Požadavky pro Microsoft Entra Connect

Tento článek popisuje požadavky a požadavky na hardware pro microsoft Entra Připojení.

Před instalací nástroje Microsoft Entra Připojení

Než nainstalujete Microsoft Entra Připojení, potřebujete několik věcí.

Microsoft Entra ID

• Potřebujete tenanta Microsoft Entra. Získáte ji s bezplatnou zkušební verzí Azure. Ke správě Připojení Microsoft Entra můžete použít jeden z následujících portálů:
  • Centrum pro správu Microsoft Entra.
  • Portál Office.
• Přidejte a ověřte doménu , kterou chcete použít v ID Microsoft Entra. Pokud například plánujete používat contoso.com pro uživatele, ujistěte se, že je tato doména ověřená a nepoužíváte jenom contoso.onmicrosoft.com výchozí doménu.
• Tenant Microsoft Entra ve výchozím nastavení umožňuje 50 000 objektů. Když ověříte svoji doménu, limit se zvýší na 300 000 objektů. Pokud potřebujete ještě více objektů v Microsoft Entra ID, otevřete případ podpory, abyste limit ještě zvýšili. Pokud potřebujete více než 500 000 objektů, potřebujete licenci, například Microsoft 365, Microsoft Entra ID P1 nebo P2 nebo Enterprise Mobility + Security.

Příprava místních dat

• Před synchronizací s Microsoft Entra ID a Microsoft 365 použijte IdFix k identifikaci chyb, jako jsou duplicity a problémy s formátováním v adresáři.
• Zkontrolujte volitelné synchronizační funkce, které můžete povolit v MICROSOFT Entra ID, a vyhodnoťte, které funkce byste měli povolit.

Místní služby Active Directory

• Verze schématu Active Directory a funkční úroveň doménové struktury musí být Windows Server 2003 nebo novější. Řadiče domény mohou používat libovolnou verzi. Stačí vyhovět požadavkům na verzi schématu a úroveň doménové struktury. Pokud potřebujete podporu řadičů domény se systémem Windows Server 2016 nebo starší, můžete vyžadovat placený program podpory.
• Řadič domény používaný Microsoft Entra ID musí být zapisovatelný. Použití řadiče domény jen pro čtení (RODC) není podporováno a Microsoft Entra Připojení nesleduje žádné přesměrování zápisu.
• Použití místních doménových struktur nebo domén pomocí tečkovaného názvu (název obsahuje tečku).) Názvy rozhraní NetBIOS se nepodporují.
• Doporučujeme povolit koš služby Active Directory.

Zásady spouštění PowerShellu

Microsoft Entra Připojení spouští podepsané skripty PowerShellu v rámci instalace. Ujistěte se, že zásady spouštění PowerShellu umožní spouštění skriptů.

Doporučená zásada spuštění během instalace je RemoteSigned.

Další informace o nastavení zásad spouštění PowerShellu najdete v tématu Set-ExecutionPolicy.

Microsoft Entra Připojení server

Server Microsoft Entra Připojení obsahuje důležitá data identity. Je důležité, aby byl správně zabezpečený přístup správce k tomuto serveru. Postupujte podle pokynů v části Zabezpečení privilegovaného přístupu.

Server Microsoft Entra Připojení musí být považován za součást vrstvy 0, jak je uvedeno v modelu vrstvy správy služby Active Directory. Doporučujeme posílit zabezpečení serveru Microsoft Entra Připojení jako prostředku řídicí roviny podle pokynů uvedených v části Zabezpečený privilegovaný přístup.

Další informace o zabezpečení prostředí Active Directory najdete v tématu Osvědčené postupy pro zabezpečení služby Active Directory.

Požadavky na instalaci

• Microsoft Entra Připojení musí být nainstalovaný na Windows Serveru 2016 nebo novějším připojeném k doméně. Doporučujeme používat Windows Server 2022 připojený k doméně. Microsoft Entra Připojení můžete nasadit na Windows Server 2016, ale protože Windows Server 2016 je v rozšířené podpoře, můžete vyžadovat placený program podpory, pokud potřebujete podporu pro tuto konfiguraci.
• Minimální požadovaná verze rozhraní .NET Framework je 4.6.2 a podporují se také novější verze rozhraní .NET. .NET verze 4.8 a vyšší nabízí nejlepší dodržování předpisů v oblasti přístupnosti.
• Microsoft Entra Připojení není možné nainstalovat na Small Business Server nebo Windows Server Essentials před 2019 (Windows Server Essentials 2019 je podporován). Server musí používat Windows Server standard nebo lepší.
• Na serveru Microsoft Entra Připojení musí být nainstalované celé grafické uživatelské rozhraní. Instalace nástroje Microsoft Entra Připojení na jádro Windows Serveru se nepodporuje.
• Pokud ke správě konfigurace Active Directory Federation Services (AD FS) (AD FS) použijete průvodce Microsoft Entra Připojení, server Microsoft Entra Připojení nesmí mít povolené zásady skupiny přepisu PowerShellu. Přepis PowerShellu můžete povolit, pokud ke správě konfigurace synchronizace použijete průvodce Microsoft Entra Připojení.
• Pokud se služba AD FS nasazuje:
  • Servery, na kterých je nainstalovaná služba AD FS nebo webová proxy aplikací, musí být Windows Server 2012 R2 nebo novější. Pro vzdálenou instalaci musí být na těchto serverech povolená vzdálená správa systému Windows. Pokud potřebujete podporu pro Windows Server 2016 a starší, můžete vyžadovat placený program podpory.
  • Musíte nakonfigurovat certifikáty TLS/SSL. Další informace najdete v tématu Správa protokolů SSL/TLS a šifrovacích sad pro službu AD FS a správu certifikátů SSL ve službě AD FS.
  • Musíte nakonfigurovat překlad ip adres.
• Nepodporuje se přerušení a analýza provozu mezi microsoft entra Připojení a ID Microsoft Entra. Tím může dojít k narušení služby.
• Pokud vaše hybridní identita Správa istrátory mají povolené vícefaktorové ověřování, musí být adresa URL https://secure.aadcdn.microsoftonline-p.comv seznamu důvěryhodných webů. Když se zobrazí výzva k zadání výzvy vícefaktorového ověřování, zobrazí se výzva k přidání tohoto webu do seznamu důvěryhodných webů a ještě nebyl přidán. Internet Explorer můžete použít k jeho přidání na důvěryhodné weby.
• Pokud plánujete používat Microsoft Entra Připojení Health pro synchronizaci, ujistěte se, že jsou splněny také požadavky pro Microsoft Entra Připojení Health. Další informace naleznete v tématu Instalace agenta Microsoft Entra Připojení Health.

Posílení zabezpečení serveru Microsoft Entra Připojení

Doporučujeme posílit zabezpečení vašeho serveru Microsoft Entra Připojení, abyste snížili prostor pro útoky na zabezpečení pro tuto kritickou komponentu vašeho IT prostředí. Následující doporučení vám pomůžou zmírnit některá rizika zabezpečení pro vaši organizaci.

• Doporučujeme posílit zabezpečení serveru Microsoft Entra Připojení jako prostředku řídicí roviny (dříve vrstvy 0) podle pokynů uvedených v modelu zabezpečení privilegovaného přístupu a vrstvy správy služby Active Directory.
• Omezit přístup správce k serveru Microsoft Entra Připojení pouze správcům domény nebo jiným úzce řízeným skupinám zabezpečení.
• Vytvořte vyhrazený účet pro všechny pracovníky s privilegovaným přístupem. Správa istrátory by neměli procházet web, kontrolovat jejich e-maily a provádět každodenní úkoly produktivity s vysoce privilegovanými účty.
• Postupujte podle pokynů uvedených v části Zabezpečení privilegovaného přístupu.
• Odepřít použití ověřování NTLM se serverem Microsoft Entra Připojení. Tady je několik způsobů, jak to udělat: Omezení protokolu NTLM na serveru Microsoft Entra Připojení Server a omezení ntLM v doméně
• Ujistěte se, že každý počítač má jedinečné heslo místního správce. Další informace naleznete v tématu Místní Správa istrator Password Solution (Windows LAPS) může konfigurovat jedinečná náhodná hesla na každé pracovní stanici a server je ukládat do služby Active Directory chráněné seznamem ACL. Resetování těchto hesel účtů místního správce můžou číst nebo požadovat pouze oprávnění oprávnění uživatelé. Další pokyny pro provoz prostředí s windows LAPS a pracovními stanicemi s privilegovaným přístupem najdete v provozních standardech založených na principu čistého zdroje.
• Implementujte vyhrazené pracovní stanice s privilegovaným přístupem pro všechny pracovníky s privilegovaným přístupem k informačním systémům vaší organizace.
• Postupujte podle těchto dalších pokynů , abyste snížili prostor pro útoky na vaše prostředí Služby Active Directory.
• Postupujte podle změn monitorování konfigurace federace a nastavte výstrahy pro monitorování změn důvěryhodnosti vytvořené mezi vaším id Idp a Microsoft Entra ID.
• Povolte vícefaktorové ověřování (MFA) pro všechny uživatele, kteří mají privilegovaný přístup v Microsoft Entra ID nebo ve službě AD. Jedním z problémů se zabezpečením při používání Připojení Microsoft Entra je, že pokud útočník může získat kontrolu nad serverem Microsoft Entra Připojení, může manipulovat s uživateli v Microsoft Entra ID. Pokud chcete útočníkovi zabránit v používání těchto možností k převzetí účtů Microsoft Entra, MFA nabízí ochranu, takže i když se útočníkovi podaří např. resetovat heslo uživatele pomocí Microsoft Entra Připojení stále nemůže obejít druhý faktor.
• Zakažte v tenantovi obnovitelné porovnávání. Soft Matching je skvělá funkce, která pomáhá přenášet zdroj autority pro stávající cloudové spravované objekty do Microsoft Entra Připojení, ale přináší určitá bezpečnostní rizika. Pokud ho nepotřebujete, měli byste zakázat obnovitelné párování.
• Zakažte převzetí pevné shody. Převzetí pevné shody umožňuje microsoftu Entra Připojení převzít kontrolu nad cloudovým spravovaným objektem a změnit zdroj autority objektu na Active Directory. Jakmile zdroj autority objektu převezme Microsoft Entra Připojení, změny provedené v objektu Active Directory, který je propojený s objektem Microsoft Entra, přepíšou původní data Microsoft Entra , včetně hodnoty hash hesel, pokud je povolena synchronizace hodnot hash hesel. Útočník by mohl tuto funkci použít k převzetí kontroly nad cloudovými spravovanými objekty. Pokud chcete toto riziko zmírnit, zakažte převzetí pevné shody.

SQL Server používaný společností Microsoft Entra Připojení

• Microsoft Entra Connect vyžaduje k ukládání dat identity databázi SQL Serveru. Ve výchozím nastavení se nainstaluje SQL Server 2019 Express LocalDB (light verze SQL Serveru Express). SQL Server Express má limit velikosti 10 GB, který umožňuje spravovat přibližně 100 000 objektů. Pokud potřebujete spravovat větší objem objektů adresáře, nasměrujte průvodce instalací na jinou instalaci SYSTÉMU SQL Server. Typ instalace SQL Serveru může mít vliv na výkon microsoft Entra Připojení.
• Pokud používáte jinou instalaci SQL Serveru, platí tyto požadavky:
  • Microsoft Entra Připojení podporují všechny hlavní podporované verze SQL Serveru až DO SQL Serveru 2022 spuštěné ve Windows. Informace o stavu podpory vaší verze SQL Serveru najdete v článku o životním cyklu SQL Serveru. SQL Server 2012 se už nepodporuje. Azure SQL Database se nepodporuje jako databáze. To zahrnuje Azure SQL Database i spravovanou instanci Azure SQL.
  • Musíte použít kolaci SQL bez rozlišování malých a velkých písmen. Tyto kolace jsou identifikovány s _CI_ v jejich názvu. Použití kolace s rozlišováním velkých a malých písmen identifikovaných _CS_ v názvu není podporováno.
  • Pro každou instanci SQL můžete mít pouze jeden synchronizační modul. Sdílení instance SQL pomocí MIM Sync, DirSync nebo Azure AD Sync se nepodporuje.

Účty

• Musíte mít účet Microsoft Entra Global Správa istrator nebo účet hybridní identity Správa istrator pro tenanta Microsoft Entra, se kterým chcete integrovat. Tento účet musí být školní nebo organizační účet a nemůže být účtem Microsoft.
• Pokud používáte expresní nastavení nebo upgrade z nástroje DirSync, musíte mít pro místní Active Directory účet enterprise Správa istrator.
• Pokud používáte instalační cestu vlastního nastavení, máte další možnosti. Další informace naleznete v tématu Vlastní nastavení instalace.

Připojení

• Microsoft Entra Připojení server potřebuje překlad DNS pro intranet i internet. Server DNS musí být schopný přeložit názvy jak na váš místní Active Directory, tak na koncové body Microsoft Entra.

• Microsoft Entra Připojení vyžaduje síťové připojení ke všem nakonfigurovaným doménám.

• Microsoft Entra Připojení vyžaduje síťové připojení ke kořenové doméně všech nakonfigurovaných doménových struktur.

• Pokud máte v intranetu brány firewall a potřebujete otevřít porty mezi servery Microsoft Entra Připojení a řadiči domény, další informace najdete v tématu Microsoft Entra Připojení porty.

• Pokud váš proxy server nebo brána firewall omezují, ke kterým adresám URL se dá přistupovat, musí se otevřít adresy URL zdokumentované v adresách URL a rozsahech IP adres Office 365. Podívejte se také na Sejf přidání adres URL centra pro správu Microsoft Entra na vašem firewallu nebo proxy serveru.

  • Pokud používáte cloud Microsoftu v Německu nebo v cloudu Microsoft Azure Government, podívejte se na důležité informace o instancích služby Microsoft Entra Připojení Sync pro adresy URL.

• Microsoft Entra Připojení (verze 1.1.614.0 a novější) ve výchozím nastavení používá protokol TLS 1.2 k šifrování komunikace mezi synchronizačním modulem a ID Microsoft Entra. Pokud v základním operačním systému není protokol TLS 1.2 dostupný, Microsoft Entra Připojení postupně přejde zpět na starší protokoly (TLS 1.1 a TLS 1.0). Od Microsoft Entra Připojení verze 2.0 dále. Protokoly TLS 1.0 a 1.1 se už nepodporují a instalace selže, pokud není povolený protokol TLS 1.2.

• Před verzí 1.1.614.0 používá Microsoft Entra Připojení ve výchozím nastavení protokol TLS 1.0 k šifrování komunikace mezi synchronizačním modulem a ID Microsoft Entra. Pokud chcete změnit na protokol TLS 1.2, postupujte podle pokynů v tématu Povolení protokolu TLS 1.2 pro Microsoft Entra Připojení.

• Pokud pro připojení k internetu používáte odchozí proxy server, musí být pro průvodce instalací přidáno následující nastavení v souboru C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config a nástroj Microsoft Entra Připojení Sync, aby se mohl připojit k internetu a ID Microsoft Entra. Tento text musí být zadán v dolní části souboru. V tomto kódu <představuje PROXYADDRESS> skutečnou IP adresu proxy serveru nebo název hostitele.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud proxy server vyžaduje ověření, musí se účet služby nacházet v doméně. K zadání vlastního účtu služby použijte instalační cestu vlastního nastavení. Potřebujete také jinou změnu na machine.config. Při této změně v souboru machine.config odpoví průvodce instalací a synchronizační modul na žádosti o ověření z proxy serveru. Na všech stránkách průvodce instalací s výjimkou stránky Konfigurovat se použijí přihlašovací údaje přihlášeného uživatele. Na stránce Konfigurovat na konci průvodce instalací se kontext přepne na účet služby, který jste vytvořili. Část machine.config by měla vypadat takto:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Pokud se konfigurace proxy serveru provádí v existujícím nastavení, musí se služba Synchronizace ID Microsoftu jednou restartovat, aby služba Microsoft Entra Připojení přečetla konfiguraci proxy serveru a aktualizovala chování.

• Když Microsoft Entra Připojení odešle webový požadavek na ID Microsoft Entra v rámci synchronizace adresářů, může odpověď microsoft Entra ID trvat až 5 minut. Proxy servery mají běžnou konfiguraci časového limitu nečinnosti připojení. Ujistěte se, že je konfigurace nastavená alespoň na 6 minut.

Další informace najdete na webu MSDN o výchozím elementu proxy serveru. Další informace o problémech s připojením najdete v tématu Řešení potíží s připojením.

Jiný důvod

Volitelné: K ověření synchronizace použijte testovací uživatelský účet.

Požadavky komponent

PowerShell a .NET Framework

Microsoft Entra Připojení závisí na prostředí Microsoft PowerShell 5.0 a .NET Framework 4.5.1. Tuto verzi nebo novější verzi potřebujete nainstalovanou na serveru.

Povolení protokolu TLS 1.2 pro Microsoft Entra Připojení

Před verzí 1.1.614.0 používá Microsoft Entra Připojení ve výchozím nastavení protokol TLS 1.0 k šifrování komunikace mezi serverem synchronizačního stroje a ID Microsoft Entra. Aplikace .NET můžete nakonfigurovat tak, aby ve výchozím nastavení používaly protokol TLS 1.2 na serveru. Další informace o protokolu TLS 1.2 naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358.

1. Ujistěte se, že máte pro operační systém nainstalovanou opravu hotfix .NET 4.5.1. Další informace naleznete v tématu Poradce pro zabezpečení společnosti Microsoft 2960358. Možná máte tuto opravu hotfix nebo novější verzi nainstalovanou na serveru.

2. Pro všechny operační systémy nastavte tento klíč registru a restartujte server.

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
   "SchUseStrongCrypto"=dword:00000001
   

3. Pokud chcete také povolit protokol TLS 1.2 mezi serverem synchronizačního stroje a vzdáleným SQL Serverem, ujistěte se, že máte nainstalované požadované verze pro podporu protokolu TLS 1.2 pro Microsoft SQL Server.

Požadavky modelu DCOM na synchronizačním serveru

Během instalace synchronizační služby microsoft Entra Připojení zkontroluje přítomnost následujícího klíče registru:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

V rámci tohoto klíče registru microsoft Entra Připojení zkontroluje, jestli jsou přítomné a neopravené následující hodnoty:

• MachineAccessRestriction
• MachineLaunchRestriction
• DefaultLaunchPermission

Požadavky na instalaci a konfiguraci federace

Vzdálená správa systému Windows

Pokud k nasazení služby AD FS nebo webového proxy aplikací (WAP) používáte Microsoft Entra Připojení, zkontrolujte tyto požadavky:

• Pokud je cílový server připojený k doméně, ujistěte se, že je povolená vzdálená správa systému Windows.
  • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
• Pokud je cílovým serverem počítač WAP, který není připojený k doméně, existuje několik dalších požadavků:
  • Na cílovém počítači (počítač WAP):
    • Ujistěte se, že služba Vzdálená správa systému Windows nebo SLUŽBA WS-Management (WinRM) běží prostřednictvím modulu snap-in Služby.
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Enable-PSRemoting –force.
  • Na počítači, na kterém je průvodce spuštěný (pokud cílový počítač není připojený k doméně nebo je nedůvěryhodná doména):
    • V příkazovém okně PowerShellu se zvýšenými oprávněními použijte příkaz Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
    • Ve správci serveru:
      • Přidejte hostitele WAP DMZ do fondu počítačů. Ve Správci serveru vyberte Spravovat>přidat servery a pak použijte kartu DNS.
      • Na kartě Správce serveru Všechny servery klikněte pravým tlačítkem na server WAP a vyberte Spravovat jako. Zadejte místní (nikoli doménová) pověření pro počítač WAP.
      • Pokud chcete ověřit vzdálené připojení PowerShellu, klikněte na kartě Správce serveru Všechny servery pravým tlačítkem myši na server WAP a vyberte Windows PowerShell. Měla by se otevřít vzdálená relace PowerShellu, aby bylo možné navázat vzdálené relace PowerShellu.

Požadavky na certifikát TLS/SSL

• Doporučujeme používat stejný certifikát TLS/SSL ve všech uzlech farmy služby AD FS a všech serverech webových proxy aplikací.
• Certifikát musí být certifikát X509.
• Certifikát podepsaný svým držitelem můžete použít na federačních serverech v testovacím prostředí. V produkčním prostředí doporučujeme získat certifikát od veřejné certifikační autority.
  • Pokud používáte certifikát, který není veřejně důvěryhodný, ujistěte se, že certifikát nainstalovaný na každém serveru webové proxy aplikací je důvěryhodný na místním serveru i na všech federačních serverech.
• Identita certifikátu se musí shodovat s názvem federační služby (například sts.contoso.com).
  • Identita je buď rozšíření alternativního názvu subjektu (SAN) typu dNSName, nebo pokud neexistují žádné položky sítě SAN, název subjektu se zadává jako běžný název.
  • V certifikátu může být k dispozici více položek v síti SAN, pokud jeden z nich odpovídá názvu federační služby.
  • Pokud plánujete používat připojení k síti Workplace Join, vyžaduje se další síť SAN s hodnotou enterpriseregistration. Za ní následuje přípona hlavního názvu uživatele (UPN) vaší organizace, například enterpriseregistration.contoso.com.
• Certifikáty založené na klíčích CNG (Next Generation) CryptoAPI a poskytovatelích úložiště klíčů se nepodporují. V důsledku toho musíte použít certifikát založený na poskytovateli kryptografických služeb (CSP) a ne na poskytovateli KSP.
• Podporují se certifikáty se zástupnými kartami.

Překlad názvů pro federační servery

• Nastavte záznamy DNS pro název služby AD FS (například sts.contoso.com) pro intranet (váš interní server DNS) i pro extranet (veřejný DNS prostřednictvím vašeho doménového registrátora). V případě intranetového záznamu DNS se ujistěte, že používáte záznamy A, a ne záznamy CNAME. Použití záznamů A vyžaduje, aby ověřování systému Windows fungovalo správně z počítače připojeného k doméně.
• Pokud nasazujete více než jeden server služby AD FS nebo webový proxy aplikací server, ujistěte se, že jste nakonfigurovali nástroj pro vyrovnávání zatížení a že záznamy DNS pro název služby AD FS (například sts.contoso.com) odkazují na nástroj pro vyrovnávání zatížení.
• Aby integrované ověřování systému Windows fungovalo pro aplikace prohlížeče pomocí Internet Exploreru v intranetu, ujistěte se, že je do zóny intranetu v Internet Exploreru přidaný název služby AD FS (například sts.contoso.com). Tento požadavek je možné řídit pomocí zásad skupiny a nasadit je do všech počítačů připojených k doméně.

Microsoft Entra Připojení podpůrných komponent

Microsoft Entra Připojení nainstaluje následující součásti na server, na kterém je nainstalována aplikace Microsoft Entra Připojení. Tento seznam je určený pro základní instalaci Expressu. Pokud se rozhodnete použít jiný SQL Server na stránce Instalovat synchronizační služby , sql Express LocalDB se nenainstaluje místně.

• Stav služby Microsoft Entra Connect
• Nástroje příkazového řádku Microsoft SQL Serveru 2022
• Microsoft SQL Server 2022 Express LocalDB
• Nativní klient Microsoft SQL Serveru 2022
• Microsoft Visual C++ 14 Redistribution Package

Požadavky na hardware pro Microsoft Entra Připojení

Následující tabulka uvádí minimální požadavky na počítač Microsoft Entra Připojení Sync.

Počet objektů ve službě Active Directory	Procesor	Memory (Paměť)	Velikost pevného disku
Méně než 10 000	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
Pro 100 000 nebo více objektů se vyžaduje úplná verze SQL Serveru. Z důvodů výkonu je instalace místně upřednostňovaná. Následující hodnoty jsou platné pouze pro instalaci microsoft Entra Připojení. Pokud se SQL Server nainstaluje na stejný server, je vyžadována další paměť, jednotka a procesor.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
Více než 600 000	1,6 GHz	32 GB	500 GB

Minimální požadavky na počítače se službou AD FS nebo servery webových proxy aplikací jsou:

• CPU: Duální jádro 1,6 GHz nebo vyšší
• Paměť: 2 GB nebo vyšší
• Virtuální počítač Azure: Konfigurace A2 nebo vyšší

Další kroky

Přečtěte si další informace o integraci místních identit s ID Microsoft Entra.