Az Azure AD Csatlakozás felhőalapú szinkronizálásának előfeltételei

Ez a cikk bemutatja, hogyan választhatja ki és használhatja Azure Active Directory (Azure AD) Csatlakozás felhőalapú szinkronizálást identitásmegoldásként.

A felhőalapú kiépítési ügynökre vonatkozó követelmények

Az Azure AD felhőalapú szinkronizálási szolgáltatásának Csatlakozás a következőkre lesz szüksége:

  • Tartományi rendszergazdai vagy vállalati rendszergazdai hitelesítő adatok az Azure AD Csatlakozás Cloud Sync csoportosan felügyelt szolgáltatásfiókjának létrehozásához az ügynökszolgáltatás futtatásához.
  • Hibrid identitás-rendszergazdai fiók az Azure AD-bérlőhöz, amely nem vendégfelhasználó.
  • Egy 2016-os vagy újabb Windows helyszíni kiszolgáló a kiépítési ügynökhöz. Ennek a kiszolgálónak 0. rétegbeli kiszolgálónak kell lennie a felügyeleti Active Directory modell alapján.
  • Helyszíni tűzfalkonfigurációk.

Csoportosan felügyelt szolgáltatásfiókok

A csoportosan felügyelt szolgáltatásfiókok felügyelt tartományi fiókok, amelyek automatikus jelszókezelést, egyszerű szolgáltatásnév -kezelését, a felügyelet más rendszergazdáknak való delegálásának képességét biztosítják, és több kiszolgálóra is kiterjesztik ezt a funkciót. Az Azure AD Csatlakozás Cloud Sync támogatja és használja a gMSA-t az ügynök futtatásához. A telepítés során a rendszer kérni fogja a rendszergazdai hitelesítő adatokat a fiók létrehozásához. A fiók a következőként jelenik meg: (domain\provAgentgMSA$). A csoportosan felügyelt szolgáltatásfiókokkal kapcsolatos további információkért lásd: Csoportosan felügyelt szolgáltatásfiókok

A gMSA előfeltételei:

  1. A Active Directory a gMSA-tartomány erdőiben található Windows Server 2012 frissíteni.
  2. PowerShell RSAT-modulok tartományvezérlőn
  3. A tartományban legalább egy tartományvezérlőnek vagy újabb Windows Server 2012 kell futnia.
  4. A tartományhoz csatlakozott kiszolgálónak, ahol az ügynök telepítése folyamatban van, vagy Windows Server 2016 kell lennie.

Egyéni gMSA-fiók

Ha egyéni gMSA-fiókot hoz létre, meg kell győződni arról, hogy a fiók rendelkezik a következő engedélyekkel.

Típus Name Access Érvényesség
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermekeszköz-objektumok
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermek inetOrgPerson objektumok
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermek számítógép-objektumok
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermek foreignSecurityPrincipal objektumok
Engedélyezés gMSA-fiók Teljes hozzáférés Gyermekcsoport-objektumok
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermekfelhasználói objektumok
Engedélyezés gMSA-fiók Az összes tulajdonság olvasása Gyermekobjektumok
Engedélyezés gMSA-fiók Felhasználói objektumok létrehozása/törlése Ez az objektum és az összes gyermekobjektum

A meglévő ügynökök gMSA-fiók használatára való frissítésének lépéseiért lásd: Csoportosan felügyelt szolgáltatásfiókok.

A felügyeleti Azure Active Directory központban

  1. Hozzon létre egy csak felhőalapú hibrid identitás-rendszergazdai fiókot az Azure AD-bérlőn. Így kezelheti a bérlő konfigurációját, ha a helyszíni szolgáltatások leállnak vagy elérhetetlenné válnak. Ismerje meg, hogyan adhat hozzá csak felhőalapú hibrid identitás-rendszergazdai fiókot. Ennek a lépésnek a befejezése kritikus fontosságú, hogy ne zárják ki a bérlőből.
  2. Adjon hozzá egy vagy több egyéni tartománynevet az Azure AD-bérlőhöz. A felhasználók ezekkel a tartománynevekkel jelentkeznek be.

A címtárban a Active Directory

Futtassa az IdFix eszközt a címtárattribútumok szinkronizálásra való előkészítéséhez.

A helyszíni környezetben

  1. Azonosítsa a legalább Windows Server 2016 legalább 4 GB RAM-mal és .NET 4.7.1+-es futtatókörnyezetben futó, tartományhoz csatlakozott gazdakiszolgálót.

  2. A helyi kiszolgálón a PowerShell végrehajtási házirendet Nem meghatározott vagy RemoteSigned beállításra kell beállítani.

  3. Ha tűzfal található a kiszolgálók és az Azure AD között, konfigurálja a következő elemeket:

    • Győződjön meg arról, hogy az ügynökök a következő portokon keresztül tudnak kimenő kéréseket tenni az Azure AD-nek:

      Portszám Használat célja
      80 Letölti a visszavont tanúsítványok listáját (CRL-eket) a TLS-/SSL-tanúsítvány hitelesítése közben.
      443 A szolgáltatással való kimenő kommunikációt kezeli.
      8080 (nem kötelező) Az ügynökök 10 percenként jelzik az állapotukat a 8080-as porton keresztül, ha a 443-as port nem érhető el. Ez az állapot az Azure AD portálon jelenik meg.
    • Ha a tűzfal a felhasználók helye szerint érvényesíti a szabályokat, nyissa meg ezeket a portokat a hálózati szolgáltatásként futó Windows-szolgáltatások adatforgalma számára.

    • Ha a tűzfal vagy proxy lehetővé teszi biztonságos utótagok megadását, adjon hozzá kapcsolatokat a * .msappproxy.net és a * .servicebus.windows.net. Ha nem, engedélyezze a hozzáférést az Azure-adatközpont IP-címtartományaihoz,amelyek hetente frissülnek.

    • Az ügynököknek hozzá kell férniük a login.windows.net és a login.microsoftonline.com címhez a kezdeti regisztrációhoz. Nyissa meg a tűzfalat is ezekhez az URL-címekhez.

    • A tanúsítványérvényesítéshez oldja fel a következő URL-címeket: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 és www . microsoft.com:80. Ezek az URL-ek tanúsítvány-ellenőrzésre szolgálnak más Microsoft-termékek esetén, így előfordulhat, hogy az URL-ek tiltásának feloldása már megtörtént.

    Megjegyzés

    A felhőalapú kiépítési ügynök telepítése Windows Server Core-on nem támogatott.

További követelmények

TLS-követelmények

Megjegyzés

Transport Layer Security (TLS) egy olyan protokoll, amely biztonságos kommunikációt biztosít. A TLS-beállítások módosítása a teljes erdőre hatással van. További információ: Frissítés a TLS 1.1 és a TLS 1.2alapértelmezett biztonságos protokollként való engedélyezéséhez a WinHTTP-ben a Windows.

Az Azure AD Csatlakozás felhőalapú kiépítési ügynököt tartalmazó Windows-kiszolgálón a telepítés előtt engedélyezni kell a TLS 1.2-t.

A TLS 1.2 engedélyezéséhez kövesse az alábbi lépéseket.

  1. Állítsa be a következő beállításkulcsokat:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001
    
  2. Indítsa újra a kiszolgálót.

NTLM-követelmény

Ne engedélyezze az NTLM-et az Azure AD Csatlakozás Provisioning Agentet futtató Windows-kiszolgálón, és ha engedélyezve van, akkor tiltsa le.

Ismert korlátozások

Az alábbiakban ismert korlátozásokat ismertetünk:

Különbözeti szinkronizálás

  • A Változásszinkronizálás csoporthatókör-szűrése nem támogat 50 000-esnél több tagot.
  • Ha töröl egy csoport hatókörszűrője részeként használt csoportot, a csoport tagjai nem törlődnek.
  • A hatókörbe tartozó szervezeti egység vagy csoport átnevezése esetén a Változásszinkronizálás nem távolítja el a felhasználókat.

Üzembehelyezési naplók

  • A kiépítési naplók nem tesznek egyértelmű különbséget a létrehozási és frissítési műveletek között. Előfordulhat, hogy egy frissítés létrehozási művelete és egy létrehozás frissítési művelete látható.

Csoportátnevezés vagy szervezeti egység újranevezése

  • Ha átnevez egy csoportot vagy szervezeti egy adott konfigurációhoz tartozó csoportot vagy szervezeti csoportot az AD-ben, a felhőszinkronizálási feladat nem fogja tudni felismerni a névváltozást az AD-ben. A feladat nem kerül karanténba, és kifogástalan állapotú marad.

Hatókörszűrő

Szervezeti egység hatókörszűrő használata esetén

  • Egy adott konfigurációhoz legfeljebb 59 különböző omóját szinkronizálhatja.
  • A beágyazott szervezeti egységek támogatottak (ez azt jelenti, hogy szinkronizálhat egy 130 beágyazott szervezeti egységből áll szervezeti egységeket, de 60 különálló szervezeti egység nem szinkronizálható ugyanabban a konfigurációban).

Jelszókivonat szinkronizálása

  • A jelszó-kivonat szinkronizálása az InetOrgPersonnal nem támogatott.

Következő lépések