarica Entra Connect Sync dal Microsoftsito Web sull' EC2 istanza che è l'amministratore di AWS Managed Microsoft AD.

avvertimento

Non aprire o eseguire Entra Connect Sync a questo punto. I passaggi successivi forniranno le autorizzazioni necessarie per l'utente di dominio creato nel passaggio 1.

Esegui script PowerShell

  • Apri PowerShell come amministratore ed esegui lo script seguente.

    Durante l'esecuzione dello script, ti verrà chiesto di inserire il AMAccountnome s per l'utente di dominio appena creato nel passaggio 1.

    Nota

    Per ulteriori informazioni sull'esecuzione dello script, consulta quanto segue:

    • È possibile salvare lo script con l'ps1estensione in una cartella cometemp. Quindi, puoi usare il seguente PowerShell comando per caricare lo script:

      import-module "c:\temp\entra.ps1"

    • Dopo aver caricato lo script, è possibile utilizzare il seguente comando per impostare le autorizzazioni necessarie per eseguire lo script, sostituendolo Entra_Service_Account_Name con il nome dell'account del Entra servizio:

      Set-EntraConnectSvcPerms -ServiceAccountName Entra_Service_Account_Name
$modulePath = "C:\Program Files\Microsoft Azure Active Directory Connect\AdSyncConfig\AdSyncConfig.psm1"

try {
    # Attempt to import the module
    Write-Host -ForegroundColor Green "Importing Module for Azure Entra Connect..."
    Import-Module $modulePath -ErrorAction Stop
    Write-Host -ForegroundColor Green "Success!"
}
catch {
    # Display the exception message
    Write-Host -ForegroundColor Red "An error occurred: $($_.Exception.Message)"
}

Function Set-EntraConnectSvcPerms {
    [CmdletBinding()]
    Param (
        [String]$ServiceAccountName
    )

    #Requires -Modules 'ActiveDirectory' -RunAsAdministrator

    Try {
        $Domain = Get-ADDomain -ErrorAction Stop
    } Catch [System.Exception] {
        Write-Output "Failed to get AD domain information $_"
    }

    $BaseDn = $Domain | Select-Object -ExpandProperty 'DistinguishedName'
    $Netbios = $Domain | Select-Object -ExpandProperty 'NetBIOSName'

    Try {
        $OUs = Get-ADOrganizationalUnit -SearchBase "OU=$Netbios,$BaseDn" -SearchScope 'Onelevel' -Filter * -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get OUs under OU=$Netbios,$BaseDn $_"
    }

    Try {
        $ADConnectorAccountDN = Get-ADUser -Identity $ServiceAccountName -ErrorAction Stop | Select-Object -ExpandProperty 'DistinguishedName'
    } Catch [System.Exception] {
        Write-Output "Failed to get service account DN $_"
    }

    Foreach ($OU in $OUs) {
        try {
        Set-ADSyncMsDsConsistencyGuidPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Permissions set successfully for $ADConnectorAccountDN and $OU"

        Set-ADSyncBasicReadPermissions -ADConnectorAccountDN $ADConnectorAccountDN -ADobjectDN $OU -Confirm:$false -ErrorAction Stop
        Write-Host "Basic read permissions set successfully for $ADConnectorAccountDN on OU $OU"
    }
    catch {
        Write-Host "An error occurred while setting permissions for $ADConnectorAccountDN on OU $OU : $_"
    }
    }
}
Mostra piùMostra meno

Installazione di Entra Connect Sync

  1. Una volta completato lo script, è possibile eseguire il file di Microsoft Entra Connect configurazione scaricato (precedentemente noto comeAzure Active Directory Connect).

  2. Una Microsoft Azure Active Directory Connect finestra si apre dopo aver eseguito il file di configurazione del passaggio precedente. Nella finestra Express Settings, seleziona Personalizza.

    MicrosoftAzure Active Directory Connectfinestra con il pulsante di personalizzazione evidenziato.

  3. Nella finestra Installa i componenti richiesti, seleziona la casella di controllo Usa un account di servizio esistente. In NOME DELL'ACCOUNT DI SERVIZIO e PASSWORD DELL'ACCOUNT DI SERVIZIO, inserisci il AD DS Connector account nome e la password dell'utente creato nel passaggio 1. Ad esempio, se il tuo AD DS Connector account nome èentra, il nome dell'account saràcorp\entra. Quindi seleziona Installa.

    Finestra di installazione dei componenti richiesti selezionando Usa l'account di servizio e l'account di dominio esistenti e il nome e la password dell'account di servizio forniti.

  4. Nella finestra Accesso utente, seleziona una delle seguenti opzioni:

    1. Autenticazione pass-through: questa opzione consente di accedere ad Active Directory con nome utente e password.

    2. Non configurare: consente di utilizzare l'accesso federato con Microsoft Entra (precedentemente noto come Azure Active Directory (AzureAD)) o. Office 365

      Quindi seleziona Avanti.

  5. AzureNella finestra Connect to, inserisci il nome utente e la password di Global Administrator per Entra ID e seleziona Avanti.

  6. Nella finestra Connect your directories, scegli Active Directory per DIRECTORY TYPE. Scegli la foresta per il tuo AWS Managed Microsoft AD for FOREST. Quindi seleziona Aggiungi directory.

  7. Viene visualizzata una finestra pop-up che richiede le opzioni del tuo account. Seleziona Usa un account AD esistente. Inserisci il AD DS Connector account nome utente e la password creati nel passaggio 1, quindi seleziona OK. Quindi seleziona Avanti.

    Finestra pop-up relativa all'account AD Forest con l'opzione Usa l'account AD esistente selezionato e il nome utente e la password del dominio forniti.

  8. Nella finestra di Azure ADaccesso, seleziona Continua senza abbinare tutti i suffissi UPN ai domini verificati, solo se non hai aggiunto un vanity domain verificato. Entra ID Quindi seleziona Avanti.

  9. Nella finestra di filtraggio Dominio/OU, seleziona le opzioni più adatte alle tue esigenze. Per ulteriori informazioni, vedere Entra Connect Sync: Configurazione del filtro nella documentazione. Microsoft Quindi seleziona Avanti.

  10. Nella finestra Identificazione degli utenti, filtri e funzionalità opzionali, mantieni i valori predefiniti e seleziona Avanti.

  11. Nella finestra Configura, rivedi le impostazioni di configurazione e seleziona Configura. L'installazione di Entra Connect Sync verrà completata e gli utenti inizieranno la sincronizzazione con. Microsoft Entra ID